Las páginas web HTTPS han mejorado la seguridad en la red, y hacen que cuando nos logueemos en una web no sea posible que alguien que analice el tráfico pueda obtener las credenciales al ir éstas cifradas. Sin embargo, eso no quiere decir que sea imposible obtener esas credenciales, y cada vez hay más páginas HTTPS falsas que consiguen robar nuestro usuario y contraseña.
El FBI alerta de que la mitad de las páginas web de phishing ahora son HTTPS
Así lo ha alertado el FBI, con una técnica que básicamente busca engañar al usuario haciéndole creer que está en una página web segura, pero en realidad están obteniendo sus credenciales, datos bancarios, y otros datos personales. El hecho de que una página web tenga un candado verde a su izquierda no quiere decir que la página web sea segura, sino que simplemente usa un certificado SSL/TLS para cifrar la información entre tu navegador y el servidor al que llega esa información.
Sin embargo, este servidor puede estar controlado por un hacker, y recibir la información finalmente en texto plano para obtener tus credenciales, a pesar de que por el camino no sea posible conocerlas. Además, el número de webs falsas no para de crecer, donde PhishLabs alerta que, en el tercer trimestre de 2018, en torno al 49% de las páginas web de phishing son HTTPS. En 2017 eran sólo un 25%, y en el segundo trimestre de 2018 eran un 35%.
Obtener un certificado SSL/TLS es demasiado fácil, y debería de cambiar
Normalmente, hay tres tipos de validación para que una página web reciba un certificado SSL:
- Extended Validation (EV): esta validación es muy cara, y normalmente la empresa ha de ser verificada. Estos certificados muestran el nombre de la compañía en la barra de direcciones.
- Organization Validated (OV): este tipo de certificado verifica la propiedad del dominio y también la información de la empresa. Es raro que un ciberdelincuente se haga con uno de estos.
- Domain Validation (DV): estos son los más fáciles de adquirir, ya que lo único que hay que demostrar es que se tiene propiedad del dominio que se quiere certificar. Autoridades como Let’s Encrypt ofrecen estos certificados de manera gratuita, y a partir de ahí los usan para todo tipo de fines maléficos.
Por ello, tenemos que tener mucho cuidado al visitar una página web, y comprobar antes de nada que la URL es la correcta para evitar ataques de phishing. Lo más recomendable suele ser acceder a la página mediante la dirección que tengamos guardada en marcadores, o escribir nosotros manualmente la URL para asegurarnos de que no vamos a entrar en una página falsa. También puede que la página dé fallos, o que haya elementos descuadrados. También podemos usar extensiones como MyWOT, que nos alerta de peligros en una página web.