Let’s Encrypt ha emitido miles de certificados SSL a sitios de phishing

A pesar de las continuas advertencias, un gran n√ļmero de usuarios de Internet contin√ļa dej√°ndose enga√Īar por los sitios de phishing. En la mayor√≠a de los casos, los navegadores generan una advertencia que les motiva a desistir de acceder a sitios peligrosos. Sin embargo, algunos sitios fraudulentos incorporan HTTPS, ganando as√≠ credibilidad.

Parte de la finalidad de los certificados de seguridad incorporados en sitios seguros, cuyos contenidos son llevados al navegador mediante el protocolo cifrado HTTPS, es dar a entender a los navegadores y a los usuarios que los sitios han sido validados de una u otra forma. Por ejemplo, el navegador Chrome presenta en el texto “seguro” y un candado cerrado cada vez que la conexi√≥n segura incluye un certificado para el sitio.

Un gran n√ļmero de sitios de phishing aprovechan el desconocimiento de los usuarios utilizando nombres de dominio similares al que pretenden suplantar, con lo que los usuarios desprevenidos los perciben como leg√≠timos.

Este método es más difícil de utilizar con HTTPS, debido a que, en general, las autoridades emisoras de certificados se niegan a emitirlos para dominios que contienen nombres conocidos y marcas registradas, a menos que sea el propietario de las mismas que solicita el certificado. La causa es, naturalmente, que estos sitios utilizan los certificados para actividades delictivas incluyendo, pero no limitado, al phishing.

A√ļn as√≠, durante el √ļltimo a√Īo se ha emitido miles de certificados para sitios de phishing, seg√ļn constata una investigaci√≥n realizada por Vincent Lynch de The SSL Store, agencia estadounidense que ofrece certificados de distintas autoridades de certificaci√≥n (CA). Los certificados obtenidos por sitios fraudulentos han sido emitidos por el servicio gratuito Let’s Encrypt. Cabe tener presente que Let’s Encrypt compite entonces con los servicios comerciales ofrecidos por SSL Store.

Seg√ļn el informe, Let’s Encrypt habr√≠a emitido m√°s de 15.000 certificados para sitios web que contienen la palabra “PayPal”, como por ejemplo “paypal.com.secure-alert.net”. una selecci√≥n de 1000 de estos dominios¬†demuestra que el 96,7% eran utilizados por sitios de phishing.

El volumen de sitios operando con certificados emitidos por Let’s Encrypt ha aumentado considerablemente durante los √ļltimos meses. Mientras que en marzo de 2016 s√≥lo se emitieron 10 certificados de tales caracter√≠sticas por Let’s Encrypt, en febrero de este a√Īo se emitieron 5101.

PayPal no es el √ļnico dominio utilizado con fines fraudulentos. SSL Store Presenta en esta p√°gina una lista de certificados emitidos por Let’s Encrypt para dominios o sus dominios que contienen la expresi√≥n “AppleID”.

Para casos como el de Symantec, ocurre que certificados err√≥neos son emitidos debido a procedimientos deficientes. Sin embargo, con Let’s Encrypt no se trata de un error. Por el contrario, los responsables del servicio, que incluyen a Internet Security Research Group (ISRG), estiman que no corresponde a los emisores de certificados incorporar protecci√≥n contra phishing. El √ļnico control realizado por Let’s Encrypt es controlar los sitios en la base de datos de Google Safe Browsing, procedimiento¬†deficiente al considerar que¬†esta base de datos s√≥lo contiene los sitios de phishing existentes.

“No corresponde a las CA (certificate authority) operar como polic√≠a de contenidos. Carecemos de la informaci√≥n necesaria, y en nuestros procesos de validaci√≥n no consideramos la seguridad de los contenidos de los sitios que obtienen los certificados”, coment√≥ Josh Ash, CEO de ISRG la publicaci√≥n Bleeping Computer, que refiri√≥ el estudio de SSL Store. A entender de Ash, tales medidas ser√≠an poco eficaces.

Ilia Kolochenko, CEO De la empresa de seguridad High-Tech Bridge, est√° en desacuerdo. “Considero necesario distinguir entre el cifrado de los sitios HTTPS y la validaci√≥n de identidad de los mismos. La tarea de Let’s Encrypt es convertir el tr√°fico HTTP no cifrado en tr√°fico HTTPS cifrado, algo que hacen bastante bien. Con todo, debieron haber previsto la utilizaci√≥n masiva por parte de actores de phishing, implementando al menos una validaci√≥n fundamental, como por ejemplo negar la emisi√≥n de certificados SSL a sitios que contienen nombres de marcas registradas”.

Koloshenko puso además de relieve que los navegadores que confían ciegamente en todo sitio HTTPS deben asumir su responsabilidad por el problema del phishing. Asimismo, indicó, la conexión cifrada hace más fácil eludir mecanismos de seguridad si la intención es distribuir malware.

El proyecto Let’s Encrypt ha otorgado 120.000 certificados SSL gratuitos




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.