MENÚ

Por qué una web que comienza por "https" puede ser fraudulenta

Publicado
Comparte

Uno de los consejos más extendidos para navegar de forma segura en Internet es comprobar que estamos en una página web que cuenta con el protocolo HTTPS. Este protocolo de seguridad indica que una web cuenta con un certificado SSL/TLS y obliga a encriptar las comunicaciones entre el servidor y el navegador del usuario. Esto significa que si alguien intercepta lo que hemos introducido en una web “lo único que obtiene es una serie de letras, números y caracteres especiales totalmente incomprensibles”, según explica la empresa de ciberseguridad ESET en su blog

Por ejemplo, tener implementado el protocolo HTTPS “evita que alguien pueda robar credenciales o datos de tarjetas de crédito simplemente espiando nuestro tráfico de datos, por ejemplo, en una WiFi pública”, explica Josep Albors, director de Investigación y Concienciación de ESET España. Por este motivo, nunca debemos introducir nuestros datos personales en una página que empiece por “http://” sin la “s”, dado que esa información no viajará encriptada.

Los timadores pueden utilizar páginas web que comienzan por "https" para lanzar ataques de 'phishing'

No obstante, que una página en la que estamos navegando comience por “https://” no nos garantiza que sea una web completamente segura. “Durante muchos años se ha estado diciendo a los usuarios que si la web lleva el candado (que confirma la implementación del protocolo HTTPS), esta es segura, cuando no tiene por qué ser así”, lamenta Albors.

Los ciberdelincuentes pueden utilizar páginas web que cuentan con el protocolo HTTPS para lanzar ataques de phishing. En esas webs se suplanta la identidad de alguna empresa o institución que conocemos, usando su imagen corporativa, con el objetivo de hacerse con nuestros datos personales o bancarios. Por ejemplo, en Maldita.es hemos advertido recientemente de los SMS fraudulentos que te advierten de un pago sospechoso con tu tarjeta de Abanca. Si nos fijamos en la URL que incluye el mensaje de texto, podemos comprobar que comienza por “https://”, pero no se trata de una página segura. Si introducimos nuestras credenciales de la banca online en esa página, los timadores tendrán acceso a nuestra cuenta.

Comparativa entre la URL fraudulenta y la oficial de Abanca

“Actualmente, muchas webs maliciosas ya incorporan este candado (...) En ellas, van a robarles a los usuarios cualquier tipo de información que introduzcan en ellas o a descargar malware en sus dispositivos”, advierte Albors. El experto explica que iniciativas como Let’s Encrypt, una autoridad de certificación gratuita y abierta, han facilitado que cualquiera pueda obtener el “candadito”, también los ciberdelincuentes.

Rosana Marín, experta en ciberseguridad y maldita que nos ha prestado sus superpoderes, apunta que si pinchamos sobre el candado que aparece al lado de la dirección web "https", nos aparece información sobre quién es la empresa que certifica el sitio web otorgando certificados SSL y TLS. Según la especialista, el reglamento eIDAS (Reglamento europeo de identificación digital) es el que limita las prestaciones que pueden dar estas empresas. Para consultar las empresas certificadoras de España podemos visitar este sitio web

En el caso de las páginas web fraudulentas, según Marín, lo que ocurre es que los certificados suelen estar firmados por empresas certificadoras no reconocidas y la duración de los mismos suele ser de 3 meses, cuando debería ser de mínimo un año. "Por lo tanto, en tres meses el sitio web desaparece, lo que nos avisa de que muy legal no es el sitio", añade.

De hecho, según datos de 2020 de la empresa de ciberseguridad PhishLabs, tres cuartos de los ataques de phishing se realizan en páginas web con el protocolo HTTPS, una tendencia que se ha ido incrementando en los últimos años.

Porcentaje de ataques de ‘phishing’ alojados en webs con protocolo HTTPS. Fuente: PhishLabs

En qué podemos fijarnos para comprobar que una página web es segura

A través de nuestro ‘buzón de timos’ ([email protected]), recibimos mensajes de personas que han comprado artículos en una web suplantadora, que se hacía pasar por una tienda de Inditex, porque el enlace comenzaba por “https://” y creían que era segura. Pero, como decimos, que una web incorpore el protocolo HTTPS no es una garantía de que sea segura. Por eso, es muy importante comprobar que la URL es correcta y que estamos navegando en la web oficial de la marca u organización que anuncia ser. Mucho ojo, porque el nombre de la web fraudulenta podría estar imitando al de la página lícita. En este artículo te damos más consejos para que no te la cuelen.

En este artículo han colaborado con sus superpoderes la maldita Rosana Marín.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.