Medidas para frenar el uso de certificados SSL en sitios falsos
Este tipo de ataque cibernético, conocido como phishing, es diseñado para obtener datos confidenciales de las víctimas mediante la creación de sitios web que parecen casi idénticos a servicios como PayPal o Bank of America.
A pesar de las mejoras en la detección de tales sitios en línea de forma rápida, sigue siendo un gran problema. Una compañia de monitoreo de red en el Reino Unido, Netcraft, dice que los defraudadores están explotando las debilidades en las empresas de tecnología con el fin de hacer lucir más convincentes los sitios de phishing.
Muchos sitios web utilizan certificados SSL/TLS (Secure Sockets Layer/Transport Layer Security) para verificar sus nombres de dominio y cifrar las comunicaciones con los usuarios.
El uso de dicho certificado se indica mediante un candado verde en la mayoría de los navegadores, se les ha recomendado a los usuarios buscar este símbolo al entrar, por ejemplo, a una página de banca en línea.
Los certificados digitales son emitidos por Autoridades Certificadoras (CA), la empresa Netcraft dijo que los defraudadores obtienen sus certificados digitales de varias de la principales CA, incluyendo Symantec, GoDaddy, Comodo y CloudFlare, de esta forma sus sitios falsos parecen reales.
Algunos sitios de phishing parecen más legítimos mediante el uso de certificados SSL/TLS emitidos incorrectamente por los proveedores de certificados digitales, segura Netcraft.
Netcraft menciona que esto es responsabilidad de las compañías por no investigar más de cerca los antecedentes de los solicitantes para nombres de dominio, que claramente tienen una orientación sospechosa.
A lo largo de agosto, la compañía estudió los certificados emitidos a dominios sospechosos. «En sólo un mes, las autoridades de certificación han emitido cientos de certificados SSL para nombres de dominio engañosos, utilizados en los ataques de phishing», escribió Graham Edgecombe, desarrollador de servicios de Internet con Netcraft, en una entrada de blog.
El tipo de certificado más barato es el llamado domain validated (DV), para su venta sólo se comprueba que el solicitante controla el nombre de dominio para el que se destina. Para los certificados más caros, las CA hacen una verificación más minuciosa de identificación del solicitante.
Estos certificados son los que obtienen los defraudarores, son gratuitos o cuestan menos de 10 dolares, escribió Edgecombe. También están emitidos a menudo a través de sistemas automatizados, lo que hace que sea más fácil para los estafadores conseguirlos con fines de phishing de dominios, escribió.
De acuerdo con las normas de la industria, las CA deben hacer una verificación adicional sobre nombres de dominio de alto riesgo potencial antes de la emisión de certificados de DV, escribió Edgecombe.
Muchas entidades emisoras sólo envían un correo electrónico al administrador de dominio con el registro antes de emitir un certificado de DV, dijo Trell Rohovit, CEO de HydrantID, una startup que vende certificados digitales con base en suscripción.
Fuente: http://www.seguridad.unam.mx/
Fecha de consulta: 16 Octubre 2015
