El SuperCuy: ¿Qué son páginas seguras?

Ámbito de aplicación

Navegando con los navegadores

Chrome

Mozilla Firefox

Internet explorer o su sustituto Microsoft Edge

Safari

Opera

Brave

Maxthon

Torch Browser

Vivaldi

1. La clave es el candado o la "s" adicional

Navegando seguro o casi seguro.

Toda página segura tiene un candado como icono y/o el prefijo https; en estas páginas la comunicación bidireccional (servidor web ==> usuario o usuario ==> servidor web) es cifrada acorde con el servicio que ofrecen los certificados SSL (Secure Sockets Layer) o TLS (Transport Layer Security). El certificado de seguridad SSL se instala en el servidor de las páginas web y permite activar el protocolo seguro https.

En el intercambio con páginas seguras los datos viajarán de cierta manera protegidos pero no con garantía total, al 100%, mientras que en páginas no seguras (que no son https://xxxx) los datos pueden ser robados con cierta facilidad; por lo que por este lado nunca se deben enviar datos sensibles.

Ejemplos de páginas seguras en Loja

https://www.registropropiedadcantonloja.gob.ec/ (comprobado el 30/07/2021 10H51)
https://www.loja.gob.ec/ (comprobado el 30/07/2021 10H52)
https://lasurenita.com.ec/ (comprobado el 30/07/2021 10H53)
https://prefecturaloja.gob.ec/ (comprobado el 30/07/2021 10H58)
https://www.unl.edu.ec/ (comprobado el 30/07/2021 11H07)
https://molmedo.gob.ec/ (comprobado el 30/07/2021 11H27)

Ejemplos de páginas seguras en Ecuador

https://www.cnt.com.ec/ (comprobado el 30/07/2021 11H10)
https://www.firmadigital.gob.ec/ (comprobado el 30/07/2021 11H12)
https://www.bancoguayaquil.com/ (comprobado el 30/07/2021 11H30)
https://www.laposta.ec/ (comprobado el 30/07/2021 11H39)
https://www.municipiodemejia.gob.ec/ (comprobado el 30/07/2021 11H42)
https://www.bomberosguayaquil.gob.ec/ (comprobado el 30/07/2021 11H44)

¿Hay alguna página insegura en el grupo venidero?

www.gadcelica.gob.ec (recomprobado el 17/10/2021 09H50)
http://www.bomberosloja.gob.ec (recomprobado el 17/10/2021 09H54)
http://cne.gob.ec/es/ (recomprobado el 17/10/2021 09H55)
http://delbank.fin.ec/ ??
http://www.litoral.fin.ec/ ??

Nota: La seguridad/no seguridad es temporal por lo que los ejemplos que se colocan no son permanentes y pueden migrar de un grupo a otro; de este lado existe la obligación de hacer revisiones periódicas para la respectiva actualización.

2. ¿Qué puede pasar si accede a una página insegura?

Intento de instalar un virus en el computador
Suplantación de identidad; la página es una copia de la original (phishing) con el propósito de robar datos
Instalación de programas dañinos

3. ¿Las páginas seguras para intercambio de datos pueden servir para transportar contenido potencialmente peligroso?

Sí. Como en la ilustración siguiente donde una conducción segura de agua puede transportar contenido peligroso proveniente de una fuente envenenada.

Un buen antivirus (como lo veremos en otra página) lo ayuda a detectar contenido indeseable

4. ¿Y mientras tanto quiénes ayudan en la seguridad?

De Google:

"Navegación segura es un servicio que diseñó el equipo de seguridad de Google para identificar sitios web no seguros en la Web y notificar a los usuarios y webmasters de un daño potencial. En este informe de transparencia, divulgamos detalles sobre las advertencias que les mostramos a los usuarios. Compartimos esta información para generar más conciencia sobre los sitios web no seguros y esperamos impulsar el progreso hacia una Web más segura y protegida (...)"
Para leer el artículo completo hacer clic aquí.

5. ¿Cómo verificar a motu propio (en modo propio) el grado de seguridad de una página?

Si tiene sospecha sobre alguna página verifique su estado de seguridad haciendo clic aquí. Pero no se confíe.

6. ¿Qué es phishing?

El phishing es un método para engañarle y lograr que comparta contraseñas, números de tarjeta de crédito, y cualquier información sensible. En este ambiente el atacante intenta hacerse pasar por una institución de confianza (por ejemplo un banco) en un mensaje de correo electrónico, mensaje, código QR, o llamada telefónica. Tiene como base el error humano.

7. ¿Qué hacer si recibe un correo de una aparente entidad financiera pidiéndole que actualice sus datos?

La página web del banco es https://www.pichincha.com y por supuesto que es segura.

El caso malicioso:

Un correo malicioso que llegó a mi bandeja tratando de hacerse pasar por el banco Pichincha.

Ignorar totalmente el pedido de actualizar los datos. Las entidades financieras nunca piden actualizar los datos por correo.
No hacer clic en ningún enlace (por ejemplo: wwwx.actualización...) o botón como por ejemplo "CONFIRMAR"
Bloquear al remitente: seleccione el correo, clic derecho y finalmente bloquear

Algo más avanzado

Ejercicio Nº 1 (verifique que la página de su banco es segura)

Determine cómo se llama la página web de su banco. Puede acceder a las asociación de bancos privados para determinar si su banco es miembro haciendo clic aquí. Si es un banco del estado vaya directo al banco o llame por teléfono e infórmese sobre el nombre de la página oficial del banco; googlear en este caso no es la solución. La alternativa es buscar, los nombres de las páginas web, en medios publicitarios de gran circulación

Compruebe que, la de su banco, es una página segura (por ejemplo banco Pichincha)

Ejercicio Nº 2 (Conocer y bloquear al remitente de esos correos)

Seleccionar el correo malicioso/sospechoso y luego clic derecho

Identificar al remitente; en este caso se trata de un mail falseta

Bloquear el remitente

Formato de la cuenta de correos correcta del banco Pichincha: reclamos@pichincha.com \

8. ¿Y entonces cuál es la regla de oro?

Mueva el cursor por encima del mensaje y mire si aparecen links a páginas web dudosas. Si aparecen links dudosos -que ya usted sabe identificar- no haga clic, bloquee al emisor, elimine el mensaje y así sucesivamente.

9. Avanzando un poco más en casos de suplantación de identidad

Si la página correcta del Banco de Guayaquil es https://www.bancoguayaquil.com/ entonces qué puede decir de esta página https://www.bancoguayaquiI.com/?

¿Puede identificar la diferencia?

10. La propuesta

Ante esta campaña de estafas el sector oficial debe dar el ejemplo implementando un sitio web validador de sitios oficiales para no andar anotando direcciones en un papelito; luego del modelo otro tanto con el sector privado y todo el mundo feliz.

11. Varios

Deje su aporte o experiencia como comentario. Todos debemos colaborar en esta magna tarea de ciberseguridad.

2 comentarios:

correapabloivan12 de agosto de 2021, 9:33
Excelente post. Añadiría una sugerencia: así como la información de este blog es libre, ayudaría mucho que en caso de que un lector encontrará una vulnerabilidad o un correo sospechoso, se informe a la entidad financiera para que a su vez tome acciones sobre estás amenazas. Si la entidad financiera no da oídos, se puede crear una iniciativa web (una wiki) que registre dominios, IPs, etc., que recopilen está información en beneficio comunitario.
ResponderEliminar
Respuestas

Añadir comentario