El protocolo HTTPS (HTTP Secure) es una adaptación del protocolo de transferencia de hipertexto (HTTP), la base fundamental de la World Wide Web. Netscape lo desarrolló en 1994 inicialmente para su navegador con el objetivo de establecer comunicaciones y transferir datos de manera segura en las páginas web. Desde su implantación, no ha parado de crecer el número de páginas webs que lo han adoptado. Statoperator estima que, del millón de páginas web más visitadas en todo el mundo, más de 315.000 utilizan el protocolo HTTPS. Pero, ¿el protocolo HTTPS hace realmente que una web sea segura? ¿Cómo podemos estar a salvo de los ataques?

¿Cómo funciona el HTTPS?

Las páginas HTTPS usan protocolos SSL (Secure Sockets Layer) o TLS (Transport Layer Security) para el cifrado de sus comunicaciones. Como resultado, los servidores y clientes se comunican mutuamente usando la misma HTTP, pero sobre una conexión SSL o TLS que cifra sus peticiones, conexiones y transferencias de datos. En teoría, esto las hace mucho más seguras que páginas web con un protocolo simple de HTTP, ya que al estar cifradas reducen mucho las posibilidades que terceros realicen ataques de intermediario o interrumpan nuestras comunicaciones con la web. Los navegadores identifican las webs HTTPS con un candado que aparece al lado de la ventana de la URL.

Los peligros del phishing

El hecho de que la transmisión de información esté cifrada bajo HTTPS no significa que la web que visitamos sea segura en sí. El ejemplo más claro de ello es el phishing: Una web podría suplantar la identidad de otra original con el fin de recabar los datos de los usuarios, aprovecharse de ellos para su beneficio e igualmente obtener un certificado HTTPS que evita que terceros intervengan en la transmisión de los datos. De hecho, casi el 25% de los ataques de phishing se realizan en sites con HTTPS..

En este sentido, el phishing supone un grave riesgo para los entornos corporativos: los empleados que no tomen las suficientes precauciones y sean víctimas de un ataque de phishing podrían facilitar información confidencial y datos bancarios que pueden poner en serio peligro la seguridad de la empresa.

Cómo evitar ataques de phishing

Perry Carpenter, Chief Evangelist y Strategy Officer de KnowBe4, una de las plataformas más populares de ciberseguridad para empresas y simulación de phishing, señala que, en general, los empleados como usuarios “son el punto débil”. Los atacantes encuentran maneras de engañar para que los empleados hagan clic en enlaces peligrosos o descarguen archivos maliciosos.

La mejor manera de prevenir el phishing es la educación y sensibilización, comenzando por aplicar procesos en la empresa que fomenten los buenos hábitos en ciberseguridad. De esta manera, los mismos empleados se convierten en una línea de defensa cuando los firewalls o sistemas de detección no han percibido la amenaza.

Uno de estos procesos son las situaciones simuladas de phishing. En ellas, los empleados se exponen de forma controlada a ataques simulados. En su mayoría, son ataques mediante correo electrónico, ya que suponen el 91% de los ataques de phishing, pero también es conveniente practicar con webs fraudulentas. Y sí, evidentemente, con ejemplos que también tengan HTTPS para alertar del peligro que pueden suponer esas páginas web. Estas simulaciones les permiten equivocarse sin riesgo y, gracias a la práctica, aprenden a distinguir los ataques identificando distintos rasgos comunes que hacen reconocibles al phishing.

En este sentido, las pautas más destacadas que los empleados deberían distinguir para evitar ataques de phishing son:

  • Los asuntos de los mails: según un estudio de KnowBe4, las alertas de seguridad, las políticas de vacaciones y de bajas y los avisos de empresas de mensajería son los asuntos de mails de phishing más comunes. Los empleados deben aprender a distinguir los rasgos definitorios de los mails auténticos de su empresa y los de sus proveedores con los que están en contacto.
  • La URL: la dirección es un rasgo muy distintivo. La URL de la web fraudulenta suele contener términos que son similares a los de la original y, en ocasiones, solo contienen pequeñas variaciones. Es importante que los empleados presten especial atención a las URL para su verificación.
  • El idioma: aunque no es un rasgo definitivo, muchos de los mails y las webs de phishing están en otros idiomas ajenos al que suele utilizar la empresa o son malas traducciones.
  • Formularios y peticiones de datos: antes de facilitar datos de la empresa mediante formularios o en respuesta a peticiones, es recomendable que los empleados comprueben previamente si no hay otros cauces habituales para el envío de esos datos y, por supuesto, también conviene que verifiquen la autenticidad de la web.

 

En cualquier caso, el mejor consejo ante el phishing es siempre fomentar la prudencia entre todas las personas que forman parte de la organización. Asegurar la autenticidad del contenido ante la más mínima sospecha de phishing es siempre lo más razonable. Por último, si estas precauciones fallan, también es conveniente contar con soluciones integrales que ofrezcan una monitorización en tiempo real de la red corporativa y eviten los ataques antes de que ocurran, como es el caso de Panda Adaptive Defense. Si el factor humano falla, este tipo de soluciones permiten minimizar el impacto de un ataque de phishing a la empresa.