En una era dominada por la digitalización, los ataques de phishing HTTPS se han convertido en una gran preocupación para empresas y particulares. El icono del candado de seguridad, que representa el protocolo HTTPS, suele considerarse un sello de seguridad y fiabilidad.
Sin embargo, esta percepción ha sido hábilmente explotada por los ciberdelincuentes, que están utilizando certificados SSL para enmascarar sus ataques de phishing HTTPS, engañando incluso a los usuarios más precavidos.
Este artículo pretende desmontar los mitos que rodean a HTTPS y ofrecer ideas sobre cómo proteger a su organización contra estas amenazas ocultas.
El mito del candado de seguridad: desentrañar la falsa promesa de protección
A muchos de nosotros nos han enseñado a buscar el icono del candado de seguridad cuando navegamos por Internet, considerándolo una señal de que un sitio es seguro y fiable. Por desgracia, esta noción simplista se ha vuelto peligrosa.
El protocolo HTTPS y el icono del candado de seguridad indican que los datos transmitidos entre el navegador del usuario y el servidor web están cifrados, lo que los hace inaccesibles a interceptores malintencionados.
Sin embargo, esto no garantiza la legitimidad o las “buenas intenciones” del sitio.
La obtención de un certificado SSL, que habilita el protocolo HTTPS, implica que una autoridad de certificación verifique la propiedad del dominio.
El proceso no evalúa la naturaleza ni la finalidad del contenido del sitio.
Esto significa que, aunque un sitio de phishing HTTPS no tenga acceso directo a los datos introducidos por un usuario (gracias al cifrado), puede presentar contenidos engañosos o malintencionados con la apariencia de ser seguros.
Es más, con la creciente facilidad y accesibilidad para obtener certificados SSL, muchos ciberdelincuentes los están adquiriendo para sus sitios de phishing. Esto les permite mostrar el icono del candado, explotando la confianza del usuario en el símbolo.
Una encuesta reciente reveló que un número significativo de sitios de phishing utilizan ahora HTTPS, lo que hace aún más difícil para los usuarios normales distinguir los sitios legítimos de los fraudulentos basándose únicamente en la presencia del candado.
Aunque el candado indica encriptación y protección contra la interceptación de datos, no es garantía de que el sitio sea legítimo o seguro en cuanto a contenido.
Es esencial que los usuarios y las empresas conozcan esta distinción para navegar por Internet con verdadera seguridad.
Teniendo en cuenta esta realidad, imagine la siguiente situación: recibe un correo electrónico muy similar al de su banco habitual.
En el contenido del correo electrónico, hay una invitación a comprobar la nueva interfaz de usuario o actualizar los datos de su cuenta, algo sencillo y habitual.
El enlace del correo electrónico le lleva a un sitio web increíblemente parecido al de su banco.
La dirección del sitio web original del banco es “meubanco.com.br”, pero en este caso, la dirección del sitio web al que le llevó el correo electrónico es “meubanco.io”.
El detalle del dominio, aunque sutil, pasa desapercibido para la inmensa mayoría de los usuarios
El sitio parece legítimamente seguro, muestra el icono del candado de seguridad en el que ha aprendido a confiar, situado junto a la URL en la barra de direcciones del navegador.
Animado a continuar, introduce tu sucursal, número de cuenta y contraseña. Los datos se rellenan, pero aparece un mensaje de contraseña incorrecta en la pantalla. Inmediatamente después, se le redirige automáticamente al sitio web original del banco, “meubanco.com.br”.
Con la sensación de un simple fracaso, vuelves a intentarlo, esta vez con cuidado de no equivocarte con la contraseña. El acceso al sistema bancario funciona perfectamente en este segundo empeño.
Sin embargo, lo que no queda claro de inmediato es que, en ese momento, el ciberdelincuente ya ha obtenido acceso a sus datos bancarios.
Durante el intento fallido en el sitio de phishing, su información fue capturada mientras usted creía que la estaba introduciendo en el sitio original de su banco.
Esta alarmante situación puede darse en cualquier sitio que requiera información de acceso, desde bancos a sitios de comercio electrónico.
El objetivo del atacante varía en función de sus metas específicas, ya sea robar dinero directamente a través de transacciones fraudulentas, obtener acceso a una cuenta para otra forma de fraude o incluso vender estos datos de acceso a terceros en la DarkWeb.
Comprender este tipo de ataque y saber identificar las sutilezas que delatan un sitio de phishing es esencial para navegar con seguridad en la era digital.
Recuerde siempre comprobar la URL, incluso cuando el sitio parezca seguro por la presencia del icono del candado.
Manténgase siempre al día y sea consciente de los peligros de Internet para proteger su información personal y financiera.
El auge de la phishing HTTPS: una amenaza en constante evolución
El phishing, una de las formas más antiguas de ciberataque, se ha adaptado y evolucionado a lo largo de los años para seguir siendo eficaz.
Con la creciente adopción del protocolo HTTPS y la mayor concienciación sobre su importancia, los ciberdelincuentes vieron la oportunidad de utilizar esta confianza en su beneficio.
A
estudio de
Phishlab
s reveló que en 2017 alrededor del 25% de todos los ataques de phishing utilizaron conexiones seguras y certificados SSL.
Esto representa un aumento significativo en comparación con años anteriores y pone de manifiesto el cambio en las tácticas de los ciberdelincuentes.
En lugar de ser una excepción, el phishing phishing con HTTPS se están convirtiendo en la norma
Como vimos al principio, el principal objetivo de estos atacantes es aprovechar la confianza del usuario en el icono del candado, haciéndole creer que se encuentra en un entorno seguro y, por tanto, más proclive a facilitar información personal o confidencial.
Además, muchos navegadores modernos alertan ahora a los usuarios cuando acceden a sitios no cifrados, lo que hace aún más atractivo para los atacantes equipar sus sitios de phishing con HTTPS.
La evolución de los ataques de phishing HTTPS pone de manifiesto la necesidad de un enfoque más holístico de la seguridad en línea.
No basta con buscar el icono del candado; es esencial evaluar la URL, el contenido del sitio y utilizar soluciones de seguridad sólidas que puedan detectar y bloquear los sitios de phishing.
Certificados comodín: una puerta abierta a múltiples riesgos
Los certificados comodín son una herramienta poderosa, pero si se utilizan mal pueden convertirse en una vulnerabilidad importante.
Están diseñados para ser una solución cómoda, que permite utilizar un único certificado SSL para varios subdominios de un dominio principal.
Por ejemplo, un certificado comodín para “*.exemplo.com” podría utilizarse para “loja.exemplo.com”, “blog.exemplo.com”, etc.
¿Por qué son atractivos?
La principal ventaja de los certificados comodín es su comodidad y rentabilidad. En lugar de gestionar y renovar varios certificados para cada subdominio, las empresas pueden utilizar un único comodín.
Esto puede simplificar la administración y reducir los costes.
Pero, ¿dónde está el peligro?
La naturaleza global de los certificados comodín es un arma de doble filo. Aunque ofrecen comodidad, también introducen riesgos significativos:
- Compromiso ampliado:
El mayor riesgo con los certificados comodín es que si un subdominio se ve comprometido, todos los demás subdominios bajo el mismo certificado también podrían estar en peligro.
En un escenario típico, si se viola un subdominio específico, el daño suele limitarse a ese subdominio.
Sin embargo, con un certificado comodín, un atacante que obtenga acceso a un subdominio puede explotar potencialmente el certificado para atacar otros subdominios.
- Falsa sensación de seguridad:
La simplicidad de los certificados comodín puede hacer creer a las organizaciones que están totalmente protegidas.
En la práctica, esta mentalidad puede conducir a una gestión menos rigurosa y a prácticas de seguridad más laxas, lo que facilita a los atacantes la explotación de vulnerabilidades.
- Uso malintencionado de certificados robados:
Si un certificado comodín es robado o puesto en peligro, puede ser utilizado por atacantes para crear sitios de phishing u otros sitios maliciosos que parezcan legítimos.
Por ejemplo, un atacante podría crear un subdominio falso como “pagamento-falso.exemplo.com” utilizando el certificado comodín comprometido, engañando a los usuarios haciéndoles creer que están en un subdominio legítimo de la empresa.
- Dificultad de seguimiento y revocación:
En caso de compromiso, puede ser más difícil rastrear todos los casos en los que se ha utilizado el certificado comodín.
Además, la revocación de un certificado comodín puede tener implicaciones más amplias, deteniendo potencialmente las operaciones en varios subdominios simultáneamente.
Aunque los certificados comodín ofrecen comodidad y eficacia, también introducen una serie de riesgos de seguridad que las organizaciones deben considerar detenidamente.
La clave está en equilibrar la necesidad de eficiencia operativa con unas prácticas sólidas de ciberseguridad.
Buenas prácticas para proteger su empresa: reforzar la defensa contra la phishing HTTPS
En un escenario en el que los ciberdelincuentes adaptan constantemente sus tácticas, es esencial que las empresas vayan un paso por delante aplicando prácticas de seguridad sólidas.
He aquí algunas estrategias detalladas que las organizaciones pueden adoptar para protegerse contra las amenazas de los ataques de phishing HTTPS:
- Formación continua:
La primera línea de defensa es siempre el usuario final. Invertir en formación periódica y actualizada para los empleados puede ayudar a identificar y prevenir los intentos de phishing.
Organice sesiones de formación periódicas, simulando ataques de phishing HTTPS para poner a prueba y educar a los empleados.
- Verificación rigurosa de URL y certificados:
Enseñe a los usuarios a comprobar la URL del sitio y los detalles del certificado SSL antes de introducir cualquier información.
Implemente herramientas que resalten o adviertan sobre URL sospechosas de ataques de phishing HTTPS y proporcione guías sobre cómo los usuarios pueden verificar manualmente los certificados SSL.
- Supervisión proactiva:
Vigile de cerca la presencia de su empresa en Internet. La vigilancia activa de la web en busca de copias fraudulentas de sus páginas puede ayudar a detectar y neutralizar rápidamente las amenazas.
Utilice servicios de supervisión de marcas y phishing para identificar sitios fraudulentos que imiten su marca.
- Comunicación clara con los clientes:
Mantenga a sus clientes informados de los riesgos potenciales y de lo que hace su empresa para protegerlos.
Cree una sección específica en su sitio web para las actualizaciones de seguridad y envíe comunicaciones periódicas, especialmente en respuesta a amenazas conocidas.
- Implantación de soluciones de seguridad avanzadas:
Además de las soluciones de seguridad tradicionales, es esencial adoptar herramientas específicas para gestionar y supervisar sus certificados SSL/TLS. Estas herramientas ayudan a garantizar que los certificados estén siempre actualizados, sean válidos y estén correctamente configurados, lo que reduce el riesgo de vulnerabilidades.
Seguridad en la era digital: algo más que un candado
En un mundo en el que la digitalización impregna todos los aspectos de nuestras vidas, la seguridad en línea se ha vuelto más crucial que nunca.
En la práctica, las empresas deben ir más allá de las soluciones de seguridad tradicionales y adoptar un enfoque holístico, que tenga en cuenta todos los aspectos, desde la educación de los usuarios hasta la implantación de tecnologías avanzadas.
Los ataques de phishing HTTPS son sólo una de las muchas amenazas emergentes, y la verdadera defensa reside en la preparación continua, la vigilancia y la adaptabilidad.
En un juego del gato y el ratón entre ciberdelincuentes y defensores, la pregunta sigue siendo: ¿está su empresa realmente preparada para afrontar los retos de la seguridad digital moderna?
Eval es socio oficial de Keyfactor
Keyfactor es una empresa líder en soluciones de gestión de identidades y seguridad de acceso que ayuda a organizaciones de todo el mundo a proteger sus datos confidenciales y garantizar la integridad de sus sistemas.
Como socio oficial de Keyfactor, en Eval estamos profundamente comprometidos a ayudar a nuestros clientes a implantar prácticas de seguridad eficaces. Nuestro objetivo es garantizar la protección de las claves de firma de código y el cumplimiento de las normas del sector.
Juntos, trabajaremos para ofrecer soluciones personalizadas e innovadoras, teniendo en cuenta las necesidades específicas de cada cliente.
La asociación nos permite ofrecer un servicio aún mejor a nuestros clientes, combinando nuestra experiencia en seguridad de software con la de Keyfactor en firma de código y gestión de certificados SSL/TLS.
Póngase en contacto con Eval para obtener más información sobre cómo nuestra asociación con Keyfactor puede ayudarle a reforzar la seguridad de su software y garantizar la integridad de sus operaciones.
Aproveche la oportunidad de trabajar con Eval y Keyfactor para garantizar la máxima protección y eficacia en sus operaciones de software.
Nos comprometemos a ofrecer las mejores soluciones de seguridad para satisfacer sus necesidades específicas y garantizarle la tranquilidad que se merece.
Acerca de Eval
Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.
Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
Escrito por Arnaldo y Evaldo, revisado por Marcelo Tiziano y diseñado por Caio Silva.