INGENIERA ELECTRNICA, MENCIN EN

TELECOMUNICACIONES

ENSAYO
SITIOS CON CERTIFICADOS VLIDOS SSL SON USADOS
PARA HACER PHISHING Y FRAUDES, COMO
DETECTARLOS Y EVITAR SER VCTIMAS

MATERIA: REDES DE COMUNICACINES

AUTOR: MATEO SANTIANGO RENGEL RIVERA

ING. BYRON CARRIN ENERO DEL 2014

Pgina 1


SUBJECT: Phishing.
TOPIC: Phishing en sitios que usan certificados SSL.
TEMA: Sitios con certificados vlidos SSL son usados para hacer
phishing y fraudes, como detectarlos y evitar ser vctimas.
TESIS: Acceder a sitio web con certificados SSL (sitios con https) no
garantiza que seamos inmunes al phishing, debido a esto se
da a conocer que mtodo usar para protegernos del phishing
en sitios con certificados vlidos, usar extensiones anti-
phishing y conocer sobre ciertos consejos.
ARGUMENTOS:
1) Justificacin del problema:
El phishing es una tcnica de ingeniera social utilizada por los delincuentes para
obtener informacin confidencial, para esto se hacen pasar por entidades
confiables y legitimas. La informacin que podran estar buscando puede ser
nombres de usuario, contraseas, informacin de las tarjetas de crdito, claves de
acceso para servicios bancarios, o cualquier otra informacin personal que les
sirva a su obscuro propsito.
El phishing suele ser por correo electrnico, aqu nos llega spam, notificaciones
oficiales financieras, notificaciones de subscripciones, etc., en donde nos dan
links para acceder a sitios web falsos pero con una apariencia igual a la de un sitio
legitimo; aqu nos pedirn informacin confidencial (para actualizar datos por
ejemplo) y si hemos accedido a este sitio creyendo que es oficial la daremos.
El escenario (sitio web) en donde mayormente se da esta tipo de fraude suele ser
una duplica lo ms exacta posible a una pgina oficial(como una entidad financiera
de prestigio por ejemplo), y as hacernos creer que lo que estamos visitando es
confiable.

Pgina 2


La informacin a la que los delincuentes accedan, podra ser usada para realizar
estafa, fraudes, espionaje, y todo lo que podran llegar a hacer con nuestra
informacin y contraseas. Esto sugiere que debemos tener mucho cuidado y
precaucin al momento de manejar nuestros datos confidenciales en la web.
2) Parmetros y anlisis del problema
El phishing actualmente es muy conocido y hay mucha informacin que nos
explica cmo detectarlo y evitarlo; en casi todos los post que se encuentran se nos
dicen entre otras cosas que debemos checar el URL del sitio y si este est
certificado (https) entonces es confiable, legtimo y seguro.
El hecho que un sitio web tenga un certificado valido SSL y su sitio sea https en
vez de http la hace apto para transacciones comerciales y financieras, sin
embargo no son completamente seguros. Mucha gente con tan solo saber que el
sitio tiene un certificado piensan que es seguro y confan plenamente; esto hace
un gran problema y podemos ser vctimas de ataques potenciales y peligrosos.
Los estafadores invierten tiempo y dinero en la creacin de sitios web que tengan
certificados vlidos para as engaar a los usuarios, por esto debemos
informarnos de cmo evitarlo.
En el cuadro 1 podemos ver los resultados de la encuesta elaborada por Netcraft
SSL Survey en julio del 2012; en donde se ven 505 certificados validos que han
sido devueltos porque han sido usados en sitios para phishing.

Cuadro 1: Cuadro de certificados revocados por Netcraft, julio 2012 [3]


Pgina 3


3) Tesis, mejor solucin al problema
Para podernos protegernos del pishing se debe tomar varias precauciones y
seguir varias recomendaciones, mientras conozcamos de cmo evitar esta clase
de phishing menos ser la probabilidad que seamos vctimas; as que para este
caso no podremos hablar de una nica solucin como tesis sino de un conjunto
posibles soluciones que sern mostradas a continuacin como los argumentos.
4) Argumentos
Para evitar ser vctimas de phishing en un sitio web https, siempre debemos
comprobar la veracidad del certificado digital: identificando a la compaa de
certificacin, al titular del protocolo y su validez.
Para realizar esta verificacin debemos hacer doble click en el candado que esta
junto al url de la pgina, debemos ver que luego del Issued to o Emitido para
debe estar el nombre del sitio en la que estamos, caso contrarios podramos estar
en un sitio falso destinado al phishing.
En la figura 1 se muestra un ejemplo de certificados, uno legtimo y otro usado
para phishing.

Figura1: Ejemplo de certificado legtimo y certificado para phishing [2]

Pgina 4


Otra manera de protegernos del phishing para sitios http y https es instalar en
nuestros navegadores extensiones anti-phishing. Estas extensiones se activan
siempre que estemos en el navegador y nos dan informacin del sitio, si alguien lo
ha reportado como sitios de phishing, su tiempo en uso, un porcentaje de
confianza del sitio, entre otros (depende de la extensin); estos manejan una gran
base de datos de la comunidad anti-phishing. Es un mtodo bueno, fcil y gratuito
para protegernos de estos engaos.
Adems tenemos que acostumbrarnos a buenas prcticas para mantenernos
seguros en la web, algunas de ellas son:
No confiar en sitios solamente porque tienen un certificado SSL
No ingresar a sitios desde enlaces externos, por ejemplo desde un mail.
Si estamos dudosos de la veracidad del sitio, llamar a la entidad y
comprobarlo.
Dudar de sitios que tengan su URL muy extenso (suelen ser usados para
confundir acerca de la veracidad del sitio)
Hacer habito el escribir las direcciones de los sitios web en el navegador.
Mantener antivirus de confianza siempre actualizados y tener activos los
firewalls.
Mantenerse informado siempre de cmo avanza el phishing y las formas en
que atacan para as poderlos evitar y no ser vctimas.


5) Conclusin

Como conclusin podemos decir que ningn sitio es completamente seguro, si
manejamos datos confidenciales es muy importante que sepamos cuando podran
estar tratando de engaarnos.
El conocimiento es la mejor arma contra engaos, agregando la ayuda de algn
software (firewalls, extensiones, antivirus, etc.) y consejos que nos brindan
tendremos muy poca probabilidad de que seamos estafados.

Pgina 5


Bibliografa
[1] Prevenir los ataques de Phishing, Cristian Borghello, Visitado en: 12/01/2014,
Disponible en: http://www.segu-info.com.ar/cruzada/consejo-14.html

[2] Phishing Toolkit Attacks are Abusing SSL Certificates, Zahid Raza, Visitado en:
12/01/2014, Disponible en: http://www.symantec.com/connect/blogs/phishing-toolkit-
attacks-are-abusing-ssl-certificates

[3] Phishing on sites using SSL Certificates, Netcraft, Visitado en: 12/01/2014,
Disponible en: http://news.netcraft.com/archives/2012/08/22/phishing-on-sites-using-ssl-
certificates.html

[4] Phishing" Fraud: How to Avoid Getting Fried by Phony Phishermen, U.S.
Securities and Exchange Commission, Visitado en: 12/01/2014, Disponible en:
https://www.sec.gov/investor/pubs/phishing.htm

[5] Phishing Alerts for SSL Certificate Authorities, Netcraft, Visitado en: 12/01/2014,
Disponible en: http://www.netcraft.com/anti-phishing/certificate-authority-phishing-alerts/
[6] Secure Sockets Layer (SSL): How It Works, Symantec Corporation, Visitado en:
12/01/2014, Disponible en: https://www.symantec.com/page.jsp?id=how-ssl-works