Peligros ocultos del comercio electrónico: Uso de certificados SSL

Transcripción

Peligros ocultos del comercio
electrónico: Uso de certificados
SSL adecuados para reducir las
estafas
Reporte
Peligros ocultos del comercio electrónico:
Uso de certificados SSL adecuados para
reducir las estafas
Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas
Peligros ocultos del comercio electrónico: Uso de certificados
SSL adecuados para reducir las estafas
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
¿Qué es un certificado digital y qué es SSL? . . . . . . . . . . . . . . . . . . . . . 3
Protección de los datos en los sitios web con transacciones:
SSL y certificados digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Certificados SSL con EV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
¿Por qué no sirven los certificados con validación de dominio
para el comercio electrónico? ¿Qué problema tienen? . . . . . . . . . . . . . . . 8
. . . . . . . . . . . . . . 9
Validación de la empresa - OV y EV: seguridad para el cliente
Validación de dominio: mayor riesgo de estafa . . . . . . . . . . . . . . . . . . . . 9
Comparativa de certificados SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Recomendaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2
Los certificados SSL con validación de dominio suponen una amenaza directa para
quienes compran por Internet, ya que los ciberdelincuentes suelen utilizar estos
certificados para hacerse pasar por comercios electrónicos legítimos. Este documento explicara SSL, los diferentes tipos de certificados, los métodos que utilizan
los delincuentes para sustraer datos personales y financieros mediante certificados
con validación de dominio y qué se puede hacer para frustrar sus intentos.
Introducción
En 1994 se llevó a cabo la primera compra en línea de la historia: una pizza de
pepperoni con champiñones y extra de queso en Pizza Hut. Un año más tarde,
Amazon vendió su primer libro, Fluid Concepts & Creative Analogies: Computer
Models of the Fundamental Mechanisms of Thought, de Douglas Hofstadter2. Dos
décadas después, se calcula que las ventas mundiales de los comercios electrónicos ascienden a más de 1,2 billones de dólares. ¿Qué ha hecho posible un cambio
tan espectacular en nuestros hábitos de compra? La confianza.
la confianza en quienes nos venden sus productos y en que la información que
les enviamos está protegida, porque donde hay dinero nunca faltan delincuentes
dispuestos a aprovechar cualquier oportunidad para quedarse con él.
Pero ¿cuál es el fundamento técnico que respalda esa confianza? la respuesta, en
parte, está en la tecnología secure sockets layer (ssl), concretamente en los
certificados digitales: una tecnología confiable que lleva décadas dando buenos
resultados y que puede seguir haciéndolo. sin embargo, para que todo vaya bien,
hay que implantar la tecnología de forma responsable. no todos los certificados
son iguales y en la actualidad, los delincuentes ingeniosos han encontrado la
forma de corromper un sistema que estaba ideado para detenerlos. Para que la
confianza siga existiendo tenemos que asegurarnos de que los certificados se
ajusten al fin con el que se implantan y de que cuando los clientes envían su
información confidencial por internet el destinatario no sea un delincuente.
los estudios de norton concluyen que el costo estimado de los delitos contra los
clientes del comercio electrónico asciende a unos 113 mil millones de dólares al
año4, casi diez veces el costo de los Juegos olímpicos de londres de 2012. el
costo para cada víctima se ha disparado hasta los 298 dólares, un 50 % más que
en 2012. en lo que respecta a la cantidad de víctimas de estos ataques, se calcula
en 378 millones al año, un promedio de más de un millón de víctimas al día.
¿Qué es un certificado digital y qué es SSL?
Para llevar a cabo transacciones en línea, los clientes y los negocios necesitaban un
método seguro para transmitir los números de tarjeta de crédito, las contraseñas y
otros datos personales. la respuesta llegó en los años 90 de la mano de netscape
con la invención de la tecnología ssl. desde ese momento, se convirtió en la
tecnología que protege gran parte de internet y en definitiva, la que hace posible el
comercio electrónico. con ella, se activa el símbolo del candado en el navegador y
el cliente sabe que si le envía al vendedor los datos de su tarjeta de crédito nadie
más podrá descifrarlos. todos los datos que se envían mediante ssl van cifrados.
sin ssl, la información de la tarjeta de crédito (o la contraseña, el número de
cuenta, el número del documento, la dirección, etc.) se enviaría a través de internet
como texto normal y cualquiera podría verla. sería como enviar los datos
http://www.huffingtonpost.com/2013/09/09/pizza-hut_n_3894981.html
http://askville.amazon.com/item-sold-Amazon-happen/AnswerViewer.do?requestId=2746620
http://www.emarketer.com/Article/Global-B2C-Ecommerce-Sales-Hit-15-Trillion-This-Year-Driven-by-Growth-Emerging-Markets/1010575
4
Informe de Norton sobre delincuencia en Internet de 2013: go.symantec.com/norton-report-2013
1
2
3
3
bancarios por correo normal escritos en una postal sin sobre: cualquiera podría
apoderarse de la información.
Pero hay un problema: el cifrado solo resulta útil cuando se conoce el destinatario
de la información y se está seguro de que solo él podrá descifrarla. Ahí es donde
entran en juego los certificados.
Protección de los datos en los sitios web con transacciones: SSL y
certificados digitales
Los sitios web cifran la información a través de los «certificados digitales» que
emiten unas empresas denominadas «autoridades de certificación». La mayor de
estas empresas es Symantec (antes conocida con el nombre de VeriSign5). Una
autoridad de certificación es un tercero de confianza que comprueba los datos
de quienes solicitan certificados a través de una variedad de bases de datos,
llamadas telefónicas y otros métodos. cabe subrayar que la autoridad de
certificación no comprueba la crebilidad del negocio en sí; se limita a comprobar
que este existe y a emitir las credenciales (los certificados digitales).
la mayoría de las principales autoridades de certificación emiten tres tipos de
certificados ssl: con validación de dominio (dV), con validación de la empresa
(oV) y con extended Validation (eV).
en un principio, solo existían los certificados ssl con validación de la empresa
(OV). Para emitirlos, la autoridad de certificación se limita a comprobar el nombre
del dominio, determinados datos de la empresa y que la persona que solicita el
certificado trabajara en ella. el proceso tarda entre 2 y 5 días laborables y una vez
terminado la autoridad emite el certificado para el sitio web. El sitio web entonces
utiliza ese certificado para proteger las compras por internet mediante ssl. Por
ejemplo, para comprar un certificado web para www.amazon.com, amazon tendría
que enviarle a a la autoridad de certificación información sobre el servidor web y
pruebas de que es una empresa real.
Este sistema funcionó bien durante muchos años, pero algunas empresas
se empezaron a quejar del tiempo necesario para verificar la información.
Pedían una solución más rápida que ofreciera el mismo nivel de cifrado. Como
consecuencia, a principios de este siglo apareció en el mercado el certificado
con validación de dominio. Este certificado se emite muy rápidamente porque al
solicitante solo se le pide que demuestre tener derecho a utilizar el nombre de
dominio, no se comprueba ningún dato más de la empresa. Por ejemplo, si alguien
compra el dominio www.mitiendafavorita.com, puede obtener un certificado
con validación de dominio con solo solicitarlo a una autoridad de certificación
y contestar a un mensaje de correo electrónico enviado por dicha autoridad. En
cuanto la autoridad de certificación recibe la respuesta, el certificado se emite
automáticamente. A partir de ahí, el solicitante puede crear un sitio web en el
dominio MiTiendaFavorita.com y ofrecer pago seguro con tarjeta de crédito. Los
clientes verán el candado en el navegador que indica que el tráfico de datos con
ese servidor está cifrado.
Evidentemente, el problema reside en que no se comprueba si MiTiendaFavorita.com
es un negocio legítimo o si se trata de una estafa.
5
Symantec adquirió VeriSign en 2010.
4
a continuación se compara el aspecto en el navegador (internet explorer) de un
certificado con validación de dominio (carbon2cobalt.com) y el certificado con
validación de la empresa (OV)(amazon.com):
Con validación de dominio
Con validación de la empresa (OV)
(capturas de pantalla obtenidas en internet explorer de la información que aparece al hacer clic en el
candado de la barra de direcciones > Ver certificados > pestaña detalles > campo sujeto)
como se puede ver, el certificado con validación de dominio carece de información
sobre la empresa más allá del nombre del dominio. no hay forma de saber dónde
está la sede de la empresa ni quién es el propietario y como el nombre de la
empresa no se ha validado, esta información tampoco se muestra. en el certificado
con validación de empresa de amazon.com, se incluye el nombre de la empresa y su
ubicación porque la autoridad de certificación ha comprobado esos datos.
desgraciadamente, los navegadores no distinguen entre los certificados con validación de dominio y los certificados con validación de la empresa, a pesar de que
estos últimos tengan un proceso de verificación más riguroso (profundizare- mos
en este tema más adelante): con ambos certificados se muestra en pantalla un
candado. las capturas de pantalla que aparecen en la siguiente imágen muestran
dos sitios web diferentes. ambos usan la tecnología ssl, como confirma la
presencia del candado, pero ¿cuál tiene un certificado con validación de dominio y
cuál con validación de la empresa? dicho de otro modo, ¿cuál de los dos ha
demostrado simplemente que tiene un nombre de dominio y cuál ha presentado
pruebas de su identidad? sin hacer clic en el candado para ver más detalles no
se puede saber, y pocos clientes consultan esos detalles; la mayoría no sabe que
la información está ahí y mucho menos interpretarla. sería tremendamente útil
que los navegadores mostraran esa información (tipo de validación, datos sobre
la legitimidad de la empresa) de modo que los clientes pudieran entenderla
fácilmente o que se establecieran limitaciones al uso de los certificados con
validación de dominio.
5
En conclusión, para los delincuentes es relativamente fácil crear un sitio web falso
y conseguir un certificado de validación de dominio para servirse del candado
como disfraz de legitimidad. Tras tranquilizar a los clientes con esa falsa sensación
de seguridad, los criminales se apoderan fácilmente de sus datos privados.
Certificados SSL con EV
en respuesta a las quejas de varias de las partes implicadas, así como para reforzar
los procesos de autenticación y la seguridad en internet, las autoridades de certificación y los navegadores fundaron en 2006 una asociación denominada ca/Browser
forum para discutir estos asuntos. entre los primeros participantes se
encontraban microsoft, symantec, comodo, entrust y mozilla. la primera acción
que llevó a cabo este grupo fue acordar las especificaciones de un nuevo tipo de
certificado que pasaría a ser «extended Validation (eV)». con estos certificados, la
autoridad de certificación realiza una comprobación más rigurosa del solicitante
para aumentar el nivel de confianza en la empresa y como el navegador ofrece más
información, al usuario le resulta muy fácil identificar este tipo de certificado. a
continuación se muestra un ejemplo de un certificado con eV:
en este caso, es evidente que el certificado (y el sitio web) pertenecen a Bank of
america, de chicago, estados unidos. la autoridad de certificación ha
verificado esa información a través de un proceso de validación que implica un
examen de documentos corporativos, la comprobación de la identidad del
solicitante y la verificación de la información con la base de datos de un tercero.
6
Además, todos los navegadores ofrecen indicadores visuales, normalmente un candado o una barra de dirección verde, para indicar que el sitio web utiliza un
certificado con EV. De este modo, al cliente le resulta mucho más fácil saber que
la identidad del sitio web se ha comprobado de forma rigurosa. También muestran
el nombre de la empresa a la izquierda o la derecha de la dirección URL. En la
siguiente figura se pueden ver los distintivos que usan los principales navegadores
para indicar que se trata de un certificado con EV. Debido al proceso de validación
exhaustivo, estos certificados son mucho más difíciles de obtener.
los certificados con eV ayudan a determinar la legitimidad de la empresa
propietaria del sitio web y sirven para hacer frente a los problemas relacionados
con el phishing, el software malicioso y otros tipos de estafas en línea. como
proporcionan información sobre la identidad y la dirección de la empresa
verificada por un tercero, los certificados con eV pueden:
1 . Reducir el riesgo de ataques de phishing u otros tipos de robos de identidad que
se valen de certificados;
2 . Servir de ayuda a las empresas que sufran ataques de phishing u otras estafas
de robo de identidad, ya que proporcionan una herramienta que les permite
identificarse mejor ante sus usuarios;
3 . Facilitar las investigaciones de las fuerzas de seguridad en cuanto a phishing
y otras estafas de robo de identidad (por ejemplo, para ponerse en contacto,
investigar o emprender acciones legales contra el sujeto).
Debido al rigor de los procesos de validación que siguen las autoridades de certificación para comprobar la información de cada solicitante, la emisión de los
certificados con EV suele ser más lenta que la de otros certificados.
En comparación con el certificado con validación de dominio, se incluye mucha
más información sobre la empresa (tanta, que basta para determinar qué tipo de
empresa es la que solicita el certificado) y todos esos datos los verifica la autoridad
de certificación.
El CA/Browser Forum también aprobó de manera unánime los requisitos básicos
que definen con exactitud los distintos tipos de certificados. Antes de eso, eran las
propias autoridades de certificación las que decidían el proceso de validación para
7
cada tipo de certificado, de modo que los solicitantes podían elegir la autoridad
de certificación en función de su severidad (o falta de él) a la hora de validar los
expedientes. en la actualidad, todas las autoridades de certificación tienen que respetar
los requisitos básicos, tanto si forman parte del ca/Browser forum como si no.
Por qué los certificados con validación de dominio no sirven para el comercio
electrónico. ¿Qué problema tienen?
la razón es muy sencilla: en el ejemplo de antes, mitiendafavorita.com no es un negocio
real, sino una farsa creada por un impostor. Se pregunta ¿cómo puede ser? Veamos el
proceso paso a paso:
1 . el estafador compra el dominio a través de un registrador de dominios y paralelamente
utiliza información falsa y una tarjeta de crédito robada. el registrador
concede el nombre de dominio «mitiendafavorita.com» al estafador.
2. Una vez que dispone del domino, el estafador solicita un certificado con validación de dominio en una autoridad de certificación. Esta solo comprueba si el
solicitante puede contestar a un mensaje de correo electrónico enviado a ese
dominio. En cuanto recibe la respuesta, la autoridad de certificación emite el
certificado.
3. El estafador crea un sitio web en el que supuestamente vende artículos de gran
demanda popular, con una página con el carrito de compras y otra para el
pago con tarjeta de crédito.
4. Los clientes llegan al sitio web engañados por mensajes de correo electrónico o
anuncios.
5. Una vez en el sitio web, el cliente ve el símbolo del candado y asume que el sitio
web es legítimo, así que escribe los datos de su tarjeta de crédito para realizar
la compra.
6. El estafador recopila los datos y el cliente nunca recibe los artículos. Después,
cuando comprueba los detalles del certificado SSL en el sitio web, se da cuenta
de que detrás no hay más que un nombre de dominio; no hay ninguna dirección
física validada ni información sobre la empresa.
Es tan sencillo conseguir certificados con validación de dominio que muchos
delincuentes se han valido de ellos para conseguir que los usuarios les proporcionen información confidencial; desde nombres de usuario y contraseñas hasta
datos de tarjetas de crédito. Según un reciente estudio de Netcraft, el 78 % de
los certificados SSL que se encontraron en servidores que albergaban sitios web
fraudulentos tenían validación de dominio. Si bien la mayoría de ellos no se solicitaron exclusivamente para lanzar ataques de phishing, los que llevaban a
dominios engañosos solo se habían sometido a validación del dominio6. Los
«objetivos» más atractivos para los estafadores son los sitios web más utilizados
para transacciones de comercio electrónico, como PayPal, Apple, Visa, MasterCard
y bancos de distintos países. Recientemente, los ID de Apple se han convertido en
datos muy «codiciados», así que los estafadores crean sitios web de Apple falsos
dotados de un certificado con validación de dominio para engañar a los usuarios.
Una vez que obtienen esa información, pueden bloquear o localizar teléfonos,
hacer compras en iTunes y recopilar información sobre la víctima.
Sin embargo, no todos los ataques van dirigidos contra grandes empresas. Los
delincuentes también atacan con frecuencia a las pymes debido a su escaso nivel
de sofisticación en cuestiones informáticas. La información de usuario que se
obtiene en los ataques a pequeñas empresas a menudo se puede utilizar para
hacerse pasar por ese usuario en otro sitio web, ya que los clientes suelen emplear
6
Estudio de Netcraft sobre 2355 sitios web de phishing que habían instalado un certificado SSL
8
los mismos nombres de usuario, contraseñas y datos de acceso con frecuencia. según
una investigación reciente realizada por symantec, más de un tercio de los sitios web
de comercio electrónico utilizan certificados con validación de dominio,7 lo cual no es
ninguna sorpresa dado a lo fácil, rápido y económico que resulta obtener estos
certificados. aunque todas las autoridades de certificación están obligadas a realizar
una «comprobación antifraude» básica en las solicitudes de certificados con
validación de dominio, los estafadores están adaptando sus métodos para esquivar
esas comprobaciones. Por ejemplo, como el nombre «PayPal» es un anzuelo
frecuente para las estafas, las autoridades de certificación han automatizado una
comprobación que busca nombres similares, como «pay-pal», «p@ypal» o
«securepaypal». Pero hace poco se emitió un certificado para paypol-france.com
que se utilizó en ataques de phishing destinados a robar datos de acceso y no se
sabe cuántos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos
estafadores, habría sido mucho más difícil obtener un certificado con validación de
la empresa (OV) o con extended Validation para ese nombre de dominio.
Seguridad para consumidor con OV y EV
Vamos a comparar los dos certificados que aparecen abajo. el de la izquierda es un
certificado del sitio web bookairfare.com y el de la derecha, de ebookers.com.
si un cliente busca vuelos baratos a través de un motor de búsqueda, podría
obtener estos dos sitios web como resultado pero ¿cómo sabemos si se ha
verificado la existencia de estas empresas? al consultar el certificado de la
izquierda, vemos que no hay información sobre la empresa, así que se trata de un
certificado con validación de dominio. en cambio, los datos del certificado de la
derecha incluyen mucha información validada de la empresa. si bien la empresa
de la izquierda podría ser legítima, sus datos no han pasado ningún proceso de
validación, con lo que también podría tratarse de un sitio web fraudulento8.
Por qué con la validación de dominio hay un mayor riesgo de estafa
los delincuentes suelen crear sitios web fraudulentos con la intención de robar
identidades y secuestrar cuentas. la forma de hacer pasar estos sitios web por
legítimos es añadirles muchas imágenes de modo que el aspecto sea idéntico al
del sitio web real e instalar un certificado ssl, que ofrece al usuario un indicador
visual de seguridad. sin embargo, como ya se ha explicado antes, los certificados
con validación de dominio son relativamente fáciles de obtener. una vez adquirido
7
8
Estudio realizado por buySAFE, Inc. en nombre de Symantec
No hay evidencias de que este sitio web en particular sea fraudulento.
9
el dominio, el estafador puede solicitar el certificado y recibirlo en cuestión de
minutos. Entonces, solo tiene que crear el sitio web y atraer a los clientes para que
lo visiten. Los visitantes, al ver el candado, proporcionan sin reservas sus datos
personales, que pasan a estar en poder de las redes de delincuentes.
las siguientes imágenes muestra un ejemplo de un mensaje de phishing y el
sitio web asociado al que se llega tras hacer clic en el enlace incluido9.
el sitio web tiene un aspecto convincente y muestra el candado:
9
https://isc.sans.edu/forums/diary/httpsyourfakebanksupport+--+TLD+confusion+starts/18651
10
Si consultamos los detalles del certificado SSL, vemos que se trata de un certificado
con validación de dominio:
El hecho de que los ciberdelincuentes se tomen la molestia de adquirir un certificado
SSL demuestra que los usuarios se han acostumbrado a comprobar la presencia del
candado y el indicativo «https» antes de realizar transacciones. Muchos de estos
sitios web de estafas solo están activos durante unos días, o incluso horas, lo que
significa que los delincuentes tienen que solicitar certificados constantemente (a
diferencia de los negocios legítimos, que solo tienen que enviar una solicitud cada
varios años). Si no fuera rentable solicitar los certificados, no lo harían.
El sitio web SSL Blacklist (www.sslbl.abuse.ch) ofrece una lista de los sitios con SSL
que están relacionados con software malicioso y botnets. Al comprobar los últimos
cinco meses de datos, vemos que todos los certificados SSL de la lista negra tienen
validación de dominio o son autofirmados (con los certificados autofirmados o de
poca confianza, el navegador muestra una advertencia que los estafadores prefieren
evitar). Esto evidencia que la facilidad de obtención de los certificados con validación
de dominio resulta atractiva para los delincuentes.
Comparativa de certificados SSL
Esta tabla ofrece una comparativa de los tres tipos de certificados SSL disponibles en
el mercado:
Tipo
¿Validación
del
dominio?
¿Cifrado
«https»?
Validación ¿Validación ¿Muestra
de
de
candado en
identidad dirección? navegador?
¿Barra de
dirección verde
y otras marcas
especiales?
Precio
DV
Sí
Sí
Ninguna
No
Sí
No
$
OV
Sí
Sí
Buena
Sí
Sí
No
$$
EV
Sí
Sí
Muy
buena
Sí
Sí
Sí
$$$
Como se ha mencionado anteriormente, los certificados con validación de dominio
no ofrecen ningún tipo de información sobre la empresa; solo sirven para cifrar los
datos. Hay usos válidos para estos certificados: en sitios web que no son de
comercio electrónico o con una probabilidad baja de sufrir un ataque de phishing
(es decir, en los que el atacante no puede obtener beneficios económico).
11
el cambio de uno de estos certificados a un certificado con validación de la
empresa (OV) o con eV implica un gasto adicional para el propietario del sitio web,
pero la diferencia es sorprendentemente poca. la siguiente tabla compara los
precios de venta de los distintos tipos de certificado en los principales
proveedores (según datos de agosto de 2014):
Tipo
RapidSSL
GoDaddy Comodo
Digicert
GeoTrust/
Thawte
Globalsign
Symantec
DV
$49
$69
$79
n/D
$149
$249
n/D
OV
n/D
$99
$99
$175
$199
$349
$399
EV
n/D
$199
$449
$295
$299
$899
$995
Precios de venta de un certificado SSL válido durante un año. Los precios de algunos
proveedores incluyen servicios adicionales que añaden valor al producto.
Por un desembolso adicional relativamente pequeño (si lo comparamos con el
precio de los certificados con validación de dominio), las empresas legítimas que
se dedican al comercio electrónico pueden adquirir un certificado con validación
de la empresa (OV) o con eV. así, los clientes contarían con confirmación de que
se ha verificado la empresa y verían en el certificado los datos de dirección y
contacto a los que pueden recurrir en caso de necesitarlo.
los certificados con eV, además, ofrecen una ventaja adicional: una señal visual (la
barra verde) en el navegador que le indica al cliente que la empresa se ha sometido
a un riguroso proceso para obtener el certificado, que la autoridad de certificación
ha verificado la información y que hay más probabilidades de que se pueda confiar
en el sitio web.
Resumen
10
"En el internet, nadie sabe que sos un perro"
como destaca el chiste, por internet es muy fácil fingir que eres otra persona.
teniendo en cuenta que todos interactuamos en internet, es importante
comprender los peligros que existen y contribuir a que el sector pueda tomar
medidas. la realidad es que las compras por internet pueden ser muy compulsivas
Viñeta de Peter Steiner, publicada en The New Yorker, 5 de Julio de 1993 (reproducida bajo licencia de Conde Nast) (En Internet, nadie
sabe que eres un perro).
10
12
(¡compre ahora!) y como el costo, la rapidez del envío y la política de devolución
son aspectos prioritarios, la seguridad suele caer en un segundo plano. no es
sorprendente que los ciberdelincuentes se hayan lanzado en masa, atraídos por
lo fácil que es conseguir resultados muy lucrativos con un mínimo esfuerzo. es
precisamente esta tendencia la que hace que la seguridad, y sobre todo el uso de
la seguridad en línea, sea más importante que nunca. el comercio electrónico tiene
un peso importante en la economía mundial y las empresas tienen la posibilidad de
protegerlo.
ahora que la gente pasa cada vez más tiempo conectada a internet, es responsabilidad de todos ser más exigentes con los sitios web que visitamos. se estima que,
en los doce meses anteriores a marzo de 2014, casi 25,000 de los sitios web sospechosos de lanzar ataques con phishing utilizaban certificados ssl válidos11. esta
situación pone en gran riesgo los cimientos de la confianza en el comercio electrónico. los ataques de phishing, en el fondo, son una evolución de un tipo de
estafa en líneay los autores de estos fraudes son artistas del engaño expertos en
tecnología y ladrones de identidades. los atacantes se valen de spam, sitios web
maliciosos, mensajes electrónicos y mensajería instantánea para conseguir que sus
víctimas revelen información privada, como números de cuentas bancarias y tarjetas de crédito. en este contexto, el sitio web es un elemento clave: si los clientes no
saben distinguir los sitios web de confianza, tenemos un serio problema.
La industria necesita garantizar que los consumidores que gastan su dinero en
compras por Internet puedan confiar en el sitio web del vendedor. Para eso, los
vendedores tienen que dar el paso y adoptar el tipo de certificado SSL que hace del
comercio electrónico un método de compra digno de confianza.
Recomendaciones
recomendamos que los sitios web de comercio electrónico utilicen, como mínimo,
certificados con validación de la empresa (OVo eV) para proteger el sitio web y
para ofrecer información de autenticación válida y creemos que esta medida
debería ser un requisito obligatorio. los certificados con validación de dominio
(EV) están presentes en aproximadamente un tercio de los comercios electrónicos
y son tan fáciles de obtener que los estafadores los utilizan en los ataques de
phishing. Por eso no son suficientes para garantizar la protección necesaria para
esta actividad.
el hecho de que en 201312 quedaran al descubierto 552 millones de identidades es
un claro indicativo de que la seguridad del comercio electrónico tiene que mejorar.
una vez robados esos datos, los atacantes pueden obtener acceso a otras cuentas
a través de las funciones de recuperación de contraseñas de las páginas web y
según el tipo de información robada, incluso podrían utilizarla para hacer
transferencias bancarias a cuentas que controlan o crear tarjetas de crédito
fraudulentas.
al exigir que los comercios electrónicos utilicen, como mínimo, un certificado
con validación de la empresa (OV) se consigue:
1 . facilitar el comercio;
2 . hacer de internet un lugar más seguro;
3 . aumentar la credibilidad de los pequeños negocios legítimos;
4 . proteger a los consumidores;
5 . reducir el fraude;
6 . potenciar la confianza.
11
12
Datos obtenidos en estudios de Symantec
Informe sobre las amenazas para la seguridad en Internet de 2014, vol. 19
13
si exigimos a los comercios electrónicos que usen certificados con validación
de la empresa (OV), se aumenta la inversión de tiempo y dinero necesaria para
que el estafador obtenga el certificado, porque:
1 . estos certificados requieren que haya una empresa detrás, por lo que habría
que dar los pasos necesarios para registrar la empresa;
2. estos certificados implican una verificación a través de una llamada telefónica
o información de fuentes de datos públicas, lo que resulta un obstáculo para los
estafadores porque se expondrán si indican una ubicación física.
sin embargo, los negocios legítimos ya cumplen con estos requisitos, por lo que
obtener un certificado con validación de la empresa (OV) no les implica ningún
tiempo adicional.
los usuarios finales tienen derecho a exigir cierto nivel de seguridad cuando
realizan compras por internet. si se obligara a las tiendas en línea a optar por
certificados con validación de la empresa (OV o EV), se contribuiría a proteger a
los consumidores con un costo adicional mínimo para las tiendas. los certificados
con validación de dominio (DV) son adecuados para otros fines, como blogs y
sitios web de inicio de sesión en los que la posibilidad de robar dinero o datos
personales es mínima y carecen de atractivo para los delincuentes. Pero no es ese
el caso de los comercios electrónicos.
los navegadores también podrían ofrecer marcas reconocibles a primera vista
que ayudaran a los usuarios a distinguir unos certificados de otros. como hemos
comentado anteriormente, los navegadores no marcan una distinción inmediata
entre los certificados con validación de dominio (DV) y los que tienen validación de
la empresa (OV)porque los desarrolladores creen que el usuario no es capaz de
compren-der la diferencia. algunos estudios muestran que si los usuarios tienen
demasiada información, terminan por hacer caso omiso de ella13, mientras que
otros proponen un icono fácil de comprender acompañado de la información que
los usuarios necesitan explicada en un lenguaje sencillo. usemos como ejemplo la
investigación realizada en carleton university, ontario (canadá)14, que muestra a
los usuarios tres ejemplos de pantalla. los que aparecen abajo son posibles
indicadores diseñados para enseñar a los usuarios que, aunque el tráfico de datos
se cifra en todos los casos (Privacy Protected), existen tres niveles diferentes de
autenticación que se explican claramente. la imágen de la izquierda podría
corresponder a un certificado con validación de dominio (DV), dado que el nivel de
confianza en la identidad es bajo. la advertencia del centro, en la que el nivel de
confianza en la identidad es medio, correspondería a un certificado con validación
de la empresa (OV). Por último, la imagen de la derecha correspondería al nivel alto
de confianza en la identidad que ofrecen los certificados con eV. este estudio
mostró una mejora sustancial en el nivel de comprensión de estas advertencias por
parte de los usuarios.
13
14
The Emperor’s New Security Indicators (2007), Schechter, Dhamija, Ozment y Fischer
Browser Interfaces and Extended Validation SSL Certificates: An Empirical Study, www.scs.carleton.ca/~paulv/papers/ccsw09.pdf
14
Nosotros apoyamos la realización de más estudios con el objetivo de determinar
qué advertencias resultarían más eficaces para la mayor parte de los usuarios.
en este documento hemos mostrado dos formas de reducir las estafas que se
valen de certificados con validación de dominio (DV): exigir que los comercios
electrónicos utilicen certificados con validación de la empresa (OV) o con eV y
mejorar la interfaz de los navegadores para facilitar la distinción de los
certificados. Ha llegado el momento de que todos trabajemos juntos, sumando
esfuerzos, para hacer frente a los problemas mencionados aquí.
15
Más información
Visite nuestro sitio web
https://symantec.certicamara.com
Si requiere asesoría de uno de nuestros especialistas, llámenos al
57-1 - 3790300
Ext 1421, 1417 1412, 1414, 1404,
Visite
https://symantec.certicamara.com
o escríbanos a
[email protected]
Copyright © 2015 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de
Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden
ser marcas comerciales de sus respectivos propietarios..
UID: 243/01/15

Peligros ocultos del comercio electrónico: Uso de certificados SSL

Transcripción

Documentos relacionados

Untitled - Agencia de Calidad de la Educación

Las personas que resulten ganadoras deberán de

PROCEDIMIENTO DE EMISIÓN DE INFORMES / CERTIFICADOS 1