Probablemente visite decenas o quizás centenas de sitios web a diario. Lea un artículo de noticias, luego revise sus redes sociales, más tarde mire un programa de televisión en un sitio de streaming y abre un enlace que le compartió un amigo. Sin embargo, ¿está seguro de que todos los sitios web que visita son seguros y que ninguno de ellos es o podría tratarse de un sitio de phishing?
Si no está seguro, a continuación, compartimos algunos tips para averiguar si el sitio web al que quiere acceder es seguro y no corre riesgo de perder sus datos o descargar malware en su dispositivo.
URL’s ERRONEAS
Los ataques homográficos u homóglifos y las URL mal escritas o engañosas se encuentran entre las
tácticas más comunes que utilizan los ciberdelincuentes para engañar a las personas para que visiten sus sitios web. Un ataque homográfico ocurre cuando los actores de amenazas registran dominios cuyos nombres son muy similares a otros legítimos y que a simple vista parecen iguales o verdaderos. Para esto se valen del uso de caracteres visualmente ambiguos o de añadir caracteres de manera sutil.
Para ilustrarlo, imagine escribir mal “Microsoft” en un nombre de dominio como “rnicrosoft.com” donde la “r” seguida de “n” puede parecerse a una “m” (dependiendo de la fuente, el tamaño en puntos y el cuidado del lector). O bien en el caso de “facebook” sustituir una o ambas “o” por la letra del alfabeto griego ómicron “o” (en caso de que no pueda distinguir cuál es cuál, la segunda “o” ha sido reemplazada por ómicron).
Una práctica de engaño muy relacionada, comúnmente llamada typosquatting, implica registrar nombres de dominio que coincidan con sitios populares, pero con errores de tipeo comunes, como “gogle.com” y “gooogle.com”. Ambos ejemplos ahora son propiedad de Google y redirigen al sitio “previsto”, pero hay muchas, muchas posibilidades; observe el mapa del teclado a continuación que muestra hasta qué punto Facebook se ha protegido contra los errores de este tipo que afectan a la última letra de “facebook” en su nombre de dominio.
Por supuesto, el falso sitio web se diseñará de forma que parezca idéntico al original para engañar a quien lo visita. Por lo tanto, tenga mucho cuidado al copiar y pegar una URL o hacer clic directamente y siempre verifique que se encuentra en el sitio web correcto. Algunas soluciones de seguridad incluyen la detección de ataques homográficos y notifican al usuario en caso de estar accediendo a una página web sospechosa.
COMPROBAR UN SITIO WEB… ¿PERO COMO?
Si tiene la sensación de que hay algo extraño en el sitio web que está visitando, o mejor aún, está considerando visitarlo, pero aún no lo ha hecho, puede usar varias herramientas en línea para verificar si es malicioso.
Una herramienta que puede usar es el verificador de URL de VirusTotal, que analiza la dirección del sitio web y la compara con numerosos motores antivirus de primer nivel y motores de escaneo de sitios web para indicar si una URL en particular puede ser maliciosa.
Alternativamente, también puede realizar una consulta para averiguar quién es el propietario del dominio que está visitando. Esta información puede incluir quién es el propietario, cuándo y dónde se registró y cómo ponerse en contacto con él.
Un dato importante que debe averiguar es si el dominio fue registrado recientemente, lo que podría ser un indicador de que podría ser malicioso. Por ejemplo, Facebook no será un dominio registrado por primera vez en febrero de 2021. Otra señal de que el dominio podría ser malicioso es si hace clic en “mostrar más datos” y está incompleto o plagado de errores tipográficos; sin embargo, en algunos casos esto podría atribuirse a personas descuidadas al completar los datos de registro.
Y LAS CONTRASEÑAS… ¿TAMBIEN SE PUEDEN VALIDAR?
Una contraseña no se considera segura si puede ser averiguada mediante un ataque de fuerza bruta o se encuentra en una base de datos de contraseñas filtradas.
No recopilamos ni almacenamos las contraseñas.
La empresa Kaspersky tiene una herramienta que al igual que Virus Total, realiza una validación de tus contraseña para indicar que nivel de seguridad puede tener y si la misma ha sido ya incluida en alguna BD de contraseñas que ya hayan tenido alguna infiltración.
Con la ayuda de estas herramientas, como usuario deberíamos de tener un mejor manejo de nuestra información personal que nos ayude a evitar algun tipo de susto sobre nuestros datos y sorpresas que nos generen una preocupación mayor.
Una regla muy extendida para comprobar si un sitio web es seguro es comprobar si utiliza el protocolo HTTPS. Si bien HTTPS se ha presentado a menudo como el principio y el fin de las medidas de seguridad de los sitios web, en la realidad las cosas son más complicadas. HTTPS solo asegura que las comunicaciones entre el servidor web y el navegador web del visitante estén fuertemente encriptadas. Eso proporciona seguridad contra la intercepción de la información, lo que hace que sea seguro iniciar sesión, por ejemplo, en el sitio web de su banco u otro sitio web que le pida que inicie sesión.
Hoy en día, los ciberdelincuentes pueden obtener fácilmente un certificado SSL / TLS completamente válido para sus sitios web fraudulentos, de la misma manera que puede hacerlo una empresa legítima. Y dado que obtener un certificado válido se ha vuelto más barato (incluso gratis) y ahora son más fáciles de implementar, los casos de sitios que utilizan HTTPS para engañar a las personas haciéndoles creer que sus sitios falsos son “seguros” solo han aumentado.
La conclusión es que la mayoría de los sitios web en Internet ahora usan SSL o TLS, por lo que realmente no es un indicador de si el sitio web que está visitando es seguro. Debe tomarlo como una parte de un rompecabezas más grande y buscar otras señales de que algo anda mal. De hecho, debe inspeccionar el sitio web en su conjunto y ver si se destacan varias cosas, incluidos los otros indicadores que mencionamos en este artículo.
En lo que respecta a los certificados, una buena referencia sería mirar qué servicios ofrece el sitio web y qué organización emitió su certificado SSL / TLS. Si los datos que maneja son de naturaleza sensible pero el certificado proporcionado es gratuito o de bajo costo, probablemente debería sospechar bastante e investigar el sitio web más a fondo. Para verificar la validación del certificado y si fue emitido por una organización confiable, puede hacer clic en el ícono del candado en la barra de direcciones de su navegador.
Es posible que ahora sienta que mantenerse seguro es una tarea difícil. De hecho, hay otras cosas a las que debería prestar atención también, como si un sitio web tiene anuncios extraños apareciendo incesantemente por todas partes, o si un sitio web está plagado de errores gramaticales, lo que puede indicar que llegó a un sitio web fraudulento.
De todos modos, para resumir, debe estar atento a errores ortográficos en la URL del sitio web, examinar su certificado de seguridad y, preferiblemente, intentar escribir manualmente la dirección o usar solo enlaces confiables.
REFERENCIAS
Owaida Amer, Cómo saber si un sitio web es seguro, by EseT, recuperado: https://www.welivesecurity.com/la-es/2021/06/23/como-saber-sitio-web-es-seguro-o-no/
