Una de las recomendaciones que hacemos los que trabajamos en la seguridad tecnológica es que siempre que vayamos a poner nuestros datos personales en una web nos fijemos que sea https.
Pues bien ahora mismo no vale ya con fijarnos en que sea https, sino que tendremos que comprobar también que la url es creíble.
HTTPS
El protocolo seguro de http nos garantiza que la información de nuestros datos que viaja en la transacción que estemos realizando va encriptada.
Es decir, que aunque se realizase un ataque Man in the middle (hombre en medio) y capturasen las tramas no podrían ver la información en plano porque va cifrada.
Actualmente existen multitud de entidades que ofrecen certificados gratuitos por lo que ya no es una garantía únicamente el poseer el certificado.
Situación reales en posibles ataques
Tal y como explico en uno de las pruebas de concepto que realizamos en el curso de Ciberseguridad, es muy fácil obtener información de fuentes de acceso público.
Información tan útil como por ejemplo, tus direcciones web visitadas, lo que nos podría dar muchas pistas sobre tu entidad bancaria por ejemplo.
Pues bien, imaginaros que alguien monta una web con el dominio bankiia.es y le aplica el mismo diseño (o lo más similar posible) al actual diseño de Bankia.
Seguidamente si instala gratuitamente un certificado https y ya tendríamos la siguiente dirección https://bankiia.es
Si solo nos fijamos en que lleven el certificado seguro podemos cometer el error de no darnos cuenta de que la url no es la correcta y acabar poniendo nuestros datos y, en definitiva, siendo victimas de un ataque de phishing.
Solución
Os he hablado mucho en este blog del sentido común.
Hoy os tengo que decir que los ataques cada vez son más sofisticados y que con la cantidad de información que tenemos disponible cada vez es más fácil «personalizar» dichos ataques.
La solución pasa por fijarnos en las dos cosas comentadas anteriormente, no únicamente en una de ellas:
- Solicita siempre que sean https
- Fíjate bien en el dominio. Una buena práctica es escribirlo directamente y no a través de un enlace.