Saltar al contenido

¿Por qué los sitios web HTTPS pueden ser inseguros?

¿Por qué los sitios web HTTPS pueden ser inseguros?

Navegadores populares Mozilla Firefox, Google Cromo, Internet Explorador (así como sus derivados) HTTPS-sitios seguros. Esto a menudo se justifica: cuando se usa una conexión segura, es extremadamente difícil interceptar los inicios de sesión y las contraseñas ingresadas por el usuario en los sitios. Incluso si la información llega a los intrusos, la obtendrán en forma cifrada. Sin embargo, no todos los usuarios se dan cuenta de esto HTTPS – No es una panacea para todas las enfermedades e incluso los sitios protegidos pueden ser inseguros.

¿Contra qué no protege el cifrado?

Hagamos una reserva de inmediato: cifrar el tráfico HTTP es muy útil, especialmente si el sitio requiere el registro y la autorización del usuario. Crear servicios que funcionen con los datos personales de los clientes sin cifrar la información es simplemente inaceptable (afortunadamente, prácticamente no quedan sitios de este tipo). El uso de protocolos de transporte seguro hace que sea casi imposible realizar algunos tipos de ataques a la red. Estas son verdades comunes que no han perdido su relevancia durante muchos años, por lo que los sitios grandes y pequeños están cambiando masivamente a HTTPS (y con razón).

Sin embargo, este proceso tiene una desventaja, que está más relacionada con el campo de la psicología.

Muchos usuarios, al notar que un sitio utiliza HTTPS, a priori lo consideran seguro. La lógica aquí es simple: el navegador dibuja un ícono de zam verdedea, la conexión está cifrada, por lo que todo está en orden.

Pero tienes que entender: una conexión segura garantiza que tus datos no se transmitan sin cifrado. Sin embargo, la autenticidad del sitio utilizado no está garantizada. Los intrusos pueden utilizar los datos introducidos si se han introducido en un sitio falso.

Esta circunstancia ha sido utilizada activamente recientemente por estafadores en línea.

Cifrado al servicio de los atacantes

Una encuesta realizada por PhishLabs, una empresa antifraude, encontró que el 82% de los encuestados cree que un candado verde en la barra de direcciones valida la autenticidad del sitio. Y, como señalamos anteriormente, esta opinión es incorrecta. Por supuesto, esta decepción solo podría conducir a la aparición de sitios protegidos, pero falsos.

El patrón de uso más simple se ve así:

  1. Se registra un nombre de dominio lo más parecido posible a la dirección del sitio web de cualquier gran empresa, banco, red social, etc.
  2. Se crea una página de phishing pidiendo al usuario que inicie sesión. El diseño de la página también suele seguir el diseño de un sitio grande y conocido.
  3. Para hacerlo más convincente, los atacantes reciben un certificado SSL para su dominio (a menudo se utilizan certificados Let’s Encrypt gratuitos).
  4. Se crea un mailing spam que copia el diseño y estilo de las notificaciones de bancos, redes sociales, etc. En este caso, los enlaces de los correos electrónicos conducen a una página de phishing.

Mediante el engaño, los delincuentes acceden rápidamente a los datos personales de miles de usuarios de miles de usuarios y luego revenden esta información. Como regla general, los sitios falsos no viven mucho tiempo: los motores de búsqueda y las empresas de alojamiento bloquean las páginas de phishing. Sin embargo, incluso en unas pocas horas es posible recopilar una colección muy sólida de datos de usuario.

Si hace 3-4 años, los estafadores casi no usaban HTTPS, pero ahora la proporción de sitios falsos protegidos alcanza el 25%. Aparentemente, el número de estos sitios aumentará constantemente, ya que la marca en la barra de direcciones sobre la seguridad del recurso hace que los usuarios estén menos atentos. Por supuesto, esto solo juega en manos de los estafadores que roban nombres de usuario y contraseñas.

¿Cómo evitar ser víctima de estafadores?

Para no acceder a un sitio HTTPS falso, simplemente siga las precauciones básicas:

  1. Siempre verifique el nombre de dominio del sitio antes de ingresar información personal. En caso de duda, puede verificar la equivalencia de las cadenas comparando la dirección conocida del sitio con el contenido de la barra de direcciones del navegador. Esto se puede hacer de muchas maneras: por ejemplo, usando el editor Notepad ++ con el complemento Comparar o sitios simples como la comparación de texto. Le recomendamos que marque los sitios importantes a los que accede con frecuencia en su navegador y visite las páginas seleccionando el marcador deseado. También es recomendable abstenerse de hacer clic en enlaces enviados por remitentes de correo electrónico desconocidos y usuarios desconocidos de las redes sociales.
  2. Obtenga soluciones antivirus completas contra el phishing. Ahora casi todos los proveedores de antivirus equipan sus productos con módulos complementarios que evitan que la información se descargue de sitios falsos.
  3. No se registre en sitios poco conocidos que no inspiren confianza. A veces, los propietarios de activos improvisados ​​venden direcciones de correo electrónico y otros datos personales de los usuarios a los atacantes. En el futuro, estos datos se utilizarán para enviar spam e invitar a los usuarios a sitios falsos.

Ahora sabe que los sitios HTTPS a veces pueden ser inseguros. Sin embargo, cabe señalar que los sitios no cifrados no siempre son peligrosos. Por supuesto, no debe ingresar información personal en dichos sitios, pero una simple página de inicio HTTP, por regla general, no representa ningún peligro, a pesar de la ausencia de un candado en la barra de direcciones. Pero es mejor evitar sitios con certificados SSL caducados o inválidos (candado tachado en la barra de direcciones). En el mejor de los casos, un certificado vencido indica la negligencia de los propietarios del sitio que no se molestaron en verificar la configuración de SSL. En el peor de los casos, estos certificados pueden ser falsos. Por supuesto, no debe registrarse en sitios con certificados vencidos. Recuerde: ¡La falta de vigilancia amenaza la seguridad de los datos personales!