Certificados SSL: lo que los consumidores necesitan saber
Por Jeff Barto
En 1994, la primera compra en línea cruzó la Web: una pizza grande de pepperoni con hongos y queso extra de Pizza Hut. Durante los siguientes 20 años, el comercio electrónico se ha disparado en una economía esfervescente, excediendo $ 1,2 billones de ventas en 2013.
Este crecimiento de las compras en línea descansa en una base de confianza. La gente confía en que los sitios web que utilizan para realizar un seguimiento de las finanzas y hacer compras en línea son seguros y legítimos; en gran medida a causa de Secure Socket Layer (SSL), conocido también como certificados; ese pequeño candado verde en la barra de direcciones del navegador.
Los Certificados SSL verifican que el proveedor es quien dice ser y también indican conexiones seguras entre dispositivos personales y sitios web de la compañía. La comprensión de los certificados SSL es importante para ayudar a prevenir ser víctimas de estafadores. Porque al fin y al cabo, no todos los sitios, o los certificados SSL, son iguales.
Los diferentes tipos de certificados
Los propietarios de sitios web compran certificados SSL a través de Autoridades Certificantes (CA). Hay tres tipos diferentes de certificados SSL, cada uno proporciona un nivel diferente de seguridad. El problema es que, a pesar de que todos estos certificados proporcionan el candado de seguridad en la barra de URL de un navegador, junto con el HTTPS ("S" indica "seguro") en la barra de direcciones, los niveles de seguridad entre los tipos de certificados difieren en gran medida. Es por esto que es importante entender qué tipo de certificado SSL tiene un sitio cuando se están por realizar transacciones financieras o cualquier otra operación que involucre datos personales del usuario.
•Validación de Dominio (DV): Este certificado es emitido tras verificar que el propietario tiene derecho al uso del nombre de un dominio en particular. Es un proceso sencillo en el que la Autoridad Certificante enviará un mail a la dirección de correo electrónico registrada de la página web con el fin de verificar su existencia. No se requiere información sobre la organización o la persona que controla el sitio. Los ciberdelincuentes suelen utilizar certificados DV, ya que son fáciles de obtener y pueden hacer que un sitio web parezca más seguro de lo que realmente es. Por ejemplo, los estafadores pueden utilizar certificados DV para atraer a los consumidores a sitios web de phishing que parecen auténticos o para sitios web clonados que parecen legítimos, pero están diseñados para robar información sensible.
• Validación de Organización (OV): Para emitir un certificado OV una Autoridad Certificante debe validar cierta información, incluida la identidad de la organización, su ubicación física y la titularidad del nombre de dominio de su sitio web. Este proceso suele tardar un par de días.
• Validación Extendida (EV): Este certificado tiene el más alto nivel de seguridad y es el más fácil de identificar por parte de los usuarios. Es emitido una vez que la organización que solicita el certificado es sometida a un procedimiento de autenticación estricto. Es una verificación mucho más rigurosa que la descripta anteriormente. Busca identificar la entidad legal que controla el sitio web, brindar al usuario la seguridad de que el sitio es controlado por una entidad legalmente habilitada para operar, identificada en el certificado por su nombre, dirección, jurisdicción y número de inscripción o registro. Además de agregar el candado en la barra de URL del navegador, la parte "S" de HTTPS, se suma el nombre de la empresa en verde en la barra de direcciones del navegador.
¿Puedes notar la diferencia?
Claramente, la última dirección URL cuenta con un certificado EV. El primero es el certificado DV y el segundo es un certificado OV (estos dos últimos aparecen como idénticos.
¿Qué puede hacer la gente para mantenerse a salvo?
Ahora sabiendo lo que es un certificado SSL, los tres tipos diferentes y que los sitios con DV pueden suponer un riesgo para las estafas, ¿cómo pueden los usuarios reducir el riesgo de ir de compras o realizar otras transacciones sensibles en línea?
1. ¡Tenga en cuenta! El hecho de que un sitio web tenga el candado o "https" al lado de una URL no significa que sea totalmente seguro para efectuar transacciones financieras. Los usuarios han aprendido a buscar esas dos cosas antes de realizar una transacción, que es exactamente la razón por la cual los cibercriminales están tomándose la molestia de obtener certificados SSL del tipo DV; para simular sitios legítimos.
2. Conocer cómo buscar el tipo de certificado SSL de una página. Como primer paso, busque señales visuales que indiquen seguridad, como un símbolo de candado y el color verde en la barra de direcciones. Solo los sitios web con EV incluyen el nombre de la empresa en la barra de direcciones coloreado en verde. Los navegadores no distinguen un certificado DV de un certificado OV. Norton ha creado una herramienta gratuita. Sólo tiene que pegar una URL directamente en la herramienta y le dirá si el sitio es DV, OV o EV, con resultados destacando claramente qué tan seguro es un sitio. http://safeweb.norton.com/
3. Sólo realizar transacciones y proporcionar datos sensibles en los sitios que tienen certificados OV o EV. Hay un tiempo y un lugar para los certificados DV, pero que no incluye su uso para los sitios de comercio electrónico. Si un sitio tiene un certificado DV, repensar la realización de cualquier tipo de transacción a través de ese sitio. Si se trata de un sitio que cuenta con un certificado OV o EV, ya sabes que la identidad comercial de quien lo opera ha sido confirmada.
Hasta que la industria requiera un certificado OV o EV para sitios de comercio electrónico o una manera más fácil de identificar los diferentes tipos de certificados, la gente tendrá que asumir parte de la carga en la lucha contra los riesgos cibernéticos. Conociendo los riesgos antes de tiempo los consumidores son menos propensos a ser engañados por sitios web de phishing.