Cada semana aparecen nuevas amenazas de seguridad: registros médicos modificados o robados, contraseñas comprometidas, números de tarjetas de crédito robados, etc. Todo lo anterior es suficiente para que exista una preocupación cuando los usuarios ingresan su información en línea a diferentes compañías y por diversos motivos; pero esto puede evitarse si se puede diferenciar qué sitios son seguros.
La creencia común es que cualquier usuario puede determinar si un sitio web es seguro. Solo hay que buscar el candado en la barra de direcciones del navegador seguido de las letras https. Esto significa que el sitio web está utilizando un certificado TLS / SSL (denominado en adelante “TLS”, protocolo actual usado para el cifrado) para cifrar la navegación y así gestionar los datos seguros. Sin embargo, se debe ir más allá y verificar qué CA (Autoridad de Certificación) emitió el certificado y qué tipo de validación existe para dar la certeza de que es seguro compartir la información del usuario con el sitio.
“Con la llegada de una web que está más del 90% encriptada y con los navegadores que muestran un candado verde para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente ‘buscar el bloqueo’, ya que esto no es suficiente para proteger a los usuarios de sitios fraudulentos”, señala Dean Coclin, Director Senior de Desarrollo de Negocios de DigiCert.
“Los usuarios deben ser diligentes en la búsqueda de pistas sobre la identidad del sitio, incluida la presencia de certificados de alta seguridad, como la Validación Ampliada (EV), que a menudo incluyen la barra de direcciones verde o el nombre legal del propietario del sitio web junto a la URL”, agrega. Esto da una excelente visibilidad de que ha sido autenticado.
Los certificados de Validación de la Organización (OV) también muestran cierta información de la compañía al hacer click en “más información” en el candado para ayudar a verificar el sitio.
Otra pista es el nombre de la CA que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden desplazarse sobre el bloqueo para ver el nombre. Las principales CA están actualizando constantemente los estándares mediante los cuales validan identidades y siguen procesos rigurosos.
“Es muy fácil que los sitios web obtengan certificados en la red hoy en día, pero las empresas también necesitan proteger la integridad de sus propios procesos y proporcionar seguridad de identidad a sus usuarios. “Los procesos de validación de identidad altamente integrales, así como el personal de soporte al cliente, las herramientas y las plataformas líderes en la industria, ayudan a los clientes a obtener y administrar sus certificados.
Esto promueve una web más segura para todos”, enfatiza Manuel Pavón, Gerente de Desarrollo de Canales para América Latina.
Pasos para un certificado TLS
El primer paso es solicitar un certificado de una de las CA; el siguiente paso es la validación; luego la emisión. Finalmente se realiza la instalación y encriptación del navegador. Los certificados se intercambian, es decir, si navega por un sitio web, el navegador web y el servidor se comunican entre bastidores para establecer el protocolo de intercambio para la conexión. Asimismo, se validan después de que el navegador “habla” con el servidor y determina si el certificado TLS está presente. El navegador comprueba el certificado en el servidor para asegurarse de que sea válido y que provenga de una Autoridad de Certificación confiable.
Se comprueban las fechas de vencimiento y, si todo está bien, el navegador muestra el candado en https. Y, por último, si todo está bien, el navegador o la aplicación responden de manera adecuada y, si el certificado pasó todas las verificaciones, el navegador inicia una sesión segura y toda la información está encriptada.