1

HTTPS ya no es seguro

Como indica hace tiempo el Laboratorio de ESET Latinoamérica, si bien chequear en la barra de direcciones la presencia del protocolo HTTPS al acceder a sitios web en donde se ingrese información personal para evitar casos de phising es fundamental, esto no significa que toda página web que cuente con dicho protocolo sea necesariamente segura.

Los protocolos HTTPS, si bien pueden llegar a indicar en ciertos casos la seguridad de un sitio web determinado, no son medida suficiente para confiar en plenitud en el contenido del mismo, según informa la compañía de seguridad informática ESET.

Desde fines de septiembre, además, la mayoría de los navegadores web más populares aceptan certificados digitales gratuitos, aumentando de este modo las posibilidades de los cibercriminales de adquirirlos sin necesidad de brindar mayor información al proveedor que un dominio y una cuenta de correo electrónico.

El protocolo HTTPS (Hypertext Transfer Protocol Secure, o Protocolo Seguro de Transferencia de Hipertexto) garantiza que la información que sea transmitida entre la computadora del usuario y el sitio web será cifrada en su trayecto. Sin embargo, al llegar a destino, la misma puede ser visualizada en su formato habitual. En consecuencia, si el servidor web pertenece a un atacante, el mismo podrá tener acceso a la información enviada y hacer uso de ella de acuerdo a sus fines.

Con frecuencia, los usuarios creen que el sólo hecho de que un sitio web cuente con protocolo HTTPS determina que éste sea seguro, legítimo y, por ende, digno de confianza. Este error usual puede repercutir en la entrega de datos confidenciales a ciberdelincuentes. En este sentido, es fundamental desterrar el mito del carácter indiscutiblemente seguro de un sitio web que cuenta con protocolo HTTPS.

Para obtener más información acerca del funcionamiento de los certificados digitales y sus implicancias en materia de seguridad informática puede visitar el Blog del Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https/

 “Con frecuencia, los servidores web maliciosos utilizan el protocolo HTTP sin cifrado de información, lo que vuelve útil el consejo de validar qué protocolo se está utilizando. Sin embargo, esto no significa que un atacante no pueda utilizar el protocolo HTTPS en su sitio web falso o malicioso con el fin de engañar a un mayor número de usuarios”, aseguró Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica.

En este sentido, la utilización de protocolos HTTPS en sitios web maliciosos como método para engañar al usuario y hacerle creer que se encuentra en una página confiable, abre un posible vector para la realización de ataques de phising utilizando certificados digitales.

El phishing, robo de información personal y/o financiera del usuario a través de la falsificación de un ente de confianza, continúa en crecimiento en América Latina- región donde año a año aumentan el número de casos que se suceden, algunos de ellos con gran repercusión pública.

El Laboratorio de ESET Latinoamérica ha elaborado un vídeo educativo a fin de explicar cómo funcionaría el caso de un ataque de phishing utilzando certificados digitales, al que puede acceder desde: http://www.eset-la.com/centro-amenazas/videos-educativos/2230-phishing-https

“Con las técnicas de phishing desarrollándose a pasos agigantados, es importante que los usuarios se encuentren alertas e informados acerca de las mejores maneras para prevenir ser víctimas de estas amenazas informáticas. Hoy en día, ver una ‘S’ al lado del usual protocolo HTTP ya no alcanza para confiar en el contenido de un sitio web”, declaró Sebastián Bortnik, Analista de Seguridad de ESET Latinoamérica.

Copyright © 1997–2009  ESET. Todos los derechos reservados.  ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.