Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas

Transcripción

1 Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas Reporte Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas

2 Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas Índice Introducción Qué es un certificado digital y qué es SSL? Protección de los datos en los sitios web con transacciones: SSL y certificados digitales Certificados SSL con EV Por qué no sirven los certificados con validación de dominio para el comercio electrónico? Qué problema tienen? Validación de la empresa - OV y EV: seguridad para el cliente Validación de dominio: mayor riesgo de estafa Comparativa de certificados SSL Resumen Recomendaciones

3 Los certificados SSL con validación de dominio suponen una amenaza directa para quienes compran por Internet, ya que los ciberdelincuentes suelen utilizar estos certificados para hacerse pasar por comercios electrónicos legítimos. Este documento explicara SSL, los diferentes tipos de certificados, los métodos que utilizan los delincuentes para sustraer datos personales y financieros mediante certificados con validación de dominio y qué se puede hacer para frustrar sus intentos. Introducción En 1994 se llevó a cabo la primera compra en línea de la historia: una pizza de pepperoni con champiñones y extra de queso en Pizza Hut. Un año más tarde, Amazon vendió su primer libro, Fluid Concepts & Creative Analogies: Computer Models of the Fundamental Mechanisms of Thought, de Douglas Hofstadter 2. Dos décadas después, se calcula que las ventas mundiales de los comercios electrónicos ascienden a más de 1,2 billones de dólares. Qué ha hecho posible un cambio tan espectacular en nuestros hábitos de compra? La confianza. la confianza en quienes nos venden sus productos y en que la información que les enviamos está protegida, porque donde hay dinero nunca faltan delincuentes dispuestos a aprovechar cualquier oportunidad para quedarse con él. Pero cuál es el fundamento técnico que respalda esa confianza? la respuesta, en parte, está en la tecnología secure sockets layer (ssl), concretamente en los certificados digitales: una tecnología confiable que lleva décadas dando buenos resultados y que puede seguir haciéndolo. sin embargo, para que todo vaya bien, hay que implantar la tecnología de forma responsable. no todos los certificados son iguales y en la actualidad, los delincuentes ingeniosos han encontrado la forma de corromper un sistema que estaba ideado para detenerlos. Para que la confianza siga existiendo tenemos que asegurarnos de que los certificados se ajusten al fin con el que se implantan y de que cuando los clientes envían su información confidencial por internet el destinatario no sea un delincuente. los estudios de norton concluyen que el costo estimado de los delitos contra los clientes del comercio electrónico asciende a unos 113 mil millones de dólares al año 4, casi diez veces el costo de los Juegos olímpicos de londres de el costo para cada víctima se ha disparado hasta los 298 dólares, un 50 % más que en en lo que respecta a la cantidad de víctimas de estos ataques, se calcula en 378 millones al año, un promedio de más de un millón de víctimas al día. Qué es un certificado digital y qué es SSL? Para llevar a cabo transacciones en línea, los clientes y los negocios necesitaban un método seguro para transmitir los números de tarjeta de crédito, las contraseñas y otros datos personales. la respuesta llegó en los años 90 de la mano de netscape con la invención de la tecnología ssl. desde ese momento, se convirtió en la tecnología que protege gran parte de internet y en definitiva, la que hace posible el comercio electrónico. con ella, se activa el símbolo del candado en el navegador y el cliente sabe que si le envía al vendedor los datos de su tarjeta de crédito nadie más podrá descifrarlos. todos los datos que se envían mediante ssl van cifrados. sin ssl, la información de la tarjeta de crédito (o la contraseña, el número de cuenta, el número del documento, la dirección, etc.) se enviaría a través de internet como texto normal y cualquiera podría verla. sería como enviar los datos Informe de Norton sobre delincuencia en Internet de 2013: go.symantec.com/norton-report

4 bancarios por correo normal escritos en una postal sin sobre: cualquiera podría apoderarse de la información. Pero hay un problema: el cifrado solo resulta útil cuando se conoce el destinatario de la información y se está seguro de que solo él podrá descifrarla. Ahí es donde entran en juego los certificados. Protección de los datos en los sitios web con transacciones: SSL y certificados digitales Los sitios web cifran la información a través de los «certificados digitales» que emiten unas empresas denominadas «autoridades de certificación». La mayor de estas empresas es Symantec (antes conocida con el nombre de VeriSign 5 ). Una autoridad de certificación es un tercero de confianza que comprueba los datos de quienes solicitan certificados a través de una variedad de bases de datos, llamadas telefónicas y otros métodos. cabe subrayar que la autoridad de certificación no comprueba la crebilidad del negocio en sí; se limita a comprobar que este existe y a emitir las credenciales (los certificados digitales). la mayoría de las principales autoridades de certificación emiten tres tipos de certificados ssl: con validación de dominio (dv), con validación de la empresa (ov) y con extended Validation (ev). en un principio, solo existían los certificados ssl con validación de la empresa (OV). Para emitirlos, la autoridad de certificación se limita a comprobar el nombre del dominio, determinados datos de la empresa y que la persona que solicita el certificado trabajara en ella. el proceso tarda entre 2 y 5 días laborables y una vez terminado la autoridad emite el certificado para el sitio web. El sitio web entonces utiliza ese certificado para proteger las compras por internet mediante ssl. Por ejemplo, para comprar un certificado web para amazon tendría que enviarle a a la autoridad de certificación información sobre el servidor web y pruebas de que es una empresa real. Este sistema funcionó bien durante muchos años, pero algunas empresas se empezaron a quejar del tiempo necesario para verificar la información. Pedían una solución más rápida que ofreciera el mismo nivel de cifrado. Como consecuencia, a principios de este siglo apareció en el mercado el certificado con validación de dominio. Este certificado se emite muy rápidamente porque al solicitante solo se le pide que demuestre tener derecho a utilizar el nombre de dominio, no se comprueba ningún dato más de la empresa. Por ejemplo, si alguien compra el dominio puede obtener un certificado con validación de dominio con solo solicitarlo a una autoridad de certificación y contestar a un mensaje de correo electrónico enviado por dicha autoridad. En cuanto la autoridad de certificación recibe la respuesta, el certificado se emite automáticamente. A partir de ahí, el solicitante puede crear un sitio web en el dominio MiTiendaFavorita.com y ofrecer pago seguro con tarjeta de crédito. Los clientes verán el candado en el navegador que indica que el tráfico de datos con ese servidor está cifrado. Evidentemente, el problema reside en que no se comprueba si MiTiendaFavorita.com es un negocio legítimo o si se trata de una estafa. 5 Symantec adquirió VeriSign en

5 a continuación se compara el aspecto en el navegador (internet explorer) de un certificado con validación de dominio (carbon2cobalt.com) y el certificado con validación de la empresa (OV)(amazon.com): Con validación de dominio Con validación de la empresa (OV) (capturas de pantalla obtenidas en internet explorer de la información que aparece al hacer clic en el candado de la barra de direcciones > Ver certificados > pestaña detalles > campo sujeto) como se puede ver, el certificado con validación de dominio carece de información sobre la empresa más allá del nombre del dominio. no hay forma de saber dónde está la sede de la empresa ni quién es el propietario y como el nombre de la empresa no se ha validado, esta información tampoco se muestra. en el certificado con validación de empresa de amazon.com, se incluye el nombre de la empresa y su ubicación porque la autoridad de certificación ha comprobado esos datos. desgraciadamente, los navegadores no distinguen entre los certificados con validación de dominio y los certificados con validación de la empresa, a pesar de que estos últimos tengan un proceso de verificación más riguroso (profundizare- mos en este tema más adelante): con ambos certificados se muestra en pantalla un candado. las capturas de pantalla que aparecen en la siguiente imágen muestran dos sitios web diferentes. ambos usan la tecnología ssl, como confirma la presencia del candado, pero cuál tiene un certificado con validación de dominio y cuál con validación de la empresa? dicho de otro modo, cuál de los dos ha demostrado simplemente que tiene un nombre de dominio y cuál ha presentado pruebas de su identidad? sin hacer clic en el candado para ver más detalles no se puede saber, y pocos clientes consultan esos detalles; la mayoría no sabe que la información está ahí y mucho menos interpretarla. sería tremendamente útil que los navegadores mostraran esa información (tipo de validación, datos sobre la legitimidad de la empresa) de modo que los clientes pudieran entenderla fácilmente o que se establecieran limitaciones al uso de los certificados con validación de dominio. 5

6 En conclusión, para los delincuentes es relativamente fácil crear un sitio web falso y conseguir un certificado de validación de dominio para servirse del candado como disfraz de legitimidad. Tras tranquilizar a los clientes con esa falsa sensación de seguridad, los criminales se apoderan fácilmente de sus datos privados. Certificados SSL con EV en respuesta a las quejas de varias de las partes implicadas, así como para reforzar los procesos de autenticación y la seguridad en internet, las autoridades de certificación y los navegadores fundaron en 2006 una asociación denominada ca/browser forum para discutir estos asuntos. entre los primeros participantes se encontraban microsoft, symantec, comodo, entrust y mozilla. la primera acción que llevó a cabo este grupo fue acordar las especificaciones de un nuevo tipo de certificado que pasaría a ser «extended Validation (ev)». con estos certificados, la autoridad de certificación realiza una comprobación más rigurosa del solicitante para aumentar el nivel de confianza en la empresa y como el navegador ofrece más información, al usuario le resulta muy fácil identificar este tipo de certificado. a continuación se muestra un ejemplo de un certificado con ev: en este caso, es evidente que el certificado (y el sitio web) pertenecen a Bank of america, de chicago, estados unidos. la autoridad de certificación ha verificado esa información a través de un proceso de validación que implica un examen de documentos corporativos, la comprobación de la identidad del solicitante y la verificación de la información con la base de datos de un tercero. 6

7 Además, todos los navegadores ofrecen indicadores visuales, normalmente un candado o una barra de dirección verde, para indicar que el sitio web utiliza un certificado con EV. De este modo, al cliente le resulta mucho más fácil saber que la identidad del sitio web se ha comprobado de forma rigurosa. También muestran el nombre de la empresa a la izquierda o la derecha de la dirección URL. En la siguiente figura se pueden ver los distintivos que usan los principales navegadores para indicar que se trata de un certificado con EV. Debido al proceso de validación exhaustivo, estos certificados son mucho más difíciles de obtener. los certificados con ev ayudan a determinar la legitimidad de la empresa propietaria del sitio web y sirven para hacer frente a los problemas relacionados con el phishing, el software malicioso y otros tipos de estafas en línea. como proporcionan información sobre la identidad y la dirección de la empresa verificada por un tercero, los certificados con ev pueden: 1. Reducir el riesgo de ataques de phishing u otros tipos de robos de identidad que se valen de certificados; 2. Servir de ayuda a las empresas que sufran ataques de phishing u otras estafas de robo de identidad, ya que proporcionan una herramienta que les permite identificarse mejor ante sus usuarios; 3. Facilitar las investigaciones de las fuerzas de seguridad en cuanto a phishing y otras estafas de robo de identidad (por ejemplo, para ponerse en contacto, investigar o emprender acciones legales contra el sujeto). Debido al rigor de los procesos de validación que siguen las autoridades de certificación para comprobar la información de cada solicitante, la emisión de los certificados con EV suele ser más lenta que la de otros certificados. En comparación con el certificado con validación de dominio, se incluye mucha más información sobre la empresa (tanta, que basta para determinar qué tipo de empresa es la que solicita el certificado) y todos esos datos los verifica la autoridad de certificación. El CA/Browser Forum también aprobó de manera unánime los requisitos básicos que definen con exactitud los distintos tipos de certificados. Antes de eso, eran las propias autoridades de certificación las que decidían el proceso de validación para 7

8 cada tipo de certificado, de modo que los solicitantes podían elegir la autoridad de certificación en función de su severidad (o falta de él) a la hora de validar los expedientes. en la actualidad, todas las autoridades de certificación tienen que respetar los requisitos básicos, tanto si forman parte del ca/browser forum como si no. Por qué los certificados con validación de dominio no sirven para el comercio electrónico. Qué problema tienen? la razón es muy sencilla: en el ejemplo de antes, mitiendafavorita.com no es un negocio real, sino una farsa creada por un impostor. Se pregunta cómo puede ser? Veamos el proceso paso a paso: 1. el estafador compra el dominio a través de un registrador de dominios y paralelamente utiliza información falsa y una tarjeta de crédito robada. el registrador concede el nombre de dominio «mitiendafavorita.com» al estafador. 2. Una vez que dispone del domino, el estafador solicita un certificado con validación de dominio en una autoridad de certificación. Esta solo comprueba si el solicitante puede contestar a un mensaje de correo electrónico enviado a ese dominio. En cuanto recibe la respuesta, la autoridad de certificación emite el certificado. 3. El estafador crea un sitio web en el que supuestamente vende artículos de gran demanda popular, con una página con el carrito de compras y otra para el pago con tarjeta de crédito. 4. Los clientes llegan al sitio web engañados por mensajes de correo electrónico o anuncios. 5. Una vez en el sitio web, el cliente ve el símbolo del candado y asume que el sitio web es legítimo, así que escribe los datos de su tarjeta de crédito para realizar la compra. 6. El estafador recopila los datos y el cliente nunca recibe los artículos. Después, cuando comprueba los detalles del certificado SSL en el sitio web, se da cuenta de que detrás no hay más que un nombre de dominio; no hay ninguna dirección física validada ni información sobre la empresa. Es tan sencillo conseguir certificados con validación de dominio que muchos delincuentes se han valido de ellos para conseguir que los usuarios les proporcionen información confidencial; desde nombres de usuario y contraseñas hasta datos de tarjetas de crédito. Según un reciente estudio de Netcraft, el 78 % de los certificados SSL que se encontraron en servidores que albergaban sitios web fraudulentos tenían validación de dominio. Si bien la mayoría de ellos no se solicitaron exclusivamente para lanzar ataques de phishing, los que llevaban a dominios engañosos solo se habían sometido a validación del dominio 6. Los «objetivos» más atractivos para los estafadores son los sitios web más utilizados para transacciones de comercio electrónico, como PayPal, Apple, Visa, MasterCard y bancos de distintos países. Recientemente, los ID de Apple se han convertido en datos muy «codiciados», así que los estafadores crean sitios web de Apple falsos dotados de un certificado con validación de dominio para engañar a los usuarios. Una vez que obtienen esa información, pueden bloquear o localizar teléfonos, hacer compras en itunes y recopilar información sobre la víctima. Sin embargo, no todos los ataques van dirigidos contra grandes empresas. Los delincuentes también atacan con frecuencia a las pymes debido a su escaso nivel de sofisticación en cuestiones informáticas. La información de usuario que se obtiene en los ataques a pequeñas empresas a menudo se puede utilizar para hacerse pasar por ese usuario en otro sitio web, ya que los clientes suelen emplear 6 Estudio de Netcraft sobre 2355 sitios web de phishing que habían instalado un certificado SSL 8

9 los mismos nombres de usuario, contraseñas y datos de acceso con frecuencia. según una investigación reciente realizada por symantec, más de un tercio de los sitios web de comercio electrónico utilizan certificados con validación de dominio, 7 lo cual no es ninguna sorpresa dado a lo fácil, rápido y económico que resulta obtener estos certificados. aunque todas las autoridades de certificación están obligadas a realizar una «comprobación antifraude» básica en las solicitudes de certificados con validación de dominio, los estafadores están adaptando sus métodos para esquivar esas comprobaciones. Por ejemplo, como el nombre «PayPal» es un anzuelo frecuente para las estafas, las autoridades de certificación han automatizado una comprobación que busca nombres similares, como «pay-pal», «p@ypal» o «securepaypal». Pero hace poco se emitió un certificado para paypol-france.com que se utilizó en ataques de phishing destinados a robar datos de acceso y no se sabe cuántos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos estafadores, habría sido mucho más difícil obtener un certificado con validación de la empresa (OV) o con extended Validation para ese nombre de dominio. Seguridad para consumidor con OV y EV Vamos a comparar los dos certificados que aparecen abajo. el de la izquierda es un certificado del sitio web bookairfare.com y el de la derecha, de ebookers.com. si un cliente busca vuelos baratos a través de un motor de búsqueda, podría obtener estos dos sitios web como resultado pero cómo sabemos si se ha verificado la existencia de estas empresas? al consultar el certificado de la izquierda, vemos que no hay información sobre la empresa, así que se trata de un certificado con validación de dominio. en cambio, los datos del certificado de la derecha incluyen mucha información validada de la empresa. si bien la empresa de la izquierda podría ser legítima, sus datos no han pasado ningún proceso de validación, con lo que también podría tratarse de un sitio web fraudulento 8. Por qué con la validación de dominio hay un mayor riesgo de estafa los delincuentes suelen crear sitios web fraudulentos con la intención de robar identidades y secuestrar cuentas. la forma de hacer pasar estos sitios web por legítimos es añadirles muchas imágenes de modo que el aspecto sea idéntico al del sitio web real e instalar un certificado ssl, que ofrece al usuario un indicador visual de seguridad. sin embargo, como ya se ha explicado antes, los certificados con validación de dominio son relativamente fáciles de obtener. una vez adquirido 7 Estudio realizado por buysafe, Inc. en nombre de Symantec 8 No hay evidencias de que este sitio web en particular sea fraudulento. 9

10 el dominio, el estafador puede solicitar el certificado y recibirlo en cuestión de minutos. Entonces, solo tiene que crear el sitio web y atraer a los clientes para que lo visiten. Los visitantes, al ver el candado, proporcionan sin reservas sus datos personales, que pasan a estar en poder de las redes de delincuentes. las siguientes imágenes muestra un ejemplo de un mensaje de phishing y el sitio web asociado al que se llega tras hacer clic en el enlace incluido 9. el sitio web tiene un aspecto convincente y muestra el candado:

11 Si consultamos los detalles del certificado SSL, vemos que se trata de un certificado con validación de dominio: El hecho de que los ciberdelincuentes se tomen la molestia de adquirir un certificado SSL demuestra que los usuarios se han acostumbrado a comprobar la presencia del candado y el indicativo «https» antes de realizar transacciones. Muchos de estos sitios web de estafas solo están activos durante unos días, o incluso horas, lo que significa que los delincuentes tienen que solicitar certificados constantemente (a diferencia de los negocios legítimos, que solo tienen que enviar una solicitud cada varios años). Si no fuera rentable solicitar los certificados, no lo harían. El sitio web SSL Blacklist ( ofrece una lista de los sitios con SSL que están relacionados con software malicioso y botnets. Al comprobar los últimos cinco meses de datos, vemos que todos los certificados SSL de la lista negra tienen validación de dominio o son autofirmados (con los certificados autofirmados o de poca confianza, el navegador muestra una advertencia que los estafadores prefieren evitar). Esto evidencia que la facilidad de obtención de los certificados con validación de dominio resulta atractiva para los delincuentes. Comparativa de certificados SSL Esta tabla ofrece una comparativa de los tres tipos de certificados SSL disponibles en el mercado: Tipo DV OV Validación del dominio? Cifrado «https»? Validación de identidad Validación de dirección? Muestra candado en navegador? Barra de dirección verde y otras marcas especiales? Sí Sí Ninguna No Sí No $ Sí Sí Buena Sí Sí No $ $ Precio EV Sí Sí Muy buena Sí Sí Sí $ $ $ Como se ha mencionado anteriormente, los certificados con validación de dominio no ofrecen ningún tipo de información sobre la empresa; solo sirven para cifrar los datos. Hay usos válidos para estos certificados: en sitios web que no son de comercio electrónico o con una probabilidad baja de sufrir un ataque de phishing (es decir, en los que el atacante no puede obtener beneficios económico). 11

12 el cambio de uno de estos certificados a un certificado con validación de la empresa (OV) o con ev implica un gasto adicional para el propietario del sitio web, pero la diferencia es sorprendentemente poca. la siguiente tabla compara los precios de venta de los distintos tipos de certificado en los principales proveedores (según datos de agosto de 2014): Tipo RapidSSL GoDaddy Comodo Digicert GeoTrust/ Thawte DV Globalsign $49 $69 $79 n/d $149 $249 n/d Symantec OV EV n/d $99 $99 $175 $199 $349 $399 n/d $199 $449 $295 $299 $899 $995 Precios de venta de un certificado SSL válido durante un año. Los precios de algunos proveedores incluyen servicios adicionales que añaden valor al producto. Por un desembolso adicional relativamente pequeño (si lo comparamos con el precio de los certificados con validación de dominio), las empresas legítimas que se dedican al comercio electrónico pueden adquirir un certificado con validación de la empresa (OV) o con ev. así, los clientes contarían con confirmación de que se ha verificado la empresa y verían en el certificado los datos de dirección y contacto a los que pueden recurrir en caso de necesitarlo. los certificados con ev, además, ofrecen una ventaja adicional: una señal visual (la barra verde) en el navegador que le indica al cliente que la empresa se ha sometido a un riguroso proceso para obtener el certificado, que la autoridad de certificación ha verificado la información y que hay más probabilidades de que se pueda confiar en el sitio web. Resumen 10 "En el internet, nadie sabe que sos un perro" como destaca el chiste, por internet es muy fácil fingir que eres otra persona. teniendo en cuenta que todos interactuamos en internet, es importante comprender los peligros que existen y contribuir a que el sector pueda tomar medidas. la realidad es que las compras por internet pueden ser muy compulsivas 10 Viñeta de Peter Steiner, publicada en The New Yorker, 5 de Julio de 1993 (reproducida bajo licencia de Conde Nast) (En Internet, nadie sabe que eres un perro). 12

13 ( compre ahora!) y como el costo, la rapidez del envío y la política de devolución son aspectos prioritarios, la seguridad suele caer en un segundo plano. no es sorprendente que los ciberdelincuentes se hayan lanzado en masa, atraídos por lo fácil que es conseguir resultados muy lucrativos con un mínimo esfuerzo. es precisamente esta tendencia la que hace que la seguridad, y sobre todo el uso de la seguridad en línea, sea más importante que nunca. el comercio electrónico tiene un peso importante en la economía mundial y las empresas tienen la posibilidad de protegerlo. ahora que la gente pasa cada vez más tiempo conectada a internet, es responsabilidad de todos ser más exigentes con los sitios web que visitamos. se estima que, en los doce meses anteriores a marzo de 2014, casi 25,000 de los sitios web sospechosos de lanzar ataques con phishing utilizaban certificados ssl válidos 11. esta situación pone en gran riesgo los cimientos de la confianza en el comercio electrónico. los ataques de phishing, en el fondo, son una evolución de un tipo de estafa en líneay los autores de estos fraudes son artistas del engaño expertos en tecnología y ladrones de identidades. los atacantes se valen de spam, sitios web maliciosos, mensajes electrónicos y mensajería instantánea para conseguir que sus víctimas revelen información privada, como números de cuentas bancarias y tarjetas de crédito. en este contexto, el sitio web es un elemento clave: si los clientes no saben distinguir los sitios web de confianza, tenemos un serio problema. La industria necesita garantizar que los consumidores que gastan su dinero en compras por Internet puedan confiar en el sitio web del vendedor. Para eso, los vendedores tienen que dar el paso y adoptar el tipo de certificado SSL que hace del comercio electrónico un método de compra digno de confianza. Recomendaciones recomendamos que los sitios web de comercio electrónico utilicen, como mínimo, certificados con validación de la empresa (OVo ev) para proteger el sitio web y para ofrecer información de autenticación válida y creemos que esta medida debería ser un requisito obligatorio. los certificados con validación de dominio (EV) están presentes en aproximadamente un tercio de los comercios electrónicos y son tan fáciles de obtener que los estafadores los utilizan en los ataques de phishing. Por eso no son suficientes para garantizar la protección necesaria para esta actividad. el hecho de que en quedaran al descubierto 552 millones de identidades es un claro indicativo de que la seguridad del comercio electrónico tiene que mejorar. una vez robados esos datos, los atacantes pueden obtener acceso a otras cuentas a través de las funciones de recuperación de contraseñas de las páginas web y según el tipo de información robada, incluso podrían utilizarla para hacer transferencias bancarias a cuentas que controlan o crear tarjetas de crédito fraudulentas. al exigir que los comercios electrónicos utilicen, como mínimo, un certificado con validación de la empresa (OV) se consigue: 1. facilitar el comercio; 2. hacer de internet un lugar más seguro; 3. aumentar la credibilidad de los pequeños negocios legítimos; 4. proteger a los consumidores; 5. reducir el fraude; 6. potenciar la confianza. 11 Datos obtenidos en estudios de Symantec 12 Informe sobre las amenazas para la seguridad en Internet de 2014, vol

14 si exigimos a los comercios electrónicos que usen certificados con validación de la empresa (OV), se aumenta la inversión de tiempo y dinero necesaria para que el estafador obtenga el certificado, porque: 1. estos certificados requieren que haya una empresa detrás, por lo que habría que dar los pasos necesarios para registrar la empresa; 2. estos certificados implican una verificación a través de una llamada telefónica o información de fuentes de datos públicas, lo que resulta un obstáculo para los estafadores porque se expondrán si indican una ubicación física. sin embargo, los negocios legítimos ya cumplen con estos requisitos, por lo que obtener un certificado con validación de la empresa (OV) no les implica ningún tiempo adicional. los usuarios finales tienen derecho a exigir cierto nivel de seguridad cuando realizan compras por internet. si se obligara a las tiendas en línea a optar por certificados con validación de la empresa (OV o EV), se contribuiría a proteger a los consumidores con un costo adicional mínimo para las tiendas. los certificados con validación de dominio (DV) son adecuados para otros fines, como blogs y sitios web de inicio de sesión en los que la posibilidad de robar dinero o datos personales es mínima y carecen de atractivo para los delincuentes. Pero no es ese el caso de los comercios electrónicos. los navegadores también podrían ofrecer marcas reconocibles a primera vista que ayudaran a los usuarios a distinguir unos certificados de otros. como hemos comentado anteriormente, los navegadores no marcan una distinción inmediata entre los certificados con validación de dominio (DV) y los que tienen validación de la empresa (OV)porque los desarrolladores creen que el usuario no es capaz de compren-der la diferencia. algunos estudios muestran que si los usuarios tienen demasiada información, terminan por hacer caso omiso de ella 13, mientras que otros proponen un icono fácil de comprender acompañado de la información que los usuarios necesitan explicada en un lenguaje sencillo. usemos como ejemplo la investigación realizada en carleton university, ontario (canadá) 14, que muestra a los usuarios tres ejemplos de pantalla. los que aparecen abajo son posibles indicadores diseñados para enseñar a los usuarios que, aunque el tráfico de datos se cifra en todos los casos (Privacy Protected), existen tres niveles diferentes de autenticación que se explican claramente. la imágen de la izquierda podría corresponder a un certificado con validación de dominio (DV), dado que el nivel de confianza en la identidad es bajo. la advertencia del centro, en la que el nivel de confianza en la identidad es medio, correspondería a un certificado con validación de la empresa (OV). Por último, la imagen de la derecha correspondería al nivel alto de confianza en la identidad que ofrecen los certificados con ev. este estudio mostró una mejora sustancial en el nivel de comprensión de estas advertencias por parte de los usuarios. 13 The Emperor s New Security Indicators (2007), Schechter, Dhamija, Ozment y Fischer 14 Browser Interfaces and Extended Validation SSL Certificates: An Empirical Study, 14

15 Nosotros apoyamos la realización de más estudios con el objetivo de determinar qué advertencias resultarían más eficaces para la mayor parte de los usuarios. en este documento hemos mostrado dos formas de reducir las estafas que se valen de certificados con validación de dominio (DV): exigir que los comercios electrónicos utilicen certificados con validación de la empresa (OV) o con ev y mejorar la interfaz de los navegadores para facilitar la distinción de los certificados. Ha llegado el momento de que todos trabajemos juntos, sumando esfuerzos, para hacer frente a los problemas mencionados aquí. 15

16 Más información Visite nuestro sitio web Copyright 2015 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.. UID: 243/01/15