El número de internautas crece de forma constante, esto implica un crecimiento del número de usuarios de servicios que ofrece la red, entre ellos: correo electrónico, redes sociales, servicios para dispositivos móviles, comercio electrónico, banca electrónica, etc. Todos ellos tienen en común el uso de nombres de usuario, contraseñas, datos personales y en algunos casos datos financieros (tarjetas de crédito, cuentas bancarias, medios de pago…).

Desde la OSI, potenciamos el uso seguro de estos servicios, y el primer paso es comprobar que estamos en unapágina web legítima. Esto es especialmente importante en sitios que prestan servicios en los cuales necesitamos credenciales (nombres de usuario y contraseñas) o que manejamos información personal o financiera. Si introducimos esos datos en una página “falseada” (phishing) vamos a “entregar” información importante a los ciberdelincuentes, siendo las posibles consecuencias robos de identidad o pérdidas económicas.

Una página web que exija una autenticación o bien que recoja información personal y/o  financiera siempre ha de estar cifrada para asegurarnos de que la información que enviamos llega al servicio que tiene que llegar sin que nadie pueda interpretarlo.

Para ello, tenemos que fijarnos cuando entramos en un sitio web en el cual tenemos que introducir usuario/contraseña o datos personales/financieros, que ésta tenga un certificado de seguridad. En las páginas web cifradas los navegadores muestran un candado y en la URL aparece el protocolo HTTPS, además cuando hacemos clic en el certificado, se nos muestra el dominio (url) donde estamos (certificado normal) y a que empresa pertenece ese dominio (certificado EV, Extended Value).

Ejemplo de certificado estándar

Ejemplo de certificado EV

Con un ejemplo práctico lo entenderemos mejor. Si por ejemplo queremos acceder al servicio PayPal, comprobaremos que tiene certificado y de no ser así, habría que abandonar la página web, ya que no estaríamos en el sitio web oficial.

Tiene certificado: Seguimos comprobando

No tiene certificado: no seguimos, cerramos la página

Además de tener un certificado, éste tiene que indicar que estás en la página oficial de PayPal y no en otra aunque sea parecida.

Ejemplo 1: Tiene certificado: hacemos clic en el candado para ver el titular del certificado.

Aparece PayPal que es la página en la que queremos estar: es la legítima.

Ejemplo 2: Tiene certificado: hacemos clic en el candado para ver el titular del certificado.

El certificado es para “PaiPal, Inc”, que no es PayPal, estamos en una página que no es de PayPal. Esta técnica se usa para engañar al usuario con nombres que se escriben parecidos o que al pronunciarse suenan igual.

Hasta ahora los ciberdelincuentes, no solían usar certificados en sus páginas web fraudulentas, debido en parte a su coste económico, el tiempo empleado y sobre todo porque “suficientes” víctimas picaban en el engaño sin necesidad de él. Pero estamos comenzando a ver en Internet, tiendas fraudulentas que a la hora de pedir datos personales y de pago a los usuarios, usan formularios con certificados, en unos casos certificados gratuitos (empresas comoStartCom, Let’s Encrypt, WoSign los ofrecen), y en otros casos usan servicios como Google Forms que usa su propio certificado, por eso es tan importante comprobar el titular del certificado.

Si quiero acceder a iCloud, el certificado de seguridad debe estar a nombre de Apple, nunca a nombre de Google o cualquier otra entidad.

Como veréis en la imagen de a continuación, la página si es de Apple, podríamos introducir el nombre de usuario y la contraseña tranquilamente ya que estamos en el sitio que queremos estar.

Sin embargo, en esta otra captura, se ve como la página no es de Apple, aunque el aspecto visual sea idéntico lo que cuenta es el titular del certificado, en este caso pone “docs.google.com”, por lo tanto, no introduciremos las credenciales de acceso al servicio.

Como curiosidad, si alguien crea un formulario con Google Forms, el programa añade de forma automática una coletilla muy interesante: “Nunca envíes contraseñas a través de Formularios de Google”.

Conclusión

Si en una web tenemos que introducir credenciales (nombre de usuario y contraseña), datos personales o datos financieros, solo tenemos que hacerlo si:

“TIENE CERTIFICADO Y EL TITULAR DEL CERTIFICADO ES QUIEN DEBE SER”

Esta comprobación nos evitará problemas de Phishing y una parte muy importante de los timos en tiendas falsas.  En la actividad en internet, es la primera barrera de protección y posiblemente la más importante.