19 de abril de 2008
Por Percy Cabello

En un informe hecho la semana pasada por PayPal [en], anuncian que empezarán a mostrar alertas a clientes que accedan a este sitio usando navegadores que no soporten algunos de los métodos de protección anti-phishing o de identificación segura del sitio web.

"Desde nuestra perspectiva, permitir a los usuarios acceder a nuestro sitio con uno de estos navegadores es lo mismo que un vendedor de coches permita usar sus vehículos sin cinturón de seguridad", ésta es una de las aseveraciones del informe hecho por Michael Barret y Dan Levy, Jefe de seguridad de información y Director en Jefe de administración de riesgo para Europa, respectivamente.

El informe además sugiere a las instituciones financieras que recomienden a sus usuarios navegar con la versión más reciente de los navegadores que utilicen, advirtiendo a aquellos que usen una versión anterior, y bloqueando a los que utilicen versiones aún más antiguas, ya que son más proclives a sufrir mayores riesgos y vulnerabilidades.

Con la actual oferta de navegadores como Internet Explorer, Firefox, Safari y Opera, disponibles para ser descargados de forma gratuita, es difícil discutir con esta propuesta. Aunque hay una desventaja a tener en cuenta y es la compatibilidad con el sistema operativo. Por ejemplo, los usuarios de Windows 95/98 y de versiones antiguas de Mac OS X, no pueden actualizarse a Firefox 3, ya que tener Windows 2000 es el requerimiento mínimo. Estos mismos usuarios tampoco podrán acceder a los sitios de las empresas a las que PayPal hizo las recomendaciones arriba descritas.

En relación a la identificación del sitio, otras vías para que un sitio se valide es usar un certificado SSL EV (Validez Extendida), autenticado por una autoridad como Go Daddy, Thawte, VeriSign u otros.

De manera distinta a los certificados "simples" de SSL, que muchos sitios utilizan para encriptar la información entre sus servidores y los visitantes, estos certificados obligan a que las compañías muestren información acerca de su identidad legal, dirección física, la identidad de los individuos que están a cargo del proceso de certificado, etc.

Así, por ejemplo, cuando entras a un sitio como Paypal.com, no sólo sabes que es paypal.com (por su certificado SSL), sino que además tienes la certeza de que la compañía con la que estás contactando es PayPal Inc.

¿Cuál es la ventaja? Si los "chicos malos" quieren engañarte para que des tus datos de Paypal, ellos sólo pueden registrarse como paypa1.com (nota que la "l" es ahora un "1") y así poder conseguir un certificado SSL. Así que aquellos usuarios que caigan mediante correos de phishing, quizás no noten la pequeña diferencia en la barra de direcciones (que ahora es amarilla), y se sentirán lo suficientemente seguros como para entregar sus datos al sitio erróneo.

Los navegadores que soportan los certificados EV, como Internet Explorer 7, Firefox 2 (con la extensión de la barra verde de EV), y Firefox 3 poseen una interfaz de usuario especial para mostrar el nombre de la compañía dueña del sitio. Con el tiempo, los usuarios se acostumbrarán a esta característica y serán capaces de distinguir los sitios fraudulentos inmediatamente.

En Firefox 3, el nuevo botón para los sitios se vuelve verde cuando ingresas a un sitio con un certificado EV. Pinchando sobre ese botón, te muestra el nombre de la compañía que está a cargo de la página.


Fuente: BBC News [en].

Etiquetas: ,

 
posted by FrancJP at 1:30 p. m. |


0 Comments: