HTTPS implica seguridad mas no autenticidad

Resumen: Los ataques tipo “phishing” lejos de disminuir se mantienen en el tiempo y aumentan en complejidad; el factor común entre los incidentes radica en que el cibercriminal usa estrategias para atraer la atención de su público meta en las que pueda minimizarse la percepción de engaño. El problema radica en que, históricamente la aparición de las siglas “https” para los usuarios implica seguridad e indirectamente autenticidad. Los certificados SSL aseguran el transporte de la información de tal manera que se mantenga la privacidad de la transacción entre el navegador de internet y el servidor web destino. La venta de dichos instrumentos de aseguramiento web ofrece alternativas que van desde uso gratuito hasta prueba de evaluación por un número limitado de días, sin embargo, dicho proceso comercial permite un uso malicioso de la tecnología en donde individuos diseñan estrategias de phishing con el objetivo final de obtener credenciales de usuarios bajo engaño. Comprender la dimensión del phishing bajo las ópticas de identificación, remediación y reporte de incidentes será el foco primario del artículo.

Palabras Claves: certificado digital. Seguridad, autenticación, tecnologia, internet.

Abstract: Phishing-type attacks, far from diminishing, are maintained over time and increase in complexity; The common factor among the incidents is that the cybercriminal uses strategies to attract the attention of his target audience in which the perception of deception can be minimized. The problem is that, historically, the appearance of the abbreviations “https” for users implies security and indirectly authenticity. SSL certificates ensure the transport of information in such a way that the privacy of the transaction between the internet browser and the destination web server is maintained. The sale of these web assurance instruments offers alternatives ranging from free use to evaluation tests for a limited number of days, however, this commercial process allows malicious use of technology where individuals design phishing strategies with the ultimate goal. to obtain user credentials under deception.

Desarrollo:

El ataque comienza como un correo electrónico que solicita información del usuario en nombre de un departamento interno para autenticar un nuevo dispositivo o para proporcionar un “documento importante”. En otras palabras, el correo electrónico proporciona un requisito falso para tomar ventaja sobre los usuarios. Al usuario promedio se le ha enseñado que identificar “https” junto a la URL de un sitio web significa que el sitio es seguro, especialmente cuando se realizan transacciones en línea. Las recomendaciones generales o mejores prácticas disponibles apuntan al hecho de que, el cifrado de las páginas web sirve como un medio seguro. Muy a menudo se escuchan sugerencias como: “Cuando se le solicite enviar información personal confidencial, una dirección web genuinamente segura debería comenzar con https://”, También hay otras sugerencias similares a “Verificar la dirección del sitio web: la página de inicio de sesión en el sitio web de su banco debe comenzar con https”, y entre otras más, “Al iniciar sesión en sitios bancarios, de compras y de correo electrónico, siempre busque https al comienzo de la URL. La ‘S’ significa seguro”.

Se ha advertido constantemente a los usuarios, que estén atentos a las estafas de phishing y que examinen de cerca las URL o los dominios que acompañan a los mensajes sospechosos. Un ejemplo muy familiar de un ataque de phishing es un correo electrónico supuestamente del Banco que solicita ingrese a un sitio para actualizar sus datos sin embargo el remitente proviene de Gmail u otra dirección no corporativa.

La siguiente etapa orquestada por los piratas informáticos requiere que el usuario final haga clic en un botón de acción disponible en el correo electrónico. Una nueva sesión del navegador web se abre inmediatamente al solicitar las credenciales del usuario. La sesión parece segura para un usuario normal, ya que incluye “https” y un ícono de candado. El fallo en la estrategia seguida se debe a que el dominio no está relacionado con el sitio oficial, pero, el fondo de la página y el símbolo de candado hacen dudar al usuario lo suficiente como para digitar sus credenciales. En este caso específico, el certificado SSL parece estar validado en el dominio y tiene una característica especial: Un certificado SSL a costo cero durante 90 días. Un certificado regular mostrará que es válido en un rango de no menos de un año.

Se han encontrado otros casos de uso completamente gratuitos, proporcionados por el Grupo de Investigación de Seguridad de Internet (por sus siglas en inglés ISRG) y su iniciativa llamada Let’s Encrypt, la cual proporciona certificados digitales de forma gratuita (es uno de sus postulados claves, el libre acceso a los certificados por parte de cualquiera). La información anterior es consistente con un artículo de Robert Duncan, donde menciona: “El uso de TLS por parte de estos sitios de phishing es particularmente peligroso, ya que los sitios web que usan TLS son comercializados como confiables y operados por operaciones legítimas. Los consumidores han sido entrenados para buscar candados, indicadores de seguridad y https:// en la barra de direcciones de su navegador antes de enviar información sensible, como contraseñas y números de tarjetas de crédito a los sitios web “.

Como parte de la investigación realizada por el autor, se contactó al soporte técnico de una conocida Autoridad Certificadora (CA) para conocer la opinión sobre situaciones como esta y la respuesta fue la siguiente: “Un certificado SSL / TLS correctamente instalado y configurado garantiza que las transacciones a través del sitio web de un proveedor sean seguras y estén hechas de tal manera que se está a salvo de la influencia de terceros. Un CA no regula, controla ni supervisa las prácticas comerciales de ningún operador de sitio web, ni nuestros servicios se relacionan de ninguna manera con el contenido de un sitio web en particular. No podemos garantizar que los operadores actuales de los sitios actúen siempre con integridad y honestidad en [sus] negocios con el público. En última instancia, los consumidores aún deben decidir en qué proveedores se debe confiar y tratar en línea antes de realizar cualquier tipo de negocio allí. Las garantías de CA no pueden cubrir transacciones en las que se haya juzgado mal las intenciones del propietario del sitio o donde el propietario del sitio haya actuado mal”  Si la empresa desea habilitar un sitio de comercio electrónico en el cual se solicita información de identificación personal o para recibir la información confidencial, un certificado digital de evaluación o prueba SSL no debería ser una opción porque la validación de la propiedad del sitio es básica y limitada.

Las recomendaciones de expertos indican que para adquirir un Certificado Digital se debe de pensar en Validación Extendida (EV SSL) es la nueva norma; el costo por año es de entre $225 y $ 600 por certificado. De acuerdo con las Autoridades de Certificación / Foro de navegadores (también conocido como CA | B), los beneficios adicionales de EV SSL son:

Hacer que sea más difícil montar phishing y otros ataques de fraude de identidad en línea mediante el uso de certificados.

Asistir a las organizaciones de cumplimiento de la ley en sus investigaciones en temas de fraude electrónico y otros fraudes de identidad en línea, que incluyen (cuando corresponda) el contacto, la investigación o la adopción de medidas legales contra el tema. Reciba una garantía, que ofrecen ciertos certificados pagados.

Utilizar una tecnología basada en el perímetro, como un Proxy seguro o tecnologías basadas en la nube capaces de identificar y prevenir la inserción de URL sospechosas en un correo electrónico. Utilizar la autenticación de dos factores (2FA) integrados para dificultar el acceso a una cuenta simplemente con el uso de una contraseña.

Proporcionar capacitación a los usuarios y, si es posible, hacer pruebas con ataques de phishing simulados. Reportar cualquier correo electrónico sospechoso al departamento de seguridad de TI de su empresa. Seguridad de TI e Informar cualquier certificado que se utilice en un ataque de phishing a la Autoridad de Certificación del remitente y solicite la revocación de su certificado. Los certificados SSL basados en dominio, es decir aquellos que solamente se adquieren sin aportar evidencia de persona física o jurídica, no aportan criterios de autenticidad o propiedad del sitio web, únicamente cifran el canal de comunicación.

Con las versiones de prueba de los certificados, los proveedores buscan fijar la necesidad en sus clientes de adquirir el servicio oficial al finalizar el periodo de noventa días, no obstante, de manera indirecta permiten gratuitamente a cibercriminales implementar ataques de phishing con niveles mayores de engaño.

Las entidades que ofrecen algún tipo de transacción en línea mejorarían su imagen y la protección de la información de sus clientes al hacer uso de certificados de validación extendida y también al informar ampliamente sobre la forma correcta de identificar si se está accediendo al sitio transaccional correcto.

Los usuarios deben dejar de pensar que un candado y https en el navegador ofrecen suficientes pruebas de seguridad para ingresar sus credenciales, pagos o información privada sin investigar más si el propietario es real.

Referencias bibliográficas: Rodrigo Calvo. (2018,3 de Agosto ). The True Cost of Certificate Authority Trials: Can You Trust Them?. Disponible en: https://www.isc2.org/News-and-Events/InfoSecurity-Professional-Insights-Archive/2018%20Archived%20Content/August-2018

Robert Duncan. (2017,17 de Abril). Let’s Encrypt and Comodo issue thousands of certificates for phishing. Disponible en: https://news.netcraft.com/archives/2017/04/12/lets-encrypt-and-comodo-issue-thousands-of-certificates-for-phishing.html

CA/Browser Forum. (2013, 4 de Septiembre).About EV SSL: Objectives of Extended Validation. Disponible en https://cabforum.org/about-ev-ssl/