Ciberseguridad

Por qué el “candado” en una URL no es garantía de seguridad

Los atacantes ya consiguen estos certificados para hacer las webs más creíbles. Recomendaciones alternativas para seguir navegando sin riesgos.

Periodista.

3 minutos

El famoso candado ya no sirve como marca de seguridad para las páginas web.

Hasta hace poco tiempo, ver el símbolo del candado cerrado junto a la dirección de una página web era un atajo acertado para saber si podíamos confiar o no en un sitio antes de ingresar datos personales o bancarios. Pero esta práctica ha quedado obsoleta y a día de hoy no garantiza que esa web esté libre de estafas, robo de datos y otros riesgos.

El candado cerrado y la URL que comienza con “https://” significan que la página cuenta con un certificado SSL que cifra la comunicación entre el navegador y el servidor. Es decir, que la información transmitida entre el navegador del usuario y el sitio será exclusiva de estas dos partes, y que terceros no podrán leer, acceder o interceptar los datos.

Pero ahora los ciberdelincuentes pueden obtener estos certificados para dar una falsa apariencia de seguridad a sitios maliciosos, ya que organizaciones como Let’s Encrypt ofrecen certificados SSL de forma gratuita, tal como indican desde Genbeta. A la vez, este tipo de certificación no proporciona ninguna información sobre lo que hace esa web con nuestros datos una vez que los entregamos.

En 2023 más del 90% de los sitios web de phishing utilizaron el protocolo HTTPS, y casi todos los sitios web de phishing emplean un certificado SSL válido.

Entonces, puede ser que estemos ante una página que asegura una comunicación cifrada entre nosotros y los mismos delincuentes, en la que de todos modos estamos expuestos a ser víctimas de malware o phishing.

Y si bien la regla de que “una web ‘sin candado’ (HTTP, sin la ‘S’ final) siempre será insegura” sigue estando vigente, la realidad es que estas páginas son cada vez son menos frecuentes.

Un informe de la APWG, el consorcio internacional que lucha contra phishing, señala que en 2023 más del 90% de los sitios web de phishing utilizaron el protocolo HTTPS, y que casi todos los sitios web de phishing emplean un certificado SSL válido. Esto representa un aumento del 40% con respecto a 2019.

Algunos criterios para verificar la seguridad

Lo primero que podemos mirar para saber si una página es confiable es consultar sus datos de “Contacto”, la sección “Quiénes somos” o “Nosotros”, para conocer un poco más a fondo la empresa que gestiona la web. En caso de que no logremos dar con esta información, podemos comenzar a sospechar.

Otra clave es mirar que en la dirección de contacto coincida el dominio con el nombre de la tienda. Si se trata de una cuenta gratuita del tipo Gmail o Outlook, debemos estar alertas.

También es importante revisar si la página tiene las secciones de “Aviso Legal” y “Condiciones de compra”, que son informaciones que todo e-commerce debe tener para cumplir con las diferentes normativas como el RGPD, la LSSI o la LOPD. Aquí deben aparecer los datos de la empresa o el responsable de las ventas, donde podemos ejercer los derechos de reclamación, devolución y las condiciones de envío.

A la vez, si las secciones “Quiénes somos”, “Aviso legal”, “Política de privacidad” o “Condiciones de compra”, existen pero los textos están incompletos, mal escritos o directamente, vacíos, es muy probable que estemos ante una tienda fraudulenta.

La redacción, tanto de la URL como de la página en general, es muy importante. Una técnica de phishing muy común es crear páginas web falsas para suplantar la identidad de otras personas, empresas o entidades, manteniendo el nombre original pero cambiando alguna letra o símbolo muy sutil, para que el usuario, al mirar rápido, no note la diferencia. Por ejemplo, suplantar una ‘i’ mayúscula (I) por el símbolo '|’, puntos o guiones donde originalmente no había, etc.

Por otro lado, el contenido de la página, si es fraudulenta, puede tener errores gramaticales, faltas de ortografía, diseños no homogéneos, es decir, que no coincidan las fuentes o los colores, así como enlaces que no direccionen a ningún lugar.

Si aun así quedan dudas de la legitimidad de la web en cuestión, hay herramientas online que permiten rastrear una URL en busca de malware u otras amenazas. VirusTotal, por ejemplo, es un servicio gratuito que comprueba con multitud de bases de datos de proveedores de antivirus y en tiempo real si el enlace que se introduce es malicioso o seguro.

Otra opción es Fakeinet, que reporta páginas sospechosas de phishing, tiendas falsas y otros fraudes. Evalúa categorías como ‘Grandes descuentos y precios bajos’, ‘Solo pago con tarjeta y transferencia’, ‘Textos sin traducir’, ‘Ausencia de datos de la empresa’, ‘Redes sociales sin perfiles reales’ o ‘No existen comentarios de los usuarios’, que son parámetros sobre los que hay consenso como indicadores de sitios peligrosos.