Notícias
Junio 2005
La 'seguridad' SSL ayuda al fraude on-line
El número de certificados SSL (Secure Sockets Layer) de menor seguridad está aumentando el doble que los certificados más seguros validados por una organización, una situación que, en opinión de muchos observadores de la industria, podría impulsar el incremento del fraude on-line.
Los certificados validados por dominios, una forma de certificación de menor seguridad que muchas Autoridades Certificadoras (CA) han comenzado a aparecer relativamente hace poco, y ya suponen una gran controversia sobre los efectos que puedan tener en la seguridad de Internet y el comercio electrónico.
Por ejemplo, algunos expertos de seguridad recientemente advirtieron que el soporte para los IDN (Nombres de Dominio Internacional) podría perjudicar a los sitios Web legítimos, incluidos los sitios SSL certificados, llevando a los fabricantes de navegadores a modificar la manera en que gestionan los IDN.
Un cuarto de los certificados SSL operativos son ahora dominios validados, según Netcraft, y desde hace unos seis meses su número ha aumentado el doble que los certificados validados por la organización. Los certificados validados por dominios garantizan solamente que el dueño del certificado es dueño legítimo del nombre de dominio, y no especifican si cualquier negocio que opere fuera del sitio Web es legítimo o no. Los certificados cuestan menos que los certificados de alta seguridad, pero parecen los mismos para los usuarios, lo que en muchas ocasiones causa una gran confusión.
Algunos observadores de la industria llevan tiempo preocupados por este asunto. Así, un estudio elaborado en 2002 por KPMG destaca que dichos certificados “podrían dar a los usuarios de Internet una falsa sensación de seguridad".
Si una autoridad certificadora (CA) no autentica la organización, un pirata podría establecer “un falso nivel de confianza... pero asociando el nombre de dominio del pirata con el nombre de una organización existente", según el estudio de KPMG.
Los fabricantes de navegadores recientemente alteraron la manera en que gestionan los IDN, tras publicitar en una página Web una técnica llamada ataque homográfico. Homográficas son características diferentes que parecen idénticas, por ejemplo, la “a” de Cyrillic de Unicode y la "a" de ASCII parecen la misma para los usuarios, siendo distintas.