Parte de la finalidad de los certificados de seguridad incorporados en sitios seguros, cuyos contenidos son llevados al navegador mediante el protocolo cifrado HTTPS, es dar a entender a los navegadores y a los usuarios que los sitios han sido validados de una u otra forma. Por ejemplo, el navegador Chrome presenta en el texto “seguro” y un candado cerrado cada vez que la conexión segura incluye un certificado para el sitio.
Un gran número de sitios de phishing aprovechan el desconocimiento de los usuarios utilizando nombres de dominio similares al que pretenden suplantar, con lo que los usuarios desprevenidos los perciben como legítimos.
Este método es más difícil de utilizar con HTTPS, debido a que, en general, las autoridades emisoras de certificados se niegan a emitirlos para dominios que contienen nombres conocidos y marcas registradas, a menos que sea el propietario de las mismas que solicita el certificado. La causa es, naturalmente, que estos sitios utilizan los certificados para actividades delictivas incluyendo, pero no limitado, al phishing.
Aún así, durante el último año se ha emitido miles de certificados para sitios de phishing, según constata una investigación realizada por Vincent Lynch de The SSL Store, agencia estadounidense que ofrece certificados de distintas autoridades de certificación (CA). Los certificados obtenidos por sitios fraudulentos han sido emitidos por el servicio gratuito Let’s Encrypt. Cabe tener presente que Let’s Encrypt compite entonces con los servicios comerciales ofrecidos por SSL Store.
Según el informe, Let’s Encrypt habría emitido más de 15.000 certificados para sitios web que contienen la palabra “PayPal”, como por ejemplo “paypal.com.secure-alert.net”. una selección de 1000 de estos dominios demuestra que el 96,7% eran utilizados por sitios de phishing.
El volumen de sitios operando con certificados emitidos por Let’s Encrypt ha aumentado considerablemente durante los últimos meses. Mientras que en marzo de 2016 sólo se emitieron 10 certificados de tales características por Let’s Encrypt, en febrero de este año se emitieron 5101.
PayPal no es el único dominio utilizado con fines fraudulentos. SSL Store Presenta en esta página una lista de certificados emitidos por Let’s Encrypt para dominios o sus dominios que contienen la expresión “AppleID”.
Para casos como el de Symantec, ocurre que certificados erróneos son emitidos debido a procedimientos deficientes. Sin embargo, con Let’s Encrypt no se trata de un error. Por el contrario, los responsables del servicio, que incluyen a Internet Security Research Group (ISRG), estiman que no corresponde a los emisores de certificados incorporar protección contra phishing. El único control realizado por Let’s Encrypt es controlar los sitios en la base de datos de Google Safe Browsing, procedimiento deficiente al considerar que esta base de datos sólo contiene los sitios de phishing existentes.
“No corresponde a las CA (certificate authority) operar como policía de contenidos. Carecemos de la información necesaria, y en nuestros procesos de validación no consideramos la seguridad de los contenidos de los sitios que obtienen los certificados”, comentó Josh Ash, CEO de ISRG la publicación Bleeping Computer, que refirió el estudio de SSL Store. A entender de Ash, tales medidas serían poco eficaces.
Ilia Kolochenko, CEO De la empresa de seguridad High-Tech Bridge, está en desacuerdo. “Considero necesario distinguir entre el cifrado de los sitios HTTPS y la validación de identidad de los mismos. La tarea de Let’s Encrypt es convertir el tráfico HTTP no cifrado en tráfico HTTPS cifrado, algo que hacen bastante bien. Con todo, debieron haber previsto la utilización masiva por parte de actores de phishing, implementando al menos una validación fundamental, como por ejemplo negar la emisión de certificados SSL a sitios que contienen nombres de marcas registradas”.
Koloshenko puso además de relieve que los navegadores que confían ciegamente en todo sitio HTTPS deben asumir su responsabilidad por el problema del phishing. Asimismo, indicó, la conexión cifrada hace más fácil eludir mecanismos de seguridad si la intención es distribuir malware.
