Jueves, Junio 20, 2019

Sí, existen las páginas web HTTPS no seguras, y cada vez hay más

https

Las páginas web HTTPS han mejorado la seguridad en la red, y hacen que cuando nos logueemos en una web no sea posible que alguien que analice el tráfico pueda obtener las credenciales al ir éstas cifradas. Sin embargo, eso no quiere decir que sea imposible obtener esas credenciales, y cada vez hay más páginas HTTPS falsas que consiguen robar nuestro usuario y contraseña.

El FBI alerta de que la mitad de las páginas web de phishing ahora son HTTPS

Así lo ha alertado el FBI, con una técnica que básicamente busca engañar al usuario haciéndole creer que está en una página web segura, pero en realidad están obteniendo sus credenciales, datos bancarios, y otros datos personales. El hecho de que una página web tenga un candado verde a su izquierda no quiere decir que la página web sea segura, sino que simplemente usa un certificado SSL/TLS para cifrar la información entre tu navegador y el servidor al que llega esa información.

Sin embargo, este servidor puede estar controlado por un hacker, y recibir la información finalmente en texto plano para obtener tus credenciales, a pesar de que por el camino no sea posible conocerlas. Además, el número de webs falsas no para de crecer, donde PhishLabs alerta que, en el tercer trimestre de 2018, en torno al 49% de las páginas web de phishing son HTTPS. En 2017 eran sólo un 25%, y en el segundo trimestre de 2018 eran un 35%.

Obtener un certificado SSL/TLS es demasiado fácil, y debería de cambiar

Normalmente, hay tres tipos de validación para que una página web reciba un certificado SSL:

  • Extended Validation (EV): esta validación es muy cara, y normalmente la empresa ha de ser verificada. Estos certificados muestran el nombre de la compañía en la barra de direcciones.
  • Organization Validated (OV): este tipo de certificado verifica la propiedad del dominio y también la información de la empresa. Es raro que un ciberdelincuente se haga con uno de estos.
  • Domain Validation (DV): estos son los más fáciles de adquirir, ya que lo único que hay que demostrar es que se tiene propiedad del dominio que se quiere certificar. Autoridades como Let’s Encrypt ofrecen estos certificados de manera gratuita, y a partir de ahí los usan para todo tipo de fines maléficos.

Por ello, tenemos que tener mucho cuidado al visitar una página web, y comprobar antes de nada que la URL es la correcta para evitar ataques de phishing. Lo más recomendable suele ser acceder a la página mediante la dirección que tengamos guardada en marcadores, o escribir nosotros manualmente la URL para asegurarnos de que no vamos a entrar en una página falsa. También puede que la página dé fallos, o que haya elementos descuadrados. También podemos usar extensiones como MyWOT, que nos alerta de peligros en una página web.

 

Fuente: adslzone

¿Quién está en línea?

Hay 288 invitados y ningún miembro en línea

Contador de Visitas

12425389
Hoy Hoy 268
Ayer Ayer 680
Esta semana Esta semana 2367
Este mes Este mes 13817
Total de Visitas Total de Visitas 12425389

Día con más
visitantes

05-11-2019 : 8055

Gracias por su visita