La creencia acerca de la garantía de seguridad brindada por el protocolo HTTPS quedó trunca, indicó un reciente informe de una compañía de seguridad informática. Los ciberdelincuentes buscan engañar al usuario y hacerle creer que se encuentra en una página confiable
La aceptación por parte de algunos de los más populares navegadores web de certificados digitales gratuitos llevó a alertar acerca de la posibilidad de casos de phishing en sitios cuenten con este aval.
Durante octubre, el Laboratorio de ESET Latinoamérica ha advertido acerca un nuevo posible vector para la realización de ataques de phishing sirviéndose de certificados digitales a partir de la utilización de protocolos HTTPS en sitios web maliciosos.
Sin entrar en detalles, el protocolo HTTPS (Hypertext Transfer Protocol Secure) garantiza que la información que sea transmitida entre la computadora del usuario y el sitio web, será cifrada en su transmisión. Es decir, si se estuviera enviando una carta, lo que se garantiza es que la misma no podrá ser leída por nadie hasta que llegue a su receptor.
Sin embargo, la información al llegar al servidor web deja de estar cifrada. Por lo tanto, si el servidor web pertenece a un atacante, este podrá visualizar la información. Por diversos motivos, lo más frecuente es que los servidores web maliciosos utilicen directamente el protocolo HTTP sin cifrado de información.
Por eso el consejo de validar qué protocolo se está utilizando. Sin embargo, esto no significa que un atacante no pueda utilizar el protocolo HTTPS en su sitio web falso o malicioso, aunque esto no sea frecuente. En ese caso, siguiendo con la analogía, por más segura que viaje la carta, esta llegará a una persona malintencionada como destino.
Esta técnica tendría el objetivo de engañar al usuario y hacerle creer que se encuentra en una página confiable, aprovechando el frecuente mito en torno a la garantía de seguridad ofrecida por los certificados digitales.
Usualmente, muchos de los usuarios confían en el sólo hecho de que un sitio web cuente con certificados digitales para asegurarse de que éste sea seguro y legítimo. Sin embargo, pocas veces se percatan de que este habitual error puede concluir en la entrega de datos confidenciales a ciberatacantes.
“Los casos de phishing e Ingeniería Social se hacen cada vez más complejos, por lo que es fundamental que los usuarios se encuentren debidamente informados y capacitados para evitar ser víctimas de los mismos”, explicó Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.
No hay comentarios:
Publicar un comentario