Let’s Encrypt ha emitido miles de certificados SSL a sitios de phishing

A pesar de las continuas advertencias, un gran n煤mero de usuarios de Internet contin煤a dej谩ndose enga帽ar por los sitios de phishing. En la mayor铆a de los casos, los navegadores generan una advertencia que les motiva a desistir de acceder a sitios peligrosos. Sin embargo, algunos sitios fraudulentos incorporan HTTPS, ganando as铆 credibilidad.

Parte de la finalidad de los certificados de seguridad incorporados en sitios seguros, cuyos contenidos son llevados al navegador mediante el protocolo cifrado HTTPS, es dar a entender a los navegadores y a los usuarios que los sitios han sido validados de una u otra forma. Por ejemplo, el navegador Chrome presenta en el texto “seguro” y un candado cerrado cada vez que la conexi贸n segura incluye un certificado para el sitio.

Un gran n煤mero de sitios de phishing aprovechan el desconocimiento de los usuarios utilizando nombres de dominio similares al que pretenden suplantar, con lo que los usuarios desprevenidos los perciben como leg铆timos.

Este m茅todo es m谩s dif铆cil de utilizar con HTTPS, debido a que, en general,聽las autoridades emisoras de certificados se niegan a emitirlos para dominios que contienen nombres conocidos y marcas registradas, a menos que sea el propietario de las mismas que solicita el certificado. La causa es, naturalmente, que estos sitios utilizan los certificados para actividades delictivas incluyendo, pero no limitado, al phishing.

A煤n as铆, durante el 煤ltimo a帽o se ha emitido miles de certificados para sitios de phishing, seg煤n constata una investigaci贸n realizada por Vincent Lynch de The SSL Store, agencia estadounidense que ofrece certificados de distintas autoridades de certificaci贸n (CA). Los certificados obtenidos por sitios fraudulentos han sido emitidos por el servicio gratuito Let’s Encrypt. Cabe tener presente que Let’s Encrypt compite entonces con los servicios comerciales ofrecidos por SSL Store.

Seg煤n el informe, Let’s Encrypt habr铆a emitido m谩s de 15.000 certificados para sitios web que contienen la palabra “PayPal”, como por ejemplo “paypal.com.secure-alert.net”. una selecci贸n de 1000 de estos dominios聽demuestra que el 96,7% eran utilizados por sitios de phishing.

El volumen de sitios operando con certificados emitidos por Let’s Encrypt ha aumentado considerablemente durante los 煤ltimos meses. Mientras que en marzo de 2016 s贸lo se emitieron 10 certificados de tales caracter铆sticas por Let’s Encrypt, en febrero de este a帽o se emitieron 5101.

PayPal no es el 煤nico dominio utilizado con fines fraudulentos. SSL Store Presenta en esta p谩gina una lista de certificados emitidos por Let’s Encrypt para dominios o sus dominios que contienen la expresi贸n “AppleID”.

Para casos como el de Symantec, ocurre que certificados err贸neos son emitidos debido a procedimientos deficientes. Sin embargo, con Let’s Encrypt no se trata de un error. Por el contrario, los responsables del servicio, que incluyen a Internet Security Research Group (ISRG), estiman que no corresponde a los emisores de certificados incorporar protecci贸n contra phishing. El 煤nico control realizado por Let’s Encrypt es controlar los sitios en la base de datos de Google Safe Browsing, procedimiento聽deficiente al considerar que聽esta base de datos s贸lo contiene los sitios de phishing existentes.

“No corresponde a las CA (certificate authority) operar como polic铆a de contenidos. Carecemos de la informaci贸n necesaria, y en nuestros procesos de validaci贸n no consideramos la seguridad de los contenidos de los sitios que obtienen los certificados”, coment贸 Josh Ash, CEO de ISRG la publicaci贸n Bleeping Computer, que refiri贸 el estudio de SSL Store. A entender de Ash, tales medidas ser铆an poco eficaces.

Ilia Kolochenko, CEO De la empresa de seguridad High-Tech Bridge, est谩 en desacuerdo. “Considero necesario distinguir entre el cifrado de los sitios HTTPS y la validaci贸n de identidad de los mismos. La tarea de Let’s Encrypt es convertir el tr谩fico HTTP no cifrado en tr谩fico HTTPS cifrado, algo que hacen bastante bien. Con todo, debieron haber previsto la utilizaci贸n masiva por parte de actores de phishing, implementando al menos una validaci贸n fundamental, como por ejemplo negar la emisi贸n de certificados SSL a sitios que contienen nombres de marcas registradas”.

Koloshenko puso adem谩s de relieve que los navegadores que conf铆an ciegamente en todo sitio HTTPS deben asumir su responsabilidad por el problema del phishing. Asimismo, indic贸, la conexi贸n cifrada hace m谩s f谩cil eludir mecanismos de seguridad si la intenci贸n es distribuir malware.

El proyecto Let’s Encrypt ha otorgado 120.000 certificados SSL gratuitos


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.