Icono del sitio Technocio

Pasos esenciales para identificar sitios web fraudulentos

En la era de la transformación digital, saber cómo identificar sitios web falsos es absolutamente necesario protegerse en línea. Saber cómo detectar un sitio web fraudulento puede proteger tu identidad personal y laboral, tu información financiera y los inicios de sesión para tu correo electrónico y redes sociales.

Las estafas de COVID-19 y el robo de identidad van en aumento. En el caso específico de México, el año pasado la Guardia Nacional desactivó más de 5.000 páginas web falsas haciéndose pasar por agencias gubernamentales del país, así como tiendas departamentales e incluso un equipo de fútbol. Además, en lo que va de año, Banxico alertó a los usuarios para que tengan cuidado con las páginas falsas que ofrecen bienes e inmuebles a nombre de la institución.

En América Latina, un estudio de Microsoft y Marsh muestra que más del 30% de las empresas percibieron un aumento en los ciberataques como resultado de la pandemia COVID-19. Por tipo de amenaza, el «phishing» se ha considerado el principal riesgo para las organizaciones. De hecho, Microsoft fue la marca más utilizada en ataques de «phishing» en el último trimestre de 2020.

Por otro lado, el número de estafas y fraudes por correo electrónico en los últimos meses se ha disparado en Brasil, en gran parte debido a la pandemia. Con más gente en casa, se están usando más teléfonos celulares y computadoras para realizar compras y transacciones bancarias. Aquí es donde los estafadores y defraudadores aprovechan para actuar en el entorno digital.  Esto es lo que muestra una encuesta de la Federación Brasileña de Bancos. Entre enero y febrero de 2021, hubo un aumento del 100% en los ataques de phishing, la llamada pesca digital, en comparación con el mismo período en 2020. En esta modalidad, el usuario proporciona información personal en mensajes y correos electrónicos falsos.

Para DigiCert comprender acerca de cómo verificar si un sitio web es auténtico, ayudara a los usuarios a protegerse ahora y en el futuro contra sitios web falsos. Es por ello que la compañía brinda 6 pasos esenciales para identificar sitios web fraudulentos:

¿Cómo verificar un sitio web?

1. Comprueba si la URL está mal escrita

Un indicador clave de un sitio falso es una URL mal escrita. Los estafadores pueden cambiar ligeramente el nombre de una URL, como usar amaz0n.com, o pueden cambiar la extensión del dominio, como amazon.org en lugar de amazon.com.

2. Comprueba los sellos del sitio

Un sello de sitio indica que el sitio es auténtico y, por lo general, puede hacer clic en un sello de sitio para revelar más información sobre el sitio web y cómo se verificó.

Figura 1: el sello de sitio de DigiCert

3. Mira más allá de la cerradura

El candado en un sitio web significa que un sitio está protegido por un certificado TLS / SSL que cifra los datos del usuario. Puede buscar el candado en la parte superior izquierda de la barra de direcciones. Hay tres tipos de certificados TLS/SSL que mostrarán un candado cada uno: Validación de dominio, Validación de organización y Validación extendida.

• Certificado de validación de dominio: verifica la propiedad del dominio. Sin embargo, los certificados DV no proporcionan información de identificación organizacional. Por lo tanto, no se recomienda utilizar certificados DV con fines comerciales.

• Certificado de validación de la organización: las organizaciones son autenticadas por la CA (autoridad certificadora) en las bases de datos oficiales de registro de empresas. Este es el tipo de certificado estándar recomendado para un sitio web comercial o público.

• Certificado de validación extendida: contiene pasos de validación adicionales y ofrece el nivel más alto de autenticación para proteger su marca y sus usuarios. Las CA pueden requerir ciertos documentos y contacto personal para garantizar que los certificados EV contengan información comercial legítima. Son utilizados por las organizaciones líderes en el mundo para garantizar la confianza de los usuarios, dándoles a los usuarios una gran confianza en que el sitio web es auténtico y pertenece a la entidad con la que creen que están realizando transacciones.

Si un sitio no tiene un bloqueo, la mayoría de los navegadores mostrarán una advertencia de «no seguro». En el pasado, bastaba con buscar el candado, pero con el aumento del fraude en línea es necesario mirar más allá del candado para verificar un sitio web.

Figura 2: Cómo se ve un sitio seguro y no seguro en Chrome en el escritorio

4. Sitio seguro frente a sitio fraudulento

El candado significa que la información de un sitio está encriptada y los navegadores la considerarán segura. Desafortunadamente, hoy en día, un sitio seguro no significa necesariamente que sea seguro comprar o compartir información con un sitio web. El hecho de que un sitio tenga un candado no significa necesariamente que no sea falso. La investigación muestra que hasta la mitad de los sitios falsos utilizados para el phishing ahora tienen candado.

“Por lo general, los estafadores usan certificados DV: certificados TLS/SSL de bajo nivel que algunas autoridades de certificación ofrecen de forma gratuita, de modo que solo tienen que demostrar que son propietarios del sitio para obtener un bloqueo. Con los certificados DV, no es necesario que demuestren que la empresa es legítima. En ocasiones, pueden usar un certificado OV o EV, pero debido a que requieren más esfuerzo para obtenerlo, incluida la prueba de un registro comercial, el pago con una tarjeta de crédito válida y la respuesta a las consultas de la autoridad de certificación, la mayoría de los delincuentes no pueden usarlos”, afirmò Dean Coclin, director senior de desarrollo de negocios en DigiCert.

Los sitios web falsos que usan certificados TLS/SSL generalmente se detectan, pero es posible que puedan causar estragos temporalmente con un certificado.

5. Mira más allá de la cerradura

Debes mirar más allá del candado haciendo clic en él una vez para revelar más información. Para obtener el nivel más alto de autenticación, si haces clic en el candado, se mostrará «Emitido a: [Nombre de la empresa]» debajo de «Certificado (válido)». Desafortunadamente, esta funcionalidad solo funciona actualmente en navegadores de escritorio. Pero ya sea que esté en un navegador móvil o en un escritorio, los principios de mirar más allá del candado para verificar si un sitio web es seguro siguen siendo los mismos.

6. Ejecutar el sitio a través de un verificador de sitios web

En caso de duda, deberías utilizar un verificador de sitios web para darte cuenta si un sitio web es seguro. Una verificación de un sitio web seguro puede permitirte conocer cualquier vulnerabilidad en el sitio, si está utilizando cifrado y qué nivel de verificación tiene éste.

Formas adicionales de verificar un sitio web

Además de verificar el bloqueo, el sello del sitio y ejecutar la URL a través de un verificador de sitios web, también podrías buscar los siguientes indicadores de confianza en un sitio:

• Una política de privacidad.

• Una política de devoluciones.

• Información de contacto de la empresa, como un número de teléfono y una dirección.

• Correcta ortografía y gramática

• Reseñas en línea (simplemente Google «reseñas de [nombre del sitio]» para encontrar comentarios en línea)

En general, debes evitar las ofertas que parezcan demasiado buenas para ser verdad, porque es probable que no lo sean.

¿Qué hacer si encuentra un sitio fraudulento?

“Si has llegado a un sitio fraudulento, no proporciones ninguna información confidencial como detalles financieros, un inicio de sesión y contraseña, códigos de verificación, un inicio de sesión de Facebook o incluso su nombre e información de contacto. En caso de duda, no lo completes. Además, no hagas clic en enlaces de correos electrónicos desconocidos, publicaciones en línea o DM. Saber si un sitio es falso te ayudará a saber si comprar o no en un sitio” concluye Dean Coclin.

Debes informar sobre un sitio falso a la Navegación segura de Google y cerrarlo de inmediato.

Salir de la versión móvil