Aprenda cómo los certificados EV pueden ayudar tanto a los bancos como a los titulares de cuentas a protegerse de los ciberdelincuentes
Que la nueva pandemia de coronavirus haya acelerado los hábitos de exploración de los consumidores no es nada nuevo. Pero junto con la pandemia vino el aumento de intentos y ocurrencias de delitos digitales. En países como Brasil, el robo de datos de tarjetas de crédito y la recopilación fraudulenta, son los delitos cibernéticos más comunes desde que se extendió Covid-19, según una investigación realizada por TransUnion, una empresa global de análisis de información. Los brotes son diferentes según el público objetivo, pero según cifras del dfndr lab, el laboratorio especializado en seguridad digital de PSafe en Brasil, el número total de detecciones supera las decenas de millones.
Este número no está relacionado con el número de víctimas, sino con el número de intentos de estafa en esta categoría, realizados a través de sitios web falsos que se hacen pasar por páginas legítimas de bancos e instituciones financieras, vigilando los datos de los usuarios. En el mismo período de 2019, se registraron poco más de 7 millones de ataques de phishing bancario en el país. Este tipo de estafa tiende a abusar del nombre de los grandes bancos para atraer la confianza de las víctimas. Además, generalmente se propagan a través de enlaces maliciosos y aplicaciones falsas.
“Por el lado de las instituciones financieras, debemos recordar que, incluso si los usuarios han sido blanco de ataques a través de enlaces maliciosos, la situación puede volver a dañar la imagen de la empresa, que a menudo tiene un precio inestimable”, afirmó Dean Coclin, director senior de desarrollo de negocios en DigiCert.
Los certificados TLS pueden ayudar a resolver el problema
Para evitar una estafa, el uso de certificados TLS para cifrar datos e identificar sitios web se ha expandido drásticamente en Internet. Esto ha sido impulsado por navegadores que muestran indicadores negativos para sitios que no son https, lo que alienta a los sitios web a usar TLS. Por lo tanto, es fundamental que las instituciones financieras inviertan en el uso de certificados TLS y que los titulares de cuentas sepan cómo protegerse.
Los certificados TLS vienen en tres variedades, pero Extended Validation (EV) que agrega pasos de validación adicionales y ofrece el nivel más alto de autenticación, para salvaguardar su empresa y proteger a sus usuarios. Si bien no todos los sitios de la web utilizan certificados EV, las organizaciones líderes en el mundo los utilizan para garantizar la confianza de los usuarios.
En todos los casos, se proporciona cifrado entre el navegador y el servidor. Sin embargo, el cifrado no proporciona autenticación. Con los certificados EV, uno sabe que el navegador está encriptando datos en algún servidor con un nombre de dominio verificado, incluida la ubicación de la empresa e incluso más detalles con EV.
Cómo identificar un certificado EV
Durante años, los navegadores utilizaron una interfaz de usuario (UI) en su mayoría similar para distinguir EV de otros tipos de certificados, lo que les dio a los usuarios una clara indicación de que el operador del sitio había pasado por una fuerte validación de identidad. Esto generalmente mostraba un candado verde seguido del nombre de la empresa y su jurisdicción junto a la URL, según el navegador. Muchos han pedido una visualización uniforme para facilitar a los usuarios de la web la identificación de los sitios de vehículos eléctricos, pero hasta la fecha, los navegadores han decidido de forma independiente entre sí buscar pantallas de interfaz de usuario específicas para su comunidad de navegadores web.
Varios navegadores han anunciado cambios en la interfaz de usuario para los certificados EV que requieren que los usuarios miren más allá del candado para determinar la identidad de un sitio.
“La autoridad de certificación utiliza un método de autenticación riguroso y auditado, y los navegadores controlan la presentación, lo que dificulta que los falsificadores imiten su marca e imiten su sitio en línea en su intento de engañar a sus clientes.”, agrego Dean Coclin.
A continuación conozca cómo puede identificar un sitio web verificado en diferentes navegadores:
- Apple Safari: después de hacer clic en el candado, la última oración indica que se trata de un certificado EV porque la información de identidad del sitio está allí. Safari no proporciona este detalle para otros tipos de certificados.
- Google Chrome: Chrome ha movido la pantalla detrás del candado, lo que significa que uno debe hacer clic en el candado para ver el nombre de la empresa (en gris) junto con la jurisdicción de incorporación (entre paréntesis). Consulte Si aparece "Emitido a: {Nombre de la empresa} [Jurisdicción]" debajo de "Certificado (válido)", entonces el sitio tiene un certificado EV.
- Microsoft Edge: Edge ahora está construido sobre Chromium, por lo que la pantalla EV es muy similar a la de Chrome.
- Mozilla Firefox: con el lanzamiento de Firefox 70, un clic en el candado muestra el nombre de la empresa para los certificados EV. Un clic adicional en Firefox muestra los detalles extendidos, lo que permite que una parte de confianza verifique el nombre y la dirección del sitio web.
El debate sobre la pantalla de EV "correcta" continúa dentro de la comunidad, y probablemente habrá más iteraciones en los próximos años, lo que puede afectar la confianza directa del usuario. Ante la ausencia actual de una forma uniforme de mostrar una identidad y confianza más sólidas en todos los navegadores web, los consumidores que navegan por la web y otras partes de confianza, deben saber por sí mismos cómo mirar más allá del candado para identificar información sobre la propiedad del sitio.