STI 2020 ®

Cuando el navegador nos avisa que estamos accediendo a un sitio no seguro

by

STI 2020®
in , , ,

Incluso a los usuarios más precavidos, les ha aparecido en algún momento una ventana emergente con el mensaje “La conexión no es privada” mientras utilizaban su navegador. Esta advertencia resulta inoportuna, sobre todo si estamos realizando un trámite administrativo o tarea urgente del trabajo. Pero ¿por qué nos aparece aunque consultemos webs oficiales? Aunque debamos tomar en serio esta alerta, no quiere decir que necesariamente nos encontremos ante una página fraudulenta o maliciosa. Vamos a ver porqué.

Debemos saber que lo que viene a decir este mensaje de nuestro navegador, es que el sitio web al que estamos intentando acceder carece de un certificado SSL/TLS válido. Dicho documento virtual, es el encargado de cifrar la comunicación entre nuestro navegador y el sitio web, por lo tanto, protege la información sensible como pueden ser datos personales, contraseñas o credenciales bancarias, etc. Por ello, si nos llega a aparecer este mensaje, debemos tener más cuidado con la información que facilitamos ya que podría no estar protegida. A continuación, explicamos qué causas pueden estar detrás de esta ventana emergente y las posibles medidas que podemos tomar.

Pero, ¿por qué sale ese mensaje?

Posiblemente, este tipo de mensajes aparezcan incluso cuando visitamos páginas web que conocemos y visitamos con bastante frecuencia. Esto es un buen indicativo de que nuestro antivirus, firewall o extensiones para aumentar la seguridad de nuestro navegador, funcionan correctamente. Ya que detrás de este mensaje, se encuentran múltiples causas que han dejado desprotegido a un sitio web. Por ejemplo, puede que simplemente el certificado de seguridad SSL/TSL de dicho sitio web haya caducado, no sea válido o haya sido configurado incorrectamente por los administradores de la página.

Otras veces, no existe una brecha de seguridad. Sólo que, igual que ocurre en el caso de entidades públicas, sus certificados los generan Autoridades de Certificación (AC) propias, que no suelen ser reconocidas por los navegadores. Por el contrario, un ciberdelincuente ha podido crear su propio certificado para dotar de mayor credibilidad a sus sitios web con fines fraudulentos. Por eso, ni todas las URL con “https” son seguras, ni todas las “http”, son inseguras, aunque ello sea un buen indicador a primera vista.

Ejemplo de una web sin certificado SSL.
Vistando la web del INCIBE, nos puede aparecer el mensaje de que no estamos en un sitio seguro, por la razón que se ha comentado en el párrafo anterior, siendo dicho sitio web de total confianza.

Debemos saber distinguir sitios web legítimos de los maliciosos

Para el usuario, puede resultar difícil saber cuándo se debe omitir el mensaje y cuándo considerar seriamente la advertencia. El Instituto Nacional de Ciberseguridad (INCIBE) recopila una serie de buenas prácticas, que nos ayudarán a discernir una web confiable de una potencialmente peligrosa de la siguiente manera:

  1. Revisaremos la URL y nos aseguraremos de que las etiquetas sean coherentes con el sitio que queremos visitar. Las páginas falsas emplean a menudo URL similares a las de los sitios legítimos, pero con variaciones en alguna palabra o en un único carácter. También pueden utilizar una URL acortada, para aprovechar la apariencia de la misma y llevar a confusión. También puede ser que nosotros mismos nos hayamos equivocado al escribirla, de ahí que aparezca el mensaje.
  2. No es lo mismo acceder voluntariamente a una web, que recibir un enlace por correo electrónico o SMS. Las campañas de ingeniería social tratan de redirigir a los usuarios a sitios falsos, por lo que debemos desconfiar de cualquier remitente que nos resulte desconocido.
  3. Aplicar el doble factor de seguridad y contrastar con una fuente fiable que el sitio al que deseamos acceder es seguro. Buscaremos la URL y el nombre de la empresa por separado en el buscador o simplemente contactaremos mediante alguno de sus canales de comunicación, como puede ser por teléfono, sus redes sociales o un correo electrónico.
  4. Utilizaremos un comprobador de enlaces, como puede ser GetLinkInfo, herramienta capaz de inspeccionar la fiabilidad de una URL, en el caso de enlaces acortados.
  5. Si posicionamos el puntero del ratón sobre el icono de advertencia o candado que aparece antes de la URL del sitio que estamos visitando, nos aparece una ventana que nos ofrece información sobre el certificado SSL/TSL que utiliza dicho sitio y su fiabilidad, y como hemos visto anteriormente, pudiera ser que el navegador no reconozca a la Autoridad Certificadora (AC), porque se trate de una propia u otra razón que nos lleve a sospechar.

Una vez hayamos superado estos filtros, podremos hacer caso omiso al mensaje y acceder a la URL si estamos seguros de que podemos confiar en el sitio, de lo contrario, es mejor no pecar de exceso de confianza, ya que nuestra información podría estar dirigida a quienes no tendrían que conocerla y que no van a hacer un uso lícito de ella.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.