El FBI nos recuerda la realidad del HTTPS: indica una conexión segura, no un servidor seguro

0
375

Esta semana, el FBI ha lanzado una advertencia: «los ciberdelincuentes explotan los sitios web ‘seguros’ en las campañas de phishing«. ¿Por qué? Porque el protocolo seguro de transferencia de hipertexto o hypertext transfer protocol secure, más conocido sencillamente como HTTPS, se ha convertido en sinónimo de seguridad. Y lo es, efectivamente, aunque hay que tener en cuenta ciertos matices.

«La presencia de HTTPS y el icono del candado se supone que indican que el tráfico web está cifrado y que los visitantes pueden compartir datos de forma segura», dice la nota de la principal agencia de investigación criminal del Departamento de Justicia de Estados Unidos.

A la hora de confiar en un sitio web, no solo debe importarnos la presencia de HTTPS

De hecho, esa letra ese significa seguro y navegadores como Google Chrome muestran el aviso «no es seguro» cuando se visita sitios HTTP. Es importante asegurarse de que los sitios con los que compartimos información emplean este protocolo, porque señalan una conexión cifrada y segura, pero eso no es todo lo que tenemos que tener en cuenta. No aseguran, por ejemplo, que un servidor sea el que dice ser.

HTTPS no es la panacea

Castle 1290860 1280

Castle 1290860 1280

No obstante, todos sabemos que HTTPS no es la panacea. Y los malos de internet, por desgracia, también. Por eso, como señala el FBI, se valen de la confianza de los usuarios en el protocolo y el icono que lo identifica.

Lo hacen utilizando cada vez con mayor frecuencia certificados de sitios web seguros a la hora de llevar a cabo campañas de phishing. Emplean el protocolo seguro de transferencia de hipertexto la hora de enviar a potenciales víctimas mensajes de correo electrónico que imitan a empresas o contactos de confianza.

La razón es que cada vez resulta más fácil obtener un certificado de seguridad TLS que habilite al administrador de un sitio web a emplear el protocolo HTTPS normalmente. Tiene un coste bajo e incluso mediante determinados servicios puede conseguirse gratuitamente, sobre todo desde el impulso que Google dio a este protocolo hace unos años a través de la consideración que de ellos iban a tener tanto su buscador como el navegador Chrome. Una tendencia a la que se unieron el resto de navegadores.

Windows ha corregido una vulnerabilidad tan peligrosa que incluso la NSA ruega que actualices tu equipo

Y los ciberdelincuentes lo han aprovechado, como explican desde Naked Security:

«Como era de esperar, los delincuentes se dieron cuenta, lo que explica el auge de los sitios de phishing que empezaron a utilizar HTTPS en sus dominios alrededor de 2017.

Eso es lo frustrante de la última advertencia del FBI: los criminales que blanquean sus sitios web usando la cubierta de HTTPS no es nada nuevo. Dos años después de esas primeras señales de alarma, el problema simplemente ha empeorado.

Se podría argumentar que la confusión es un problema de la industria porque pasó años impulsando la idea de los beneficios de seguridad de los HTTPS sin explicar adecuadamente sus límites.

La preocupación ahora es que los atacantes se están moviendo más allá de esta burda treta y están abusando de dominios respaldados por certificados legítimos».

Por parte de los usuarios, solo queda no confiar por defecto en los sitios HTTPS ni los correos enviados desde ellos, ser críticos con aquella información que nos puedan solicitar, confirmar la legitimidad de las peticiones enviadas por correo si los datos que se piden son especialmente sensibles y, como siempre, ser precavidos en la medida de lo posible.

Temas