Taberna del Turco

El phising otra vez. Leo en el Navegante que ya se empiezan a ver casos de phising que usan el protocolo https. Bueno, ¿y por qué no?

El protocolo HTTPS es la versión segura del HTTP, que utiliza el protocolo SSL para crear un canal seguro de comunicación en el que pueden circular nuestros datos de forma confiable. Cada vez que abrimos una página que utiliza este protocolo el navegador nos informará que la página tiene un certificado digital y que si queremos leerlo, aceptarlo, aceptarlo para siempre o rechazarlo. Estoy seguro que el 95% de la población le da a aceptar sin leerlo (yo soy el primero). En dicho certificado podemos ver quién es la autoridad certificadore, es decir, la entidad que nos asegura que va a cifrar dicho canal utilizando su propia clave pública y su propia firma digital.

Sin embargo nosotros mismos nos podemos convertir en autoridad certificadora. Aquellos que hayan instalado un servidor web (Apache, IIS, etc) y lo hayan hecho incluyendo la posibilidad de navegación segura habrán tenido que generarse su propio certificado y su sistema de claves. ¿Qué significa esto? Pues significa que las páginas web que hagan phising pueden hacerlo también. Incluso pueden fasificar los datos de la autoridad certificadora, pues cuando se crea el certificado se te pregunta nombre de la autoridad y luego no se contrasta con ninguna base de datos.

Por tanto, consejo, por mucho https que tenga una página y por mucho candado que aparezca en nuestro navegador, estad ojo avizor porque nos la van a colar igualmente como no seamos unos desconfiados.