¿POR QUÉ NO DEBO ELEGIR CERTIFICADOS SSL GRATUITOS?

Como ya vimos en el post anterior las ventajas y desventajas de los certificados gratuitos y pagados, para que tomaran sus propias conclusiones, hoy en este artículo veremos el por qué NO deben elegir certificados gratuitos con un ejemplo de sitio Phising.

Muchas veces cuando entramos un sitio nos fijamos si este tiene o no candado de seguridad, pero no miramos realmente cuál es la procedencia de este certificado y solo confiamos e ingresamos nuestros datos. El problema es que nos podemos encontrar con sitios Phising que intentan robar nuestros datos y cuentan con el candado de seguridad, la pregunta es ¿Cómo un sitio Phising, que intenta robar nuestros datos pueden tener certificados SSL? La respuesta es sencilla, utilizando certificados gratuitos.

Estos certificados al ser emitidos gratuita y fácilmente, cualquiera puede tener acceso a ellos solo teniendo un dominio adquirido, ya que estos no pasan por un proceso de validación a la organización que los solicita, como lo son los certificados pagados, es aquí el gran problema, ya que es muy ocupado por hackers y eso perjudica la imagen de nuestros sitios si queremos adquirirlos.

Analisis de un caso real

Hace unos días nos llegó un correo phising simulando una transferencia de dinero a nuestra cuenta desde una cuenta del banco Scotiabank, analizaremos cual es el método que estos hackers ocupan.

Si vemos la imagen del correo que hemos recibido a simple vista parace fidedigno, pero si analizamos algunos detalles podremos ver que es un correo phising e intentan robar nuestros datos.

Primeramente podemos ver que fue enviado por el correo scotiabank@enlinea.cl. Siempre que una empresa nos haga envío de un correo, nos lo hará de algún correo institucional, por ende deberia ser algun correo @scotiabankchile.cl, ya que ese es el dominio del sitio web.

Hemos decidido cuando recibimos este correo seguir los pasos que nos indican para ver donde se hace el robo de datos, verificamos primero a que link nos direcciona si damos clic en Estado de cuenta, que es lo que nos piden que hagamos en el correo.

Lo analizamos con la herramienta inspeccionar con el navegador Google Chrome y nos dimos cuenta que en ese botón está asociado la url cetakdusmakan.com/scotiabank.php, podemos ver que no es un sitio oficial de Scotiabank Chile, pero de todas formas para analizar le dimos clic y al momento de abrir el sitio nos redirecciono a otro sitio.

Al ver este sitio nos dimos cuenta que primero, la url tampoco corresponde al sitio oficial de Scotiabank (www1.online-scotia.cl.acc-chile.info), pero luce exactamente igual (Sitio Phishing) y cuenta con el antes mencionado candado de seguridad.

Para poder ver la procedencia de este certificado, solo hace falta dar clic en el candado y luego en ver Certificado.

Al ver los datos del certificado podemos ver que es un certificado Let’s Encrypt, que se obtiene de forma gratuita.

Los certificados pagados como pasan por procesos de validación a la organización que lo adquiere cuando se trata de una empresa real o una que no existe, en caso de que si la organización no existe oficialmente no emitirán el certificado y el sitio nunca podría adquirir la seguridad ni mostrar que es un sitio auténtico.

CONCLUSIÓN

Como conclusión si vas aun sitio que dudas de su procedencia verifica que realmente tengan un certificado emitido por alguna entidad certificadora, ya que es la única forma que sepas que esa organización existe como tal y no es un sitio falso que pueda robar tus datos.

Si tienes un sitio web que quieras proteger, intenta gastar un poco de dinero en un certificado que pueda probar que es un sitio auténtico, esto dará confianza a los usuarios que ingresan a tu sitio y sabrán que sus datos estarán protegidos, además de las ventajas de garantía y posicionamiento que explicamos en el post anterior.

Abrir chat
Contáctanos