• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Certificados de dominio gratuitos: tu conexión con el phishing es segura

Certificados de dominio gratuitos: tu conexión con el phishing es segura

3 agosto, 2017 Por Hispasec Deja un comentario

En el último post de su blog, Zscaler, una empresa de servicios de seguridad en la nube, ofrece algunas estadísticas interesantes sobre el uso de conexiones cifradas en esquemas de fraude y malware. No profundizaremos mucho en los datos, que vienen a confirmar con cifras concretas una situación que aquellos que trabajamos con phishing y malware conocemos: el constante incremento de amenazas que hacen uso de conexiones cifradas.


Aunque el artículo se centra en el malware, hay un dato que a priori puede pasar desapercibido aun siendo bastante abultado: según sus mediciones, los ataques de phishing que hacen uso de SSL/TLS han aumentado desde el pasado año. En un 400%. 12.000 peticiones al día en su plataforma.



Y esto, ¿por qué?

Este aumento no es casual. Por definición, el phishing necesita simular el sitio que suplanta, y el uso de una conexión cifrada o segura era un fleco que quedaba para satisfacer esta necesidad, más aún con la popularización del SSL/TLS. De hecho, el famoso «candadito verde» ha sido señalado durante años como indicador para diferenciar sitios legítimos y fraudulentos. El problema es que su significado no es el que se le atribuye.


Hace 9 años ya hablábamos de esto en «Mitos y leyendas: Compruebe el candadito del navegador para estar seguro«. Entonces ya comentamos que los certificados de validación de dominio, aparte de la función de cifrado, simplemente aseguran que el dominio pertenece a su propietario. Esta condición no es falsa para dominios fraudulentos; sigue siendo cierto que el phisher es el propietario, y hace factible el tener un sitio “seguro” aun siendo un phishing.

Por ello se introdujeron soluciones como los certificados EV (Extended Validation) que requieren no solo pruebas de propiedad del dominio, sino además de que el propietario es la entidad que dice ser. Son aquellos que aparecen con el nombre de la empresa en color verde en el navegador.
¿Cómo ha crecido tanto?

Varios factores han propiciado el aumento de conexiones cifradas en el phishing de un tiempo a esta parte. Por un lado, iniciativas como Let’s Encrypt, que permiten la obtención de un certificado de validación de dominio de manera gratuita solo demostrando control sobre el dominio. Y esto ya le ha valido alguna que otra queja. Si hace 9 años había certificados similares por 20 euros, hoy no tienen coste y el proceso de instalación es totalmente automatizado.


La posición de Let’s Encrypt al respecto es clara y no ha cambiado desde hace 2 años: Los emisores de certificados no son (y no pueden ser) vigilantes de contenido:

First, CAs are not well positioned to operate anti­-phishing and anti-malware operations – or to police content more generally. They simply do not have sufficient ongoing visibility into sites’ content. The best CAs can do is check with organizations that have much greater content awareness, such as Microsoft and Google. 

Josh Aas, Director de Let’s Encrypt: https://letsencrypt.org/2015/10/29/phishing-and-malware.html



A este respecto, Let’s Encrypt sí comprueba los dominios que piden certificados con Google Safe Browsing, de forma que el certificado se deniega si están marcados como malware o phishing. Sin embargo, la utilidad de esta medida no está del todo clara, ya que el certificado se pide poco después de pedir el dominio, en un momento en el que ni siquiera tiene contenido y, por tanto, no ha podido ser detectado. Como ellos mismos dicen, “el contenido cambia de manera más rápida que lo que una CA puede comprobar o certificar”.


Pero el problema puede agravarse. Plataformas de creación de sitios gratuitos, algunas auténticos nidos de fraude, ofrecen también desde hace tiempo añadir SSL de manera automática e incluso sin coste. Esta característica se ofrece a través tanto de Let’s Encrypt como de la plataforma cPanel, que a finales de año comenzó a ofrecer este servicio junto a Comodo. En estos casos, el phisher no tiene más que marcar una casilla para obtener un certificado y «candadito» para su sitio fraudulento.


Y todo esto unido a los sitios comprometidos que ya cuentan con certificado y del que se aprovechan los atacantes. Aunque en este caso el phishing es más evidente al ser el dominio distinto.


Sea cual sea el caso, solo hay que darse una vuelta por Phishtank para encontrar algunos ejemplos.


¿Por qué ahora y no antes?

La popularización del cifrado en la web y el empuje de los navegadores han tenido mucho que ver. Toda web con un formulario y sin HTTPS es marcada con un rotundo “No es seguro” en algunos navegadores, lo que puede disparar las alarmas en el usuario. Lo que antes era un añadido que daba más veracidad al fraude es ahora una necesidad. Por otro lado, hasta la aparición de los certificados gratuitos no salía realmente a cuenta a los atacantes comprarlo y configurarlo, menos aún cuando los tiempos de vida de un phishing son cada vez más cortos.


¿Me fio del «candado» entonces?

Por supuesto, sin perder de vista lo que significa: que la conexión está cifrada y que el dominio pertenece al propietario, aunque este puede ser un phisher. Solo con el candado no podemos estar seguros de que el sitio web pertenece a la organización a la que realmente queremos acceder, pero sigue siendo una métrica más (junto con el nombre del dominio, el enlace que nos ha llevado allí, etc.) para discernir si el sitio es fraudulento o no.


Más información:

SSL/TLS-based malware attacks

https://www.zscaler.com/blogs/research/ssltls-based-malware-attacks
World’s Largest CA Comodo and Web Hosting Platform Leader cPanel
Join Forces to Enable Automated SSL Encryption for the Web
https://www.comodo.com/news/press_releases/2016/12/worlds-largest-CA-comodo-and-web-hosting-platform-leader-cPanel.html

Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» I (Phishing)
http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del_03.html
Francisco López
flopez@hispasec.com
@zisk0

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General Etiquetado como: Phishing

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • VMware corrige varias vulnerabilidades de gravedad alta en diferentes productos
  • Un bug permite "romper" el WhatsApp de todos los miembros de un grupo

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR