Cuidado con el candado verde: puede ser una trampa

Security Awareness
18 julio 2022
Https_attenzione-al-lucchetto-verde

Puede suceder que justo cuando nos relajamos pensando que estamos a salvo de sorpresas desagradables, nos engañen más fácilmente. La confirmación de este principio elemental proviene de los resultados de un estudio realizado por los laboratorios de investigación de PhishLabs y nos dice que la mitad (49 %) de las estafas cibernéticas realizadas mediante «phishing» se esconden detrás, precisamente, de una conexión segura HTTPS, así como de ese reconfortante candado verde que debería darnos la tranquilidad de que estamos en un sitio seguro.

Desafortunadamente, esa tranquilidad se debe revisar, aunque a veces se olvide, porque puede ser la más insidiosa de las trampas.

HTTPS significa Hypertext Transfer Protocol Secure, y es un protocolo que sirve para proteger los datos que viajan entre ordenadores y sitios web.

Normalmente, los datos que se transmiten a través de HTTPS están protegidos por el protocolo Transport Layer Security, el cual proporciona tres niveles de protección: cifrado, integridad de los datos y autenticación; es decir, el usuario tiene la garantía de que los datos intercambiados se cifran, de que no se pueden modificar y de que, efectivamente, se está comunicando con el sitio web solicitado.

El candado verde es sinónimo de seguridad para todos

A pesar de esta garantía de conexión protegida, quienes se mueven entre bambalinas siguen siendo incontrolables, un detalle importante que, por cierto, nos expone a todo tipo de estafas.

Hoy en día, obtener un certificado SSL es en realidad una operación muy simple: en muchos casos, los proveedores que ofrecen el servicio de alojamiento web incluso lo ofrecen como un servicio complementario gratuito. Además, para aquellos que se mueven en las zonas más oscuras de la red, es bastante fácil encontrar certificados SSL robados que se pueden recomprar. A partir de ese momento, el delincuente solo tendrá que crear una buena copia de un sitio web detrás de la que esconderse. Y eso es todo. La estafa está servida y los «hackers» disfrutarán además de una ocultación de sus delitos, puesto que el tráfico estará cifrado.

A esto se le suele sumar la internacionalización de los nombres de los dominios, para hacer más difícil la lectura de las URL y crear una mayor confusión entre los usuarios. En resumen, un gran problema para el usuario desprevenido y que está convencido de que navega por aguas tranquilas.

Qué hacer si el candado ya no es tan tranquilizador

Se está tratando de poner remedio mediante actualizaciones del «software» que intentarán bloquear los sitios web creados mediante «phishing», independientemente de que utilicen o no el cifrado del protocolo HTTPS SSL. Pero esta medida no los podrá identificar todos. Por lo tanto, la mejor defensa siempre es la cautela, así como el uso de algunas precauciones:

  • prestar atención al tipo de sitio web y comprobar que mientras se está operando no aparecen «pop ups» o ventanas emergentes que reenvíen a sitios no protegidos,
  • comprobar que en el nombre no haya palabras en lugares extraños ni referencias sospechosas,
  • dar preferencia al acceso directo a los sitios web oficiales buscándolos en la red en lugar de seguir los enlaces que lleguen por correo electrónico o SMS,
  • dotar a los dispositivos de protecciones antivirus adecuadas, y
  • analizar las URL comparándolas con las bases de datos de sitios web de «phishing». También puede ser suficiente con hacer un copia y pega de la dirección web en cuestión en un escáner de URL.

Pero lo más importante es que cada vez que nos encontremos en la situación de tener que dar en internet nuestra información privada, contraseñas o datos bancarios, debemos ser conscientes de cada clic que hacemos y estar siempre atentos a cualquier posible peligro.

Tener una adecuada conciencia de cada una de nuestras acciones digitales

Especialmente en el caso de empresas u organizaciones, en las que un solo comportamiento incorrecto puede poner en riesgo todo el sistema de producción y hacer que la empresa pierda mucho tiempo y dinero, es importante asegurarse de que todo el personal tenga una correcta concienciación digital, sin distinción de cargos ni tareas.

Un personal preparado en las mejores plataformas de simulación, continuamente actualizadas y «a punto», es sin duda el sistema inmunológico más fuerte con el que puede equiparse una organización. No hay antivirus que se pueda comparar con esta barrera, e incluso al más aguerrido de los piratas informáticos puede suponerle tantos inconvenientes que finalmente desistirá de su acción maliciosa.

Más información sobre los itinerarios formativos de Cyber Guru

Artículos relacionados