Latam, 18 de julio de 2019 -
Hoy debemos tomar muy en serio el problema del cibercrimen, ya que cada
día hay una evolución en los ataques informáticos. Es lógico que a
medida que avanza la tecnología y se fortalecen los sistemas de
seguridad. Así, los delincuentes se aprovechan del miedo, la compasión,
la felicidad, la euforia y cualquier otro sentimiento que sea capaz de
generar reacciones en las personas que violan su seguridad. Y la
pregunta es, ¿cómo proteger a mi organización de usuarios y clientes muy
confiados? ¿La "ingenuidad" o la falta de información es
definitivamente uno de los factores críticos de éxito de los
ciberdelincuentes?
Hoy
en día, este problema debe tomarse muy en serio, ya que, según las
cifras de un estudio reciente de la Cámara de Comercio Electrónico de
Colombia (CCCE, por sus siglas en inglés) celebrada en Colombia por
primera vez, el país ha revelado cifras sobre prácticas de consumo al
momento de adquirir bienes y servicios. Servicios en línea, así como los
niveles de confianza y apropiación del comercio electrónico por los
colombianos. Esta investigación reveló que, del total de usuarios de
Internet encuestados, el 19% compra y paga directamente en línea.
Asimismo, el estudio, realizado entre personas de 18 a 75 años, mostró
que las categorías de productos de mayor preferencia por parte de los
consumidores en los sitios web de comercio electrónico y pagados en
línea son moda (37%), turismo (37%) y tecnología (36%).
Con
más usuarios en línea, también aumenta la posibilidad de fraude, donde
un usuario confiado probablemente cae en la trampa de un delincuente
cibernético. La entrega de información personal y / o la descarga de un
archivo adjunto malicioso que compromete automáticamente su computadora o
dispositivo móvil podría hacer que su información confidencial sea una
presa fácil para los delincuentes cibernéticos. Sin tener que realizar
un análisis técnico sólido, encontramos muchas similitudes en las
estafas que existían hace muchos años y que, en general, las
instituciones y los ciudadanos han sufrido.
Entonces,
¿qué cambia? Los medios de comunicación: Internet, correo electrónico y
redes sociales potencian las viejas formas de estafas y entregan
herramientas que multiplican el alcance y el poder de los
ciberdelincuentes. ¿Y qué no cambia? la ingenuidad o falta de un sentido
de protección en general de los usuarios de Internet, correo
electrónico, etc.
Es
por eso por lo que cada vez es más necesario para las instituciones
aumentar los niveles de visibilidad y protección de la marca en
Internet, contar con métodos para responder a este tipo de incidentes
para una mejor identidad, especialmente con la visita a los sitios web.
Estos
tipos de ataques existen porque hoy en día todavía es bastante fácil y
económico olvidar los correos electrónicos de cualquier dirección de
Internet. También hay un vector alternativo para ataques con cuentas de
correo electrónico corporativas (BEC), que compromete directamente la
cuenta del remitente a través de malware u otro método. Sin embargo,
este tipo de ataque puede ser potencialmente más difícil y costoso para
el atacante. Siempre se deben tomar medidas que aumenten los costos
operativos para los delincuentes y eviten que encuentren una opción
fácil y barata.
¿Qué se puede hacer?: La importancia de la autenticación
La
infraestructura de clave pública (PKI) presenta una solución fácil de
usar para la autenticación y el cifrado de sitios web, así como para
muchos otros casos de uso, como el correo web. PKI proporciona una
estructura y una implementación basada en políticas para el uso de
varios tipos de certificados digitales, especialmente los certificados
TLS / SSL (la implementación más moderna es TLS o “Seguridad de la capa
de transporte”), que son las más comunes y se implementan en casi todos
los sitios web globales, como lo señalan los usuarios a través del
candado o https en la URL.
Los
certificados TLS vienen en tres tipos: Validación de dominio (DV),
Validación organizacional (OV) y Validación extendida (EV). Las
diferencias básicas se muestran en la siguiente tabla:
En todos los casos, el
cifrado se proporciona entre el navegador y el servidor. Sin embargo,
el cifrado no proporciona autenticación. Sabemos que el navegador está
cifrando datos a algún servidor con un nombre de dominio verificado.
Pero no sabemos nada acerca de ese dominio con un certificado DV. Con OV
y EV, recibimos más información sobre el dominio, incluida la ubicación
de la empresa (OV), e incluso más detalles con EV.
Con la
llegada de una web que está más del 90% encriptada y con los navegadores
que muestran un candado verde para todos los sitios https,
independientemente del tipo de certificado, es una falacia simplemente
"buscar el bloqueo", ya que esto no es suficiente para proteger a los
usuarios de Sitios fraudulentos. Los usuarios deben ser diligentes en la
búsqueda de pistas sobre la identidad del sitio. Con los certificados
EV, la mayoría de los navegadores mostrarán el nombre legal de la
empresa junto a la URL en la barra de direcciones. Esto proporciona una
excelente visibilidad de que el sitio ha sido autenticado.
Otra
pista que debe buscar es el nombre de la Autoridad de Certificación
(CA) que emitió el certificado del sitio web. Con algunos navegadores,
los usuarios pueden desplazarse sobre el bloqueo para ver el nombre de
la CA. Si el indicador dice "Verificado por DigiCert", puede estar
seguro de que la identificación del sitio se ha verificado de acuerdo
con los requisitos de la industria. Las principales CA, como DigiCert,
están actualizando constantemente los estándares globales mediante los
cuales las CA validan las identidades y siguen procesos rigurosos.
Busque un nombre de confianza como el emisor del certificado, como en la
siguiente figura:
Los
certificados OV y EV requieren algún esfuerzo para obtenerlos. Primero,
la entidad solicitante debe ser una organización válida y la CA debe
mirar los registros públicos para autenticarla. Debido a que esto
implica trabajo manual, existe un costo asociado con la obtención del
certificado. Estos normalmente no son obstáculos para las organizaciones
legítimas. Pero para los ciberdelincuentes, proporcionan una fricción
significativa, que puede evitarse mediante la obtención de un
certificado DV. Por lo tanto, DV se ha convertido en el certificado de
elección para hackers y delincuentes.
Investigaciones
recientes demostraron que casi la mitad de los sitios de phishing ahora
tienen el candado. La mayoría de las veces, los certificados DV se
obtienen con éxito para esos sitios web. Los piratas informáticos saben
que pueden solicitar DV de forma automática sin proporcionar ninguna
información personal y se ofrecen de forma gratuita por algunas CA. Por
lo tanto, ni siquiera una tarjeta de crédito es necesaria. Un informe
reciente sobre un compromiso de DNS por parte de un supuesto país-nación
afirmó que los piratas informáticos han ocultado su operación mediante
el uso de la "suplantación de certificado", obteniendo certificados a
través de Let's Encrypt y Comodo (ahora conocido como Sectigo). Dada la
fácil disponibilidad de estos certificados, no es de extrañar que los
ciberdelincuentes estén en forma predeterminada a DV para legitimar sus
sitios web.
Recomendaciones finales simples para el usuario.
1.
Si bien en el pasado estaba bien solo buscar el candado, ahora se debe
examinar el candado. Pase el cursor sobre el bloqueo para ver qué CA
emitió el certificado. Si se trata de DigiCert, puede estar seguro de
que el sitio web ha sido verificado de acuerdo con los estándares de la
industria y que, en el caso de un certificado OV o EV, la identidad del
propietario del sitio web ha sido revisada para una mayor protección.
2. Mire detenidamente la barra de direcciones y lea la dirección cuidadosamente.
3.
¿El nombre de la empresa se muestra al lado del candado o hay una barra
verde? Si es así, y dependiendo de la pantalla del navegador, es un
certificado EV y puede tener la plena confianza de que el sitio web es
auténtico.
Todos
los certificados, independientemente de la empresa que los reciba,
deben cumplir los mismos criterios. Los certificados de DigiCert cuestan
menos que los de otros proveedores, ya que la compañía ha perfeccionado
el proceso de validación para que sea lo más eficiente posible, lo que
nos permite ofrecer un mejor precio en el mercado.
No hay comentarios:
Publicar un comentario