Frequently Asked Questions - Ayuda
Para intercambiar informaciones de forma online, consumidores y empresas necesitan una manera de ganartizar que numeros de tarjetas de crédito y débito, contraseñas y otro tipo de información personal y profesional son mantenidas con seguridad. El SSL es una tecnología que protege una gran parte de Internet y que , en esencia, habilita la economía Digital. Estos certificados activan el candado verde en el navegador para informar al consumidor de que es seguro compartir la información de su tarjeta de credito con el vendedor, de esta manera nadie excepto el destiantario podran descifrar dicha información.
Todos los datos enviados via SSL son encriptados. Sin el SSL, usted enviara su información de tarjeta de crédito ( o contraseña, cuenta bancaria, etc…) en una pagina pública, en formato simple y sin encriptar por lo que dicha informacion se encuentra desprotegida y es vulnerable a ser robada. El SSL fue inventado para proveer una encritacion en un Internet desprotegido. Pero existe un problema; la criptografía solo es útil si usted supiese a quien esta enviando la información y cuenta con los medios para poder desencriptarlos, es aqui donde los Certificados cobran importancia.
Para habilitar la encriptación, las Webs utilizan “Certificados Digitales” emitidos por organizaciones llamadas “ Autoridades de Certificación (CA)”, Symantec, Thawte, Geotrust, por ejemplo. Una autoridad de certificación es un agente confiable que verifica los detalles de un individuo usando una base de datos, llamadas telefónicas y otros medios. Tenga en cuenta que una CA no verifica la confidencialidad de una empresa, sino que realmente existe dicha empresa y emitir las credenciales (Certificados Digitales).
Actualmente, exiten tres tipos de certificados SSL vendidos por la mayoría de las Autoridades de certificación: Certificados DV (Validadeso por dominio), OV (validados por organización) y EV ( con validación extendida).
Este tipo de Certificado es emitido muy rapidamente porque solo exige que el solicitante comproebe el derecho de usar un nombre del dominio, ningun otro tipo de información comercial es validada. Por ejemplo, si alguien comprase el dominio www.myfavoritestore.com, seria posible obtener un Certificado SSL DV, para ello simplemente será necesario hacer una solicitud a la autoridad certificadora y responder a un e-mail enviado por ella. Inmediatamente despues que la CA recibiese la respuesta, el Certificado será emitido. Así, el solicitante podrá crear un site MyFavoriteStore.com y comenzar a aceptar números de tarjetas de crédito con seguridad. Los consumidores veran el candado en el navegador, indicando que todo el tráfico de información del servidor esta encriptado. El problema existente en este caso, es que, nadie valido si de verdad esta empresa existía o era un fraude.
Para este tidpo de Certificado, la CA valida ciertas informaciones comerciales, además del nombre del dominio, para garntizar que el individuo es quien dice ser. Por ejemplo, para adquirir un Certificado para el Site www.amazon.com, Amazon enviara a la CA algunas informaciones del servidor web, además de la comprobación de que la empresa realmente existe. La persona que solicita el certificado tambien tendra que ser validada como trabajador de la empresa. La CA validara esos datos y despues emitirá el Certificado para la Web. Ahí la Web pasara a usar ese Certificado para habilitar ls transaciones https:// usando SSL.
Como respuesta a las reclamaciones de varias partes y tambien para fortalecer los procesos de autentización y seguridad en Internet, las autoridades de certifiacación y navegadores formaron, en 2006, una asociación sobre el sector llamada “Extended Validation (EV)”. En este caso, la CA realiza un análisis mejorado del candidato para aumentar el nivel de confianza de la empresa. La presentación del navegador es prefecionada y es fácil percivir las diferencias rápidamente. Este es un ejemplo de Certificado EV:
En este ejemplo, queda claro que el Certificado ( y la Web) pertenecen a MarketWare-Soluçoes para Mercados Digitais, Lda, en Lisboa, Portugal. Estas informaciones fueron verificadas por una CA por medio de un análisis que incluyo el examen de documentos corporativos, la verificación de la identidad individual del candidato y la consulta de informaciones en un banco de datos de terceros.
Además de esto, todos los navegadores proveen información visual (normalmente un candado o barra de color verde) con el fin de indicar que el Site usa un Certificado EV y por lo tanto es seguro. De esta manera, queda más claro para el consumidor que se encuentra en un sitio Web seguro donde la identidad del dominio fue verificada. Todos los navegadores muestran el nombre de la organización a la izquierda o derecha do URL. La figura de abajo muestra como los Certificados EV son exibidos en navegadores conocidos. El análisis mejorado hace que sea mucho más difícil obtener Certificados EV.
De esta forma, los Certificados EV ayudan a establecer la legitimidad de una empresa que afirma operar en una Web y proveer una manera que pueda ser usada para ayudas a tratar los problemas relacionados con el Phishing, Malware y otras formas de fraude de identidad online.
- Aumentar la confianza de los usuarios de su pagina Web e incrementar el volumen de negocio de su empresa en Internet.
- Dificultar la creación de ataques Phising y otros posibles ataques de robo de indentidad online.
- Ayudar a las empresas que puedan ser objeto de ataques de Phishing o fraude de identidad online, proveyéndoles de una herramienta para que se identifiquen más adecuadamente delante de los usuários.
En comparación a los Certifiacados DV, muchas más informaciones son incluidad y validadas por la Autoridad Certificadora antes de ser emitido un Certifiacado EV, como por ejemplo quien es la empresa que desea obtener el Certificado.
Es bien sencillo; en el ejemplo anterior, MyFavoriteStore.com no es una empresa real, es una Web falsa creada por un phisher.
¿ Cómo esto es posible?
-
El defraudado compra le dominio de un registrador de dominio usando informaciones falsas y una tarjeta de crédito robada. El registrador el nombre del domino “myfavoritestore.com” para un degraudador.
-
Despues de adquirir derechos al dominio, del defraudados solicita un Certificado DV de una CA. La CA verisica solo si el candidato puede responder a un e-mail sobre ese dominio. Despues de recibir la respuesta, la CA emite el Certificado.
-
El degraudador crea páginas de la Web que simulan vender objetos conocidos, de interes general a precios ridiculamente bajos, ademas de páginas con un carrito de compras y de aceptar tarjetas de crédito.
-
Los consumidores son atraidos a ese Site por medio de mensages de e-mail o anuncios falsos.
-
Al vistar el Site, el consumidor e el candado y piensa que el Site es válido, por lo que confía información sobre su tarjeta de credito para hacer la compra.
-
El defraudador roba los datos de la tarjeta de crédito y el consumidor no recibe el producto. Cuando él examina el Certificado SSL para obtener mś datos sobre el Site, no encuentra nada a excepción del nombre del dominio. No existe un dirección verificada ni otras informaciones comerciales.
Debido a la ausencia de informaciones en Certificados DV, además de la facilidad para obtenerlos, ha permitido a los criminales que sean usados para sus actos delictivos, robando contraseñas y datos privados. Un estudio reciente de la Netcraft mostro que el 78% de los certificados SSL encontrados en servidores fraudulentos eran DV. Sin embargo, la mayoria de esos Certifiacdos no habían sido obtenidos exclusivamente para fines de Phishing, aquellos con dominios falsos solo poseian la validación de dominio. Los “blancos” más interesantes para los defraudadores eran Site conocidos para transaciones de e-commerce, como PayPal, Apple, Visa, MasterCard y varis bancos estrangeros. En los últimos tiempos, una ID Apple se volvio objeto de gran valor. Los defraudadores crean un Site de Appel falsousando un Certifiacado DV para atrair usuarios. Con esa credencial, un defraudador puede bloquear o localizar un telefono, hacer compras con iTunes y robar información sobre la víctima.
Entre tanto no son solo las grandes empresas las que se vuelven objetivos, empresas pequeñas y medianas tambien son objetivos comunes debido a su reducida sofisticación tecnológica. Las credenciales de un usuario obtenidas de una pequeña empresa que fue invadida, pueden ser usadas para crear un perfil falso de consumidor en otro Site. Esto ocurre porque nombres de usuario, contraseñas y otras informaciones personales muchas veces son reutilizadas por el consumidor, lo que facilita que los hackers intenten usar las mismas contraseñas en diferentes paginas Web.
A pesar de los riesgos asociados, un estudio reciente realizada por Symantec, mostro que maś de 1/3 de los Sites de e-commerce estan usando Certifiacados DV ( Estudio realizado por BuySAFE, Inc. en nombre de Symantec in Hidden-Dangers-Lurking-in-E-Commerce).
Los Certifiacados DV son de facil emisión, rápida y barata porque no existen procedimientos de validación manual.
Aunque todas las CA's necesitan realizar una “verificación de fraude”, básica en soluciones de Certifiacados DV, los defraudadores han adaptado sus metodos para así evitar la verificaciones. Por ejemplo, el nombre de “PayPal” es un objetivo de fraude común, por eso, las CA's tienen verificaciones automatizadas que buscan nombres semejantes en las solicitudes, como “pay-pal”, “securepaypal”, “p@ypal”, etc. Recientemente fue emitidos un Certificado para paypol-france.com, que despues fue usado para iniciar un ataque de phishing y robar contrasenãs de usuarios. Sería muchas más difícil para un defraudador obtener un Certifiacado OV o EV para ese nome, ya que requiere de una certificación manual.
Compare los dos certificados abajo. A la izquierda está el Certifiacadodel site “bookairfare.com”, y a la derecha está el Certifiacado de “ebookers.com”. Un consumidor que buscase vuelos baratos en un motor de busqueda podría ser redirecionado para esos dos sites, pero ¿como podría saber que empresa fue verificada?. Examiando el Certifiacado DV a la izquierda, no existe ninguna información comercial listada, lo que indica que ese es un Certifiacado DV. Comparelo con el Certifiacado de la derecha, que contiene amplios datos comerciales validados. Sin embargo la empresa de la izquierda se presupone auténtica, los datos no fueron validados, lo que significa que este podría ser un Site fraudulento.
Nota: Este sitio no es conocido como un sitio fraudulento. fuente: Paper Symantec (Hidden-Dangers-Lurking-in-E-Commerce)
Normamente, los defraudadores crean Sites fraudulentos con la finalidad de robar identidades y cuentas. Para aumentar la legitimidad del Site, ellos introducen muchos gráficos que simulan el Site original y obtienen un Certificado SSL, lo que da a los usuários un identificador visual de seguridad. Como ya he mencionado, es relativamente fácil obtener un Certificado DV y recibirlo en minutos. El Site es activado y el defraudador comienza a direcionar consumidores inocentes para él. Los consumidores ven el candado (habilitado por el Certifiacado DV) e introducen datos privados que pueden ser distribuídos en toda una red criminal. La figura de abajo muestra un ejemplo de e-mail de phishingy el Site asociado al usuario es llevado despues de clicar en el link incorporando.
Fuente: https://isc.sans.edu/forums/diary/httpsyourfakebanksupport+--+TLD+confusion+starts/18651 in Paper Symantec Hidden-Dangers-Lurking-in-E-Commerce)
O site tem uma página da Web convincente e mostra o cadeado:
Um exame do Certificado SSL revela que ele é um Certificado DV:
El hecho de que los defraudadores cibernéticos se esfuercen en obtener Certifiacados SSL indica que los usuários se acostumbran a buscr el candado o el “https” antes de realizar la transación. Muchos de estos Sites fraudulentos estan activos solo unos dias o horas, eso significa que, al contrario de empresas legítimas que solo necesitan Certifiacados una vez cada algunos años, los defraudadors hacen eso regularmente. Eles no dedicarian esfuerzos si no fuese ventajoso hacerlo.
El Site SSL Blacklist (https://sslbl.abuse.ch/) provee una lista de los Sites SSL asociados a actividades de malware o botnet. Una revisión de los cinco meses más recientes de datos indica que todos los Certificados SSL listados son de tipo DV o AutoFirmados (Certifiacados autofirmados o no confiables muestran un aviso del navegador, lo que los defraudadores tratan de evitar). Eso cofirma que la facilidad de obtener estos Certifiacados DV atrae a los defraudadores.