peligros ocultos del comercio electrónico

Peligr

os o

cu

ltos d

el co

mer

cio

elec

tr

nic

o: u

so d

e cer

tifica

do

s ssl a

dec

ua

do

s Par

a r

edu

cir

las esta

fas

Peligros ocultos del comercio electrnico:

Uso de certificados SSL adecuados para reducir las estafas

libro blanco

2Peligros ocultos del comercio electrnico: Uso de certificados SSL adecuados para reducir las estafas

Peligros ocultos del comercio electrnico: Uso de certificados SSL adecuados para reducir las estafas

ndice

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Qu es un certificado digital y qu es SSL? . . . . . . . . . . . . . . . . . . . . . 3

Proteccin de los datos en los sitios web con transacciones:

SSL y certificados digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Certificados SSL con EV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Por qu no sirven los certificados con validacin de dominio

para el comercio electrnico? Qu problema tienen? . . . . . . . . . . . . . . . 8

Validacin de la empresa y EV: seguridad para el cliente . . . . . . . . . . . . . . 9

Validacin de dominio: mayor riesgo de estafa . . . . . . . . . . . . . . . . . . . . 9

Comparativa de certificados SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Recomendaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13


Los certificados SSL con validacin de dominio suponen una amenaza directa para quienes compran por Internet, ya que los ciberdelincuentes suelen utilizar estos certificados para hacerse pasar por comercios electrnicos legtimos. Este docu-mento versa sobre SSL, los diferentes tipos de certificados, los mtodos que utilizan los delincuentes para sustraer datos personales y financieros mediante certificados con validacin de dominio y qu se puede hacer para frustrar sus intentos.

Introduccinen 1994 se llev a cabo la primera compra en lnea de la historia: una pizza de pepperoni con championes y extra de queso en Pizza Hut. un ao ms tarde, amazon vendi su primer libro, Fluid Concepts & Creative Analogies: Computer Models of the Fundamental Mechanisms of Thought, de douglas Hofstadter2. dos dcadas despus, se calcula que las ventas mundiales de los comercios electr-nicos ascienden a ms de 1,2 billones de dlares. Qu ha hecho posible un cambio tan espectacular en nuestros hbitos de compra? la confianza.

la confianza en quienes nos venden sus productos y en que la informacin que les enviamos est protegida, porque donde hay dinero nunca faltan delincuentes dispuestos a aprovechar cualquier oportunidad para hacerse con l.

Pero cul es el fundamento tcnico que respalda esa confianza? la respuesta, en parte, est en la tecnologa secure sockets layer (ssl) y, ms en concreto, en los certificados digitales: una tecnologa fiable que lleva dcadas dando buenos resultados y que puede seguir hacindolo. sin embargo, para que todo vaya bien, hay que implantar la tecnologa de forma responsable. no todos los certificados son iguales y, en la actualidad, los delincuentes ms avispados han encontrado la forma de corromper un sistema que estaba ideado para detenerlos. Para que la confianza siga existiendo tenemos que asegurarnos de que los certificados se ajusten al fin con el que se implantan y de que cuando los clientes envan su informacin confidencial por internet el destinatario no sea un delincuente.

los estudios de norton concluyen que el coste estimado de los delitos contra los clientes del comercio electrnico asciende a unos 113 000 millones de dlares al ao4, casi diez veces el coste de los Juegos olmpicos de londres de 2012. el coste para cada vctima se ha disparado hasta los 298 dlares, un 50 % ms que en 2012. en lo que respecta a la cantidad de vctimas de estos ataques, se calcula en 378 millones al ao, una media de ms de un milln de vctimas al da.

Qu es un certificado digital y qu es SSL?Para llevar a cabo transacciones en lnea, los clientes y los negocios necesitaban un mtodo seguro para transmitir los nmeros de tarjeta de crdito, las contraseas y otros datos personales. la respuesta lleg en los aos 90 de la mano de netscape con la invencin de la tecnologa ssl. desde ese momento, se convirti en la tecnologa que protege gran parte de internet y, en definitiva, la que hace posible el comercio electrnico. con ella, se activa el smbolo del candado en el navegador y el cliente sabe que si le enva al vendedor los datos de su tarjeta de crdito nadie ms podr descifrarlos. todos los datos que se envan mediante ssl van cifrados. sin ssl, la informacin de la tarjeta de crdito (o la contrasea, el nmero de cuenta, el nmero de la seguridad social, la direccin, etc.) se enviara a travs de internet como texto normal y cualquiera podra verla. sera como enviar los datos

1 http://www.huffingtonpost.com/2013/09/09/pizza-hut_n_3894981.html2 http://askville.amazon.com/item-sold-amazon-happen/answerViewer.do?requestid=27466203 http://www.emarketer.com/article/global-B2c-ecommerce-sales-Hit-15-trillion-this-Year-driven-by-growth-emerging-markets/10105754 informe de norton sobre delincuencia en internet de 2013: go.symantec.com/norton-report-2013


bancarios por correo ordinario escritos en una postal sin sobre: cualquiera podra apoderarse de la informacin.

Pero hay un problema: el cifrado solo resulta til cuando se conoce el destinatario de la informacin y se est seguro de que solo l podr descifrarla. ah es donde entran en juego los certificados.

Proteccin de los datos en los sitios web con transacciones: SSL y certificados digitaleslos sitios web cifran la informacin a travs de los certificados digitales que emiten unas empresas denominadas autoridades de certificacin. la mayor de estas empresas es symantec (antes conocida con el nombre de Verisign5). una autoridad de certificacin es un tercero de confianza que comprueba los datos de quienes solicitan certificados a travs de bases de datos, llamadas telefnicas y otros mtodos. cabe subrayar que la autoridad de certificacin no comprueba la fiabilidad del negocio en s; se limita a comprobar que este existe y a emitir las credenciales (los certificados digitales).

la mayora de las autoridades de certificacin principales emiten tres tipos de certificados ssl: con validacin de dominio (dV), con validacin de la empresa (oV) y con extended Validation (eV).

en un principio, solo existan los certificados ssl con validacin de la empresa. Para emitirlos, la autoridad de certificacin se limita a comprobar el nombre del dominio, determinados datos de la empresa y que la persona que solicita el certificado trabajaba en ella. el proceso tarda entre 2 y 5 das laborables y una vez terminado la autoridad emite el certificado para el sitio web, que utiliza ese certificado para proteger las compras por internet mediante ssl. Por ejemplo, para comprar un certificado web para www.amazon.com, amazon tendra que enviarle a a la autoridad de certificacin informacin sobre el servidor web y pruebas de que es una empresa real.

este sistema funcion bien durante muchos aos, pero algunas empresas se empezaron a quejar del tiempo necesario para verificar la informacin. Pedan una solucin ms rpida que ofreciera el mismo nivel de cifrado. como consecuencia, a principios de este siglo apareci en el mercado el certificado con validacin de dominio. este certificado se emite muy rpidamente porque al solicitante solo se le pide que demuestre tener derecho a utilizar el nombre de dominio, no se comprueba ningn dato ms de la empresa. Por ejemplo, si alguien compra el dominio www.mitiendafavorita.com, puede obtener un certificado con validacin de dominio con solo solicitarlo a una autoridad de certificacin y contestar a un mensaje de correo electrnico enviado por dicha autoridad. en cuanto la autoridad de certificacin recibe la respuesta, el certificado se emite automticamente. a partir de ah, el solicitante puede crear un sitio web en el dominio mitiendafavorita.com y ofrecer pago seguro con tarjeta de crdito. los clientes vern el candado en el navegador que indica que el trfico de datos con ese servidor est cifrado.

evidentemente, el problema reside en que no se comprueba si mitiendafavorita.com es un negocio legtimo o si se trata de una estafa.

5 symantec adquiri Verisign en 2010.


a continuacin se compara el aspecto en el navegador (internet explorer) de un certificado con validacin de dominio (carbon2cobalt.com) y el certificado con validacin de la empresa (amazon.com):

Con validacin de dominio Con validacin de la empresa

(capturas de pantalla obtenidas en internet explorer de la informacin que aparece al hacer clic en el

candado de la barra de direcciones > Ver certificados > pestaa detalles > campo sujeto)

como se puede ver, el certificado con validacin de dominio carece de informacin sobre la empresa ms all del nombre del dominio. no hay forma de saber dnde est la sede de la empresa ni quin es el propietario y, como el nombre de la empresa no se ha validado, esta informacin tampoco se muestra. en el certificado con validacin de empresa de amazon.com, se incluye el nombre de la empresa y su ubicacin porque la autoridad de certificacin ha comprobado esos datos.

desgraciadamente, los navegadores no distinguen entre los certificados con validacin de dominio y los certificados con validacin de la empresa, a pesar de que estos ltimos conllevan un proceso de verificacin ms exhaustivo (profundizare- mos en este tema ms adelante): con ambos certificados se muestra en pantalla un candado. las capturas de pantalla que aparecen en la siguiente imgen muestran dos sitios web diferentes. ambos usan la tecnologa ssl, como confirma la presencia del candado, pero cul tiene un certificado con validacin de dominio y cul con validacin de la empresa? dicho de otro modo, cul de los dos ha demostrado simplemente que tiene un nombre de dominio y cul ha presentado pruebas de su identidad? sin hacer clic en el candado para ver ms detalles no se puede saber, y pocos clientes consultan esos detalles; la mayora no sabe que la informacin est ah y mucho menos interpretarla. sera tremendamente til que los navegadores mostraran esa informacin (tipo de validacin, datos sobre la legitimidad de la empresa) de modo que los clientes pudieran entenderla fcilmente o que se establecieran limitaciones al uso de los certificados con validacin de dominio.


en conclusin, para los delincuentes es relativamente fcil crear un sitio web falso y conseguir un certificado de validacin de dominio para servirse del candado como disfraz de legitimidad. tras tranquilizar a los clientes con esa falsa sensacin de seguridad, los criminales se apoderan fcilmente de sus datos privados.

Certificados SSL con EVen respuesta a las quejas de varias de las partes implicadas, as como para reforzar los procesos de autenticacin y la seguridad en internet, las autoridades de certi-ficacin y los navegadores fundaron en 2006 una asociacin denominada ca/Browser forum para discutir estos asuntos. entre los primeros participantes se encontraban microsoft, symantec, comodo, entrust y mozilla. la primera accin que llev a cabo este grupo fue acordar las especificaciones de un nuevo tipo de certificado que pasara a ser extended Validation (eV). con estos certificados, la autoridad de certificacin realiza una comprobacin ms exhaustiva del solicitante para aumentar el nivel de confianza en la empresa y, como el navegador ofrece ms informacin, al usuario le resulta muy fcil identificar este tipo de certificado. a continuacin se muestra un ejemplo de un certificado con eV:

en este caso, es evidente que el certificado (y el sitio web) pertenecen a Bank of america, de chicago, estados unidos. la autoridad de certificacin ha verificado esa informacin a travs de un proceso de validacin que conlleva el examen de documentos corporativos, la comprobacin de la identidad del solicitante y el cotejo de la informacin con la base de datos de un tercero.


adems, todos los navegadores ofrecen indicadores visuales, normalmente un candado o una barra de direccin verde, para indicar que el sitio web utiliza un certificado con eV. de este modo, al cliente le resulta mucho ms fcil saber que la identidad del sitio web se ha comprobado de forma rigurosa. tambin muestran el nombre de la empresa a la izquierda o la derecha de la direccin url. en la siguiente figura se pueden ver los distintivos que usan los principales navegadores para indicar que se trata de un certificado con eV. debido al proceso de validacin exhaustivo, estos certificados son mucho ms difciles de obtener.

los certificados con eV ayudan a determinar la legitimidad de la empresa propietaria del sitio web y sirven de apoyo para hacer frente a los problemas relacionados con el phishing, el software malicioso y otros tipos de estafas en lnea. como proporcionan informacin sobre la identidad y la direccin de la empresa contrastada por un tercero, los certificados con eV pueden:

1 . reducir el riesgo de ataques de phishing u otros tipos de robos de identidad que se valen de certificados;

2 . servir de ayuda a las empresas que sufran ataques de phishing u otras estafas de robo de identidad, ya que proporcionan una herramienta que les permite identificarse mejor ante sus usuarios;

3 . facilitar las investigaciones de las fuerzas de seguridad en cuanto a phishing y otras estafas de robo de identidad (por ejemplo, para ponerse en contacto, investigar o emprender acciones legales contra el sujeto).

debido al rigor de los procesos de validacin que siguen las autoridades de certificacin para comprobar la informacin de cada solicitante, la emisin de los certificados con eV suele ser ms lenta que la de otros certificados.

en comparacin con el certificado con validacin de dominio, se incluye mucha ms informacin sobre la empresa (tanta, que basta para determinar qu tipo de empresa es la que solicita el certificado) y todos esos datos los verifica la autoridad de certificacin.

el ca/Browser forum tambin aprob de manera unnime los requisitos bsicos que definen con exactitud los distintos tipos de certificados. antes de eso, eran las propias autoridades de certificacin las que decidan el proceso de validacin para


cada tipo de certificado, de modo que los solicitantes podan elegir la autoridad de certificacin en funcin de su rigor (o falta de l) a la hora de validar los expedientes. en la actualidad, todas las autoridades de certificacin tienen que respetar los requisitos bsicos, tanto si forman parte del ca/Browser forum como si no.

Por qu no sirven los certificados con validacin de dominio para el comercio electrnico? Qu problema tienen?la razn es muy sencilla: en el ejemplo de antes, mitiendafavorita.com no es un negocio real, sino una farsa creada por un impostor. cmo puede ser? Veamos el proceso paso a paso:1 . el estafador compra el dominio a travs de un registrador de dominios y, para

ello, utiliza informacin falsa y una tarjeta de crdito robada. el registrador concede el nombre de dominio mitiendafavorita.com al estafador.

2 . una vez que dispone del domino, el estafador solicita un certificado con valida-cin de dominio en una autoridad de certificacin. esta solo comprueba si el solicitante puede contestar a un mensaje de correo electrnico enviado a ese dominio. en cuanto recibe la respuesta, la autoridad de certificacin emite el certificado.

3 . el estafador crea un sitio web en el que supuestamente vende artculos de gran demanda popular, con una pgina para la cesta de la compra y otra para el pago con tarjeta de crdito.

4 . los clientes llegan al sitio web engaados por mensajes de correo electrnico o anuncios.

5 . una vez en el sitio web, el cliente ve el smbolo del candado y asume que el sitio web es legtimo, as que escribe los datos de su tarjeta de crdito para realizar la compra.

6 . el estafador recopila los datos y el cliente nunca recibe los artculos. despus, cuando comprueba los detalles del certificado ssl en el sitio web, se da cuenta de que detrs no hay ms que un nombre de dominio; no hay ninguna direccin fsica validada ni informacin sobre la empresa.

es tan sencillo conseguir certificados con validacin de dominio que muchos delincuentes se han valido de ellos para conseguir que los usuarios les propor-cionen informacin confidencial; desde nombres de usuario y contraseas hasta datos de tarjetas de crdito. segn un reciente estudio de netcraft, el 78% de los certificados ssl que se encontraron en servidores que albergaban sitios web fraudulentos tenan validacin de dominio. si bien la mayora de ellos no se soli- citaron exclusivamente para lanzar ataques de phishing, los que llevaban a dominios engaosos solo se haban sometido a validacin del dominio6. los objetivos ms atractivos para los estafadores son los sitios web ms utilizados para transacciones de comercio electrnico, como PayPal, apple, Visa, mastercard y bancos de distintos pases. recientemente, los id de apple se han convertido en datos muy codiciados, as que los estafadores crean sitios web de apple falsos dotados de un certificado con validacin de dominio para engaar a los usuarios. una vez que obtienen esa informacin, pueden bloquear o localizar telfonos, hacer compras en itunes y recopilar informacin sobre la vctima.

sin embargo, no todos los ataques van dirigidos contra grandes empresas. los delincuentes tambin atacan con frecuencia a las pymes debido a su escaso nivel de sofisticacin en cuestiones informticas. la informacin de usuario que se obtiene en los ataques a pequeas empresas a menudo se puede utilizar para hacerse pasar por ese usuario en otro sitio web, ya que los clientes suelen emplear

6 estudio de netcraft sobre 2355 sitios web de phishing que haban instalado un certificado ssl


los mismos nombres de usuario, contraseas y datos de acceso con frecuencia.segn una investigacin reciente realizada por symantec, ms de un tercio de los sitios web de comercio electrnico utilizan certificados con validacin de dominio,7 y no es de extraar en vista de lo fcil, rpido y econmico que resulta obtener estos certificados. aunque todas las autoridades de certificacin estn obligadas a realizar una comprobacin antifraude bsica en las solicitudes de certificados con validacin de dominio, los estafadores estn adaptando sus mtodos para esquivar esas comprobaciones. Por ejemplo, como el nombre PayPal es un seuelo frecuente para las estafas, las autoridades de certificacin han automati- zado una comprobacin que busca nombres similares, como pay-pal, p@ypal o securepaypal. Pero hace poco se emiti un certificado para paypol-france.com que se utiliz en ataques de phishing destinados a robar datos de acceso y no se sabe cuntos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos estafadores, habra sido mucho ms difcil obtener un certificado con validacin de la empresa o con extended Validation para ese nombre de dominio.

Validacin de la empresa y EV: seguridad para el clienteVamos a comparar los dos certificados que aparecen abajo. el de la izquierda es un certificado del sitio web bookairfare.com y el de la derecha, de ebookers.com. si un cliente busca vuelos baratos a travs de un motor de bsqueda, podra obtener estos dos sitios web como resultado. cmo sabemos si se ha verificado la existencia de estas empresas? al consultar el certificado de la izquierda, vemos que no hay informacin sobre la empresa, as que se trata de un certificado con validacin de dominio. en cambio, los datos del certificado de la derecha incluyen mucha informacin validada de la empresa. si bien la empresa de la izquierda podra ser legtima, sus datos no han pasado ningn proceso de validacin, con lo que tambin podra tratarse de un sitio web fraudulento8.

Validacin de dominio: mayor riesgo de estafalos delincuentes suelen crear sitios web fraudulentos con la intencin de robar identidades y secuestrar cuentas. la forma de hacer pasar estos sitios web por legtimos es aadirles muchas imgenes de modo que el aspecto sea idntico al del sitio web real e instalar un certificado ssl, que ofrece al usuario un indicador visual de seguridad. sin embargo, como ya se ha explicado antes, los certificados con validacin de dominio son relativamente fciles de obtener. una vez adquirido

7 estudio realizado por buysafe, inc. en nombre de symantec8 no hay evidencias de que este sitio web en particular sea fraudulento.

10


el dominio, el estafador puede solicitar el certificado y recibirlo en cuestin de minutos. entonces, solo tiene que crear el sitio web y atraer a los clientes para que lo visiten. los visitantes, al ver el candado, proporcionan sin reservas sus datos personales, que pasan a estar en poder de las redes de delincuentes.

las siguientes imgenes muestra un ejemplo de un mensaje de phishing y el sitio web asociado al que se llega tras hacer clic en el enlace incrustado9.

el sitio web tiene un aspecto verosmil y muestra el candado:

9 https://isc.sans.edu/forums/diary/httpsyourfakebanksupport+--+tld+confusion+starts/18651

11


si consultamos los detalles del certificado ssl, vemos que se trata de un certificado con validacin de dominio:

el hecho de que los ciberdelincuentes se tomen la molestia de adquirir un certificado ssl demuestra que los usuarios se han acostumbrado a comprobar la presencia del candado y el indicativo https antes de realizar transacciones. muchos de estos sitios web de estafas solo estn activos durante unos das, o incluso horas, lo que significa que los delincuentes tienen que solicitar certificados constantemente (a diferencia de los negocios legtimos, que solo tienen que enviar una solicitud cada varios aos). si no fuera rentable solicitar los certificados, no lo haran.

el sitio web ssl Blacklist (www.sslbl.abuse.ch) ofrece una lista de los sitios con ssl que estn relacionados con software malicioso y botnets. al comprobar los ltimos cinco meses de datos, vemos que todos los certificados ssl de la lista negra tienen validacin de dominio o son autofirmados (con los certificados autofirmados o de poca confianza, el navegador muestra una advertencia que los estafadores prefieren evitar). esto evidencia que la facilidad de obtencin de los certificados con validacin de dominio resulta atractiva para los delincuentes.

Comparativa de certificados SSLesta tabla ofrece una comparativa de los tres tipos de certificados ssl disponibles en el mercado:

como se ha mencionado anteriormente, los certificados con validacin de dominio no ofrecen ningn tipo de informacin sobre la empresa; solo sirven para cifrar los datos. Hay usos vlidos para estos certificados: en sitios web que no son de comercio electrnico o con una probabilidad baja de sufrir un ataque de phishing (es decir, en los que el atacante no puede obtener beneficios econmico) .

tipo Validacin del dominio?

cifrado https?

Validacin de identidad

Validacin de direccin?

muestra candado en navegador?

Barra de direccin verde y otras marcas especiales?

Precio relativo habitual

dV

oV

eV

s s ninguna no s no $

s s Buena s s no $ $

s s muy buena

s s s $ $ $

12


el cambio de uno de estos certificados a un certificado con validacin de la empresa o con eV implica un gasto adicional para el propietario del sitio web, pero la diferencia es sorprendentemente poca. la siguiente tabla compara los precios de venta de los distintos tipos de certificado en los principales proveedores (segn datos de agosto de 2014):

tipo rapidssl godaddy comodo digicert geotrust/thawte

globalsign symantec

dV

oV

eV

49 $ 69 $ 79 $ n/P 149 $ 249 $ n/P

n/P 99 $ 99 $ 175 $ 199 $ 349 $ 399 $

n/P 199 $ 449 $ 295 $ 299 $ 899 $ 995 $

Precios de venta de un certificado ssl vlido durante un ao. los precios de algunos

proveedores incluyen servicios adicionales que aaden valor al producto.

Por un desembolso adicional relativamente pequeo (si lo comparamos con el precio de los certificados con validacin de dominio), las empresas legtimas que se dedican al comercio electrnico pueden adquirir un certificado con validacin de la empresa o con eV. as, los clientes contaran con confirmacin de que se ha verificado la empresa y veran en el certificado de datos de direccin y contacto a los que recurrir en caso de necesitarlo.

los certificados con eV, adems, ofrecen una ventaja adicional: una seal visual (la barra verde) en el navegador que le indica al cliente que la empresa se ha sometido un riguroso proceso para obtener el certificado, que la autoridad de certificacin ha verificado la informacin y que hay ms probabilidades de que se pueda confiar en el sitio web.

Resumen

como subraya esta vieta, por internet es muy fcil fingir que eres otra persona. teniendo en cuenta que todos interactuamos en internet, es importante comprender los peligros que acechan y contribuir a que el sector pueda tomar medidas. la realidad es que las compras por internet pueden ser muy compulsivas

10 Vieta de Peter steiner, publicada en The New Yorker, 5 de Julio de 1993 (reproducida bajo licencia de conde nast) (en internet, nadie sabe que eres un perro).

10

13


(compre ahora!) y, como el coste, la rapidez del envo y la poltica de devolucin son aspectos prioritarios, la seguridad suele caer en un segundo plano. no es de extraar que los ciberdelincuentes se hayan lanzado en masa, atrados por lo fcil que es conseguir resultados muy lucrativos con un mnimo esfuerzo. es precisamente esta tendencia la que hace que la seguridad, y sobre todo el uso de la seguridad en lnea, sea ms importante que nunca. el comercio electrnico tiene un peso importante en la economa mundial y las empresas tienen la posibilidad de protegerlo.

ahora que la gente pasa cada vez ms tiempo conectada a internet, es responsabi-lidad de todos ser ms exigentes con los sitios web que visitamos. se estima que, en los doce meses anteriores a marzo de 2014, casi 25 000 de los sitios web sospe- chosos de lanzar ataques con phishing utilizaban certificados ssl vlidos11. esta situacin pone en gran riesgo los cimientos de la confianza en el comercio elec-trnico. los ataques de phishing, en el fondo, son una evolucin de los timos de siempre y podramos ver a quienes los orquestan como timadores expertos en tecnologa y ladrones de identidades. los atacantes se valen de spam, sitios web maliciosos, mensajes electrnicos y mensajera instantnea para conseguir que sus vctimas revelen informacin privada, como nmeros de cuentas bancarias y tarje-tas de crdito. en este contexto, el sitio web es un elemento clave: si los clientes no saben distinguir los sitios web de confianza, tenemos un serio problema.

la industria necesita garantizar que los consumidores que gastan su dinero en compras por internet puedan confiar en el sitio web del vendedor. Para eso, los vendedores tienen que dar el paso y adoptar el tipo de certificado ssl que hace del comercio electrnico un mtodo de compra digno de confianza.

Recomendacionesrecomendamos que los sitios web de comercio electrnico utilicen, como mnimo, certificados con validacin de la empresa o con eV para proteger el sitio web y para ofrecer informacin de autenticacin vlida, y creemos que esta medida debera ser un requisito obligatorio. los certificados con validacin de dominio estn presentes en aproximadamente un tercio de los comercios electrnicos y son tan fciles de obtener que los estafadores los utilizan en los ataques de phishing. Por eso no son suficientes para garantizar la proteccin necesaria para esta actividad.

el hecho de que en 201312 quedaran al descubierto 552 millones de identidades es un claro indicativo de que la seguridad del comercio electrnico tiene que mejorar. una vez robados esos datos, los atacantes pueden obtener acceso a otras cuentas a travs de las funciones de recuperacin de contraseas de las pginas web y, segn el tipo de informacin robada, incluso podran utilizarla para hacer transferencias bancarias a cuentas que controlan o crear tarjetas de crdito fraudulentas.

al exigir que los comercios electrnicos utilicen, como mnimo, un certificado con validacin de la empresa se consigue:1 . facilitar el comercio;2 . hacer de internet un lugar ms seguro;3 . aumentar la credibilidad de los pequeos negocios legtimos;4 . proteger a los consumidores;5 . reducir el fraude;6 . potenciar la confianza.

11 datos obtenidos en estudios de symantec12 informe sobre las amenazas para la seguridad en internet de 2014, vol. 19

14


si exigimos a los comercios electrnicos que usen certificados con validacin de la empresa, se aumenta la inversin de tiempo y dinero necesaria para que el estafador obtenga el certificado, porque:1 . estos certificados requieren que haya una empresa detrs, por lo que habra

que dar los pasos necesarios para registrar la empresa;2 . estos certificados implican una verificacin a travs de una llamada telefnica

o informacin de fuentes de datos pblicas, lo que resulta un escollo para los estafadores porque se expondrn si indican una ubicacin fsica.

sin embargo, los negocios legtimos ya cumplen con estos requisitos, por lo que obtener un certificado con validacin de la empresa no les supone ningn tiempo adicional.

los usuarios finales tienen derecho a exigir cierto nivel de seguridad cuando realizan compras por internet. si se obligara a las tiendas en lnea a optar por certificados con validacin de la empresa o con eV, se contribuira a proteger a los consumidores con un coste adicional mnimo para las tiendas. los certificados con validacin de dominio son adecuados para otros fines, como blogs y sitios web de inicio de sesin en los que la posibilidad de robar dinero o datos personales es mnima y carecen de atractivo para los delincuentes. Pero no es ese el caso de los comercios electrnicos.

los navegadores tambin podran ofrecer marcas reconocibles a primera vista que ayudaran a los usuarios a distinguir unos certificados de otros. como hemos comentado anteriormente, los navegadores no marcan una distincin inmediata entre los certificados con validacin de dominio y los que tienen validacin de la empresa porque los desarrolladores creen que el usuario no es capaz de compren-der la diferencia. algunos estudios muestran que, si los usuarios tienen demasiada informacin, terminan por hacer caso omiso de ella13, mientras que otros abogan por un icono fcil de comprender acompaado de la informacin que los usuarios necesitan explicada en un lenguaje sencillo. usemos como ejemplo la investigacin realizada en carleton university, ontario (canad)14, que muestra a los usuarios tres ejemplos de pantalla. los que aparecen abajo son posibles indicadores disea-dos para ensear a los usuarios que, aunque el trfico de datos se cifra en todos los casos (Privacy Protected), existen tres niveles diferentes de autenticacin que se explican claramente. la imagen de la izquierda podra corresponder a un certi-ficado con validacin de dominio, dado que el nivel de confianza en la identidad es bajo. la advertencia del centro, en la que el nivel de confianza en la identidad es medio, correspondera a un certificado con validacin de la empresa. Por ltimo, la imagen de la derecha correspondera al nivel alto de confianza en la identidad que ofrecen los certificados con eV. este estudio mostr una mejora sustancial en el nivel de comprensin de estas advertencias por parte de los usuarios.

13 The Emperors New Security Indicators (2007), schechter, dhamija, ozment y fischer 14 Browser Interfaces and Extended Validation SSL Certificates: An Empirical Study, www.scs.carleton.ca/~paulv/papers/ccsw09.pdf

15


nosotros apoyamos la realizacin de ms estudios con el objetivo de determinar qu advertencias resultaran ms eficaces para la mayor parte de los usuarios.

en este documento hemos mostrado dos formas de reducir las estafas que se valen de certificados con validacin de dominio: exigir que los comercios electrnicos utilicen certificados con validacin de la empresa o con eV y mejorar la interfaz de los navegadores para facilitar la distincin de los certificados. Ha llegado el momento de que todos trabajemos juntos, sumando esfuerzos, para hacer frente a los problemas mencionados aqu.

Copyright 2015 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobacin, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros pases por Symantec Corporation o sus filiales. Los dems nombres pueden ser marcas comerciales de sus respectivos propietarios..

UID: 243/01/15


Ms informacin

Visite nuestro sitio web

http://www.symantec.es/ssl

Hable con un especialista en productos de symantec

llame al 900 93 1298 o al +41 26 429 7727.

acerca de symantec symantec protege la informacin del mundo y es lder en soluciones de seguridad, copia de seguridad y disponibilidad. nuestros innovadores productos y servicios protegen a las personas y salvaguardan la informacin en todo tipo de entornos: desde el dispositivo mvil ms pequeo hasta el centro de datos de una empresa o los sistemas alojados en la nube. nuestra experiencia inigualable en el mbito de la proteccin de datos, identidades e interacciones da confianza a nuestros clientes en un mundo conectado. Visite www.symantec.es para obtener ms informacin o conecte con nosotros en: go.symantec.com/socialmedia.

sede de symantec en espaaParque empresarial la finca somosaguasPaseo del club deportivo edificio 13, oficina d128223, Pozuelo de alarcn madrid, espaawww.symantec.es

IntroductionWhat is a Digital Certificate and what is SSL?SSL and Digital Certificates: Securing Transactional Website DataEV SSL CertificatesWhy not DV certificates?Whats the problem with DV certificates?Consumer safety with OV and EVWhy risk of fraud with DV is higherSSL Certificates at a glance SummaryRecommendation

peligros ocultos del comercio electrónico

Documents