A menudo se anima a los compradores en línea a asegurarse de que sus tiendas en línea elegidas sean «seguras», que la » s » en HTTPS sea visible y que el navegador web muestre un símbolo de candado. Propagar estos indicadores visibles como confirmación de la seguridad del sitio web no solo es irresponsable; también es peligroso.
Como Brian Krebs señaló recientemente en Krebs sobre Seguridad, incluso EE. los sitios web gubernamentales y federales son culpables de esta práctica, como si el candado garantizara la naturaleza oficial y segura del sitio. No es el caso. El símbolo de candado y la URL relacionada que contiene ‘https’ simplemente significan que la conexión entre su navegador web y el servidor del sitio web está encriptada. Eso es bueno, ¿verdad? Sí, una conexión cifrada es positiva, al menos en la superficie, e implica un nivel elevado de confianza que supuestamente se logra mediante el uso de un certificado SSL.
Como se mencionó en un artículo anterior, los certificados SSL vienen en muchas formas, desde los esfuerzos de bricolaje con OpenSSL (incluso puede ser su propia Autoridad de certificación) y los gratuitos de Let’s Encrypt hasta las soluciones compradas de autoridades de certificación «reconocidas». Nadie hace nada más que confirmar la propiedad de un dominio y, aparte de confirmar el cifrado, no confirma las prácticas de seguridad de ese sitio web de ninguna manera. Confirma que el propietario del sitio web tiene acceso de administrador al servidor web y ha verificado su identidad de una manera que varía de acuerdo con el certificado SSL seleccionado.
Ilustremos los pasos necesarios que los usuarios deben tomar al decidir si confían en un sitio web y, en algunos casos, lo fácil que es para los ciberdelincuentes eludir los llamados procesos de verificación.
Según PhishLabs, en el último trimestre de 2019, el 74% de los sitios web de phishing reportados eran «seguros», ya que eran HTTPS y tenían el símbolo de candado. Podría terminar este post aquí, habiendo demostrado que ambos criterios no valen nada en términos de seguridad. Pero no lo haré
HTTPS No significa nada
El único beneficio de HTTPS es que más o menos fuerza las conexiones cifradas en línea, ya que, sin él, muchos navegadores se negarán a acceder al sitio y mostrarán una advertencia. Si el usuario todavía quiere conectarse al ‘sitio inseguro’, es posible, pero se da la advertencia, lo que disuadirá a la mayoría de los usuarios. Desafortunadamente, los ciberdelincuentes no son tontos, por lo que la mayoría usará encriptación SSL, como se mencionó anteriormente. Felicitaciones, ahora tiene una conexión cifrada directa con el sitio web de un ciberdelincuente, uno que está diseñado específicamente para ataques de phishing, entrega de malware u otras motivaciones, como la recolección de datos.
No se puede confiar en los dominios
Cualquiera puede configurar un sitio web con costos de alojamiento que van desde subdominios gratuitos (ya sean legítimos o hackeados) y de presupuesto hasta servidores dedicados. Algunos dominios son de confianza más que otros, pero como Brian Krebs demostró (sí, soy un lector habitual) una vez más, incluso los dominios .gov (reservados para organizaciones gubernamentales en los EE. UU.) puede ser fácilmente falsificado cuando aquellos que buscan el dominio para estafas están preparados para usar métodos ilegales. El nivel de investigación requerido fue mínimo. Asumo que los dominios .mil y. edu son más robustos, pero quién sabe, ¿verdad? Uno de mis propios dominios usa .com.hk y solo está disponible para empresas registradas en Hong Kong. Fue una molestia configurarlo, requiriendo varios correos electrónicos, copias de mi certificado de registro comercial, cuenta bancaria de la empresa, mi pasaporte y detalles de residencia. Pero al menos sé que el proceso es bueno, que implica una verificación cruzada con varios departamentos gubernamentales. No ocurre lo mismo con .com y otros dominios de nivel superior, independientemente de la ubicación. Si alguien puede conseguir uno, ¿cómo puede agregar confianza a un sitio web?
La verificación de Whois En su mayoría No tiene valor
Para evitar el spam, la mayoría de los sitios web ocultan la información de contacto del sitio web o, en el mejor de los casos, solo proporcionan contactos generales. Además, el proveedor de alojamiento puede estar ubicado en cualquier lugar y rara vez refleja la ubicación física del negocio.
La diligencia debida Siempre es necesaria
Como se mencionó en artículos anteriores, poseo y mantengo algunos sitios web de bajo tráfico. Opté por certificados SSL Let’s Encrypt gratuitos (cortesía de mi proveedor de alojamiento) para mayor comodidad. No tengo comercio electrónico en este momento y uso pasarelas de pago y alojamiento directo a cuentas de la compañía como opciones de pago preferidas. Por lo tanto, no tengo requisitos de PCI-DSS, dejando que otros se encarguen de esa pesadilla.
Sin embargo, de acuerdo con varias regulaciones (incluido el RGPD), cada sitio tiene una política de privacidad y cookies detallada que indica exactamente qué información se recopila de los visitantes del sitio web. Sé que mis sitios siguen las mejores prácticas de la industria, se actualizan rápidamente con parches de seguridad, etc. ¿Cómo me aseguro de que los sitios que visito sean igualmente seguros y confiables? Aún más importante, ¿ cuáles son los riesgos?
Los riesgos de confiar en HTTPS Como Indicación Principal de Seguridad
Los ciberdelincuentes utilizan HTTPS en su mayor parte, y los propios sitios web a menudo están vinculados a campañas de phishing o malware. Puede llegar allí desde un enlace de correo electrónico, como resultado de una consulta en un motor de búsqueda o una referencia de otro sitio. Sí, también son conscientes del SEO. La cosa es, por supuesto, que son los dueños de los sitios web para que puedan instalar cualquier cosa que deseen para que sus objetivos tengan éxito.
Una descarga gratuita podría causar estragos en su sistema o iniciar herramientas de registro de teclas, hacer clic en un enlace podría iniciar un programa o editar el registro en segundo plano, ya que las ventanas de notificación a menudo se evitan deliberadamente. Hacer clic en cualquier cosa en estos sitios podría causar problemas. De hecho, incluso cargar una página web podría hacerlo, ya que hay muchos complementos disponibles para recopilar datos de visitantes una vez que se conectan al sitio. Si su sistema operativo o navegador web tiene una vulnerabilidad (incluso las herramientas básicas de seguimiento de visitantes pueden obtener detalles del navegador y el sistema operativo), entonces está abierto a un ataque. Tendrán su dirección IP (a menos que use una VPN) para iniciar la herramienta de piratería adecuada.
Algunos Consejos y Señales De Advertencia Para Protegerse En Línea
Los siguientes consejos (no una lista exhaustiva) reducirán el riesgo mientras navega por la web:
Actualizaciones y parches de seguridad para Navegadores, sistemas operativos y Software
Instálelos rápidamente, ya que los hackers y los probadores de penetración tienen acceso a datos disponibles públicamente sobre las vulnerabilidades más recientes y pueden usar herramientas para buscar vulnerabilidades específicas.
Utilice navegadores seguros (con opciones de seguridad incorporadas)
Su selección es una preferencia personal. Uso cinco o seis navegadores diferentes, incluidos Brave, Firefox y Tor.
Use Complementos y extensiones para Proteger la navegación
Agregar a la seguridad de su navegador web es una buena idea. Cualquier cosa de la Electronic Frontier Foundation es una adición digna, al igual que los elementos esenciales de privacidad de DuckDuckGo.
VPN
Use una VPN para ocultar su dirección IP real y cíclela cada 30 minutos aproximadamente. Incluso los gratuitos te esconderán de los ciberdelincuentes. Haga su selección de manera inteligente, ya que algunas VPN simplemente recopilan datos para los vendedores y luego son el objetivo de los piratas informáticos. Uso una solución comercial.
SEO
El uso de una herramienta como SEO Quake puede proporcionar algunas pistas sobre la legitimidad de un sitio web, incluida la edad, el número de enlaces externos e internos, y mucho más.
El sitio web
Los sitios web sospechosos a menudo carecen de lo básico. El inglés puede ser débil. Puede carecer de información real sobre el propietario del sitio web, como detalles de contacto. Por lo general, no requerirá páginas de política de privacidad y cookies. Puede empujar BitCoin u otras monedas digitales como métodos de pago preferidos. En la mayoría de los casos, simplemente se sentirá «apagado» u ofrecerá algo por precios demasiado increíbles para ser cierto. En el clima actual, las estafas por COVID-19 son comunes, así que tenga cuidado.
Conclusión
En conclusión, cuando visite nuevos sitios web, no confíe en el símbolo de candado o HTTPS. Tome este sitio y considere por qué está aquí. Progress es una marca conocida con un alcance global. La mayoría de nosotros nos apegamos a marcas establecidas, pero una búsqueda podría llevarlo a un nuevo proveedor de productos o servicios. Haga su debida diligencia antes de realizar una compra o incluso explorar un nuevo sitio. Busque el nombre de dominio entre comillas y agregue «revisión» o «estafa» para ayudar a la verificación (teniendo en cuenta que las revisiones falsas y los sitios relacionados también son posibles). Sí, los estafadores piensan en todo. La mejor de las suertes…