¿Qué significa el icono del candado cerrado que ocasionalmente aparece al lado del nombre de una web? Para muchos usuarios, significa seguridad y autenticidad. A menudo se recomienda verificar que este ícono esté presente antes de ingresar una contraseña o datos personales, y algunos navegadores, como Google Chrome, muestran la palabra ‘Seguro’ al lado de este símbolo.
Sin embargo, este mecanismo puede ser un poco engañoso y crear un falso sentido de confianza, que abra la puerta a posibles estafas. De hecho, el candado no garantiza que la web sea auténtica: solo indica que los datos que ingresamos en ella se transmiten de manera encriptada y, por lo tanto, son muy difíciles de interceptar. Pero no dice nada sobre la identidad y la fiabilidad de la web.
Esto significa que los estafadores pueden «dibujar» una landing page que imite visualmente la apariencia gráfica de una web famosa (Facebook, Google, PayPal, la de un banco o una tienda) y luego enviar a la víctima un correo electrónico o un mensaje a través de Facebook o WhatsApp para invitarla a visitar el sitio fraudulento, hacer que ingrese su contraseña y luego robársela. Todo esto con la falsa impresión de seguridad, que nos deriva de la visión del candado cerrado y la palabra ‘seguro’.
El auge de los falsos candados de seguridad
La víctima se salvará de esta trampa (llamada phishing) solo si se da cuenta de que el nombre de la web no es el correcto, pero son pocos aquellos que verifican el nombre de cada web que visitan. Generalmente, nos limitamos al aspecto visual o a la presencia del candado, especialmente desde las pantallas pequeñas de los teléfonos móviles.
Según datos publicados recientemente por la empresa de seguridad PhishLabs, hoy en día una cuarta parte de las webs trampa creadas por estafadores para robar contraseñas muestran un candado cerrado. Un aumento extraordinario, dado que, hace solo un año, las páginas fraudulentas con esta características eran menos del tres por ciento.
Este auge significa que los ladrones de contraseñas se han dado cuenta de que los usuarios bajan sus defensas cuando ven el candado cerrado y, por tanto, se han organizado en consecuencia. Ya no es suficiente buscar el candado cerrado, debemos verificar también que el nombre de la web sea el correcto, aunque es fácil confundirse. Por ejemplo, en la página del banco o del ecommerce que usamos con más frecuencia ¿el nombre está escrito con o sin guión?
Cómo crear una web falsa
Hoy en día, cualquiera puede obtener un certificado de seguridad digital, que activa la visualización del candado, incluso de forma gratuita. El investigador de seguridad informática James Burton ha encontrado una forma ingeniosa de hacer que una web falsa resulte aún más creíble, y es mejor saberlo para evitar ser engañados.
Burton abrió una empresa en el Reino Unido (donde es muy simple y barato hacerlo) y la llamó Identity Verified. Luego recurrió a Symantec, un fabricante de software de seguridad informática, para que le preparará un certificado de seguridad digital para empresas a nombre de Identity Verified, asociado a su web personal con un período de prueba gratuito de treinta días. Finalmente, creó en su homepage una copia de las páginas de login de Google y PayPal.
Resultado: una víctima que visita la web con su iPhone y Safari (porque le ha dado a un enlace presente en un mail que simula ser una alerta de Google o Paypal) se encuentra con lo que se espera, es decir, la página que aparece para introducir las contraseñas de Google o PayPal. En la parte superior puede ver, en lugar del nombre del sitio (que podría revelar el engaño), las palabras tranquilizadoras Identity Verified. Palabras que parecen autenticar la página, pero que son simplemente el nombre de la empresa.
De hecho, el navegador de Apple, Safari, cuando encuentra una web encriptada por un certificado de seguridad digital, muestra el nombre presente en el certificado, en lugar del nombre real de la web. Va un poco mejor, pero no mucho, con otros navegadores, como Google Chrome, que muestra el nombre de la web pero flanqueado por un reconfortante candado verde con las palabras Identity Verified.
Moraleja de la historia: no se debe confiar en lo que se ve en el navegador después de darle a un enlace recibido en un mensaje de alerta. Mejor aún, no es recomendable hacer clic en este tipo de enlace, sino visitar manualmente la web mencionada, escribiendo la dirección o usando el enlace de los favoritos. No todo lo que falla en el mundo es culpa de los mitológicos ‘hackers rusos‘, siendo necesario tomar algunas precauciones.
En Nobbot | ¿Dónde puedes especializarte en ciberseguridad y por qué es una buenísima idea?