El robo de contraseñas de sitios web de entretenimiento, WhatsApp falso, noticias falsas sobre Covid-19 y la vacuna, estafas y ataques de ransomware más sofisticados, son algunas de las principales amenazas a las que están expuestos los usuarios. No es nuevo: la tecnología ha facilitado la rutina de las personas y más aún con las pandemias. Hoy en día ya no es necesario salir de casa para realizar un pago, realizar compras o incluso asistir a una reunión. Internet se ha convertido en un universo aparte, lleno de transacciones.
Para evitar estafas, el uso de certificados TLS para proteger e identificar sitios web se ha expandido drásticamente en Internet. Esto ha sido impulsado por navegadores que muestran indicadores negativos para sitios que no son https, lo que alienta a los sitios web a usar TLS. Los certificados TLS vienen en tres versiones: Validado por dominio (DV), Validado organizacionalmente (OV) y Validación extendida (EV). Las diferencias básicas se muestran a continuación:
Certificado de validación de dominio
Los certificados de dominio validado se comparan con un registro de dominio para demostrar la propiedad del dominio del sitio. Sin embargo, los certificados DV no ofrecen información de identificación de la organización. Por lo tanto, no se recomienda utilizar certificados DV con fines comerciales.
Certificado de validación de la organización
Para recibir un certificado OV, las organizaciones son autenticadas por la CA (Autoridad de certificación) contra las bases de datos del registro empresarial alojadas por los gobiernos. Las CA pueden requerir ciertos documentos y personal de contacto para garantizar que los certificados OV contengan información comercial legítima. Este es el tipo estándar de certificado requerido en un sitio web comercial o público.
Certificado de validación extendida
Los certificados EV agregan pasos de validación adicionales y ofrecen el nivel más alto de autenticación para salvaguardar la marca y proteger a sus usuarios. Si bien no todos los sitios de la web utilizan certificados EV, las organizaciones líderes en el mundo los utilizan para garantizar la confianza del usuario. Más de la mitad de los 400 principales sitios de comercio electrónico utilizan EV, según los datos de 2019 de Comscore y Netcraft. Han descubierto que cambiar de certificados OV a EV aumenta las transacciones en línea y mejora la confianza del cliente.
En todos los casos, se proporciona cifrado entre el navegador y el servidor. Sin embargo, el cifrado no proporciona autenticación. Sabemos que el navegador está encriptando datos en algún servidor con un nombre de dominio verificado. Pero no sabemos nada sobre ese dominio con certificado DV. Con OV y EV, recibimos más información sobre el dominio, incluida la ubicación de la empresa (OV), e incluso más detalles con EV.
Mirando más allá del candado
Con la llegada de una web que está cifrada en más del 90% y con los navegadores que muestran un candado sólido para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente “buscar el candado”, ya que esto es insuficiente para proteger a los usuarios de sitios fraudulentos. Los usuarios deben ser diligentes al buscar pistas sobre la identidad del sitio. Con los certificados EV, debe hacer clic en el candado para ver el nombre legal de la empresa. Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado.
Otra pista que debe buscar es el nombre de la autoridad de certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden colocar el cursor sobre el candado para ver el nombre de la CA. Las CA líderes actualizan constantemente los estándares globales mediante los cuales las CA validan las identidades y siguen procesos rigurosos.