Los certificados electrónicos de seguridad no resultan demasiado efectivos
Cualquier internauta se ha cruzado con ellos en la Red. Esos avisos de "certificados no válidos" saltan de vez en cuando para indicarnos que estamos entrando en una página Web que tal vez no sea segura.
Estos avisos dicen cosas tales como “Existe un problema con el certificado de seguridad de esta página Web”. Si usted es como la mayoría de la gente, se sentirá ligeramente preocupado pero aún así, según un informe realizado por especialistas de la Universidad Carnegie Mellon, existe un alto índice de probabilidad de que ignore el aviso y visite la página igualmente.
En un experimento realizado en un laboratorio, los investigadores descubrieron que entre el 55 por ciento y el cien por cien de los participantes ignoró este tipo de avisos de seguridad, dependiendo de qué navegador utilizaran, pues cada navegador emplea un modo distinto de avisar a sus usuarios.
“Todo el mundo sabía que había un problema con este tipo de avisos”, ha declarado Joshua Sunshine, uno de los autores de este análisis. “Nuestro estudio muestra realmente la magnitud del mismo”.
Lo cierto es que no son buenas noticias. A menudo, estos avisos aparecen debido a problemas técnicos en la página Web, pero también puede ser que la persona que esté navegando por esa Web esté siendo redireccionada de algún modo hasta una página Web pirata. Por ello, hay que tener claro que las URL de páginas Web seguras empiezan por “https”.
Los investigadores primero realizaron un estudio on-line entre más de 400 internautas para aprender qué pensaban sobre los avisos de certificados de seguridad. Una vez realizado este paso, analizaron a 100 personas en un laboratorio y estudiaron cómo navegaban por Internet.
Fue entonces cuando descubrieron que la gente normalmente tiene un concepto erróneo de este tipo de certificados. Por ejemplo, muchos creían que podrían ignorar los mensajes cuando visitan una página Web en la que confían, pero que deberían ser más cautelosos en páginas en las que confíen menos.
Sin embargo, “el mensaje lo que realmente hace es validar que estás entrando en la página que realmente quieres visitar, no que se trate de una página fiable”. Por ejemplo, si la página Web de un banco muestra un mensaje diciendo que su certificado de seguridad ha sido invalidado, es una muy mala señal según los expertos. Eso podría significar que el internauta está siendo objeto de un ataque. Se trataría de un tipo de ataque en el que el criminal se introduce a sí mismo entre el internauta y la página Web que esté visitando, con la intención de robar información.
Los expertos en seguridad tienen conocimiento desde hace tiempo de que este tipo de avisos de seguridad son poco efectivos, tal y como declara Jeremiah Grossman, responsable de tecnología en la consultora de seguridad White Hat Security. Eso es así porque los usuarios “realmente no saben qué suponen estos riesgos de seguridad. Así que se arriesgan”.
En el navegador Firefox 3, Mozilla intentó utilizar un lenguaje más sencillo y otro tipo de avisos más efectivos para los certificados erróneos. El navegador consigue así que sea más difícil ignorar un aviso erróneo de certificado. En el laboratorio de la Carnegie Mellon, los usuarios de Firefox 3 fueron los últimos en pinchar e ir a estas Webs después de que les mostraran estos avisos.
Los investigadores experimentaron con muchos rediseños distintos de estos avisos que desarrollaron ellos mismos, los que parecían ser incluso más efectivos. Tienen previsto dar a conocer sus resultados en el Usenix Security Symposium que se celebrará el 14 de agosto en Montreal.
Aún así, Sunshine cree que unos avisos mejorados tampoco ayudarán demasiado. En su opinión, en su lugar, los navegadores deberían utilizar sistemas que analicen los mensajes de error, pues incluso a la hora de visitar las páginas Web de importantes bancos, “la gente sigue ignorando estos avisos”.
