Cómo detectar sitios web falsos

DigiCert Blog
Dean Coclin
03-24-2021
(TIEMPO DE LECTURA: 4 MINUTOS)

En la era de la transformación digital, saber detectar sitios web falsos no es solo útil, sino absolutamente necesario para protegerse en Internet. Saber distinguir un sitio web fraudulento le permite proteger su identidad personal y laboral, sus datos financieros y sus credenciales de acceso al correo electrónico y a las redes sociales.

Actualmente, están aumentando los robos de identidad y las estafas relacionadas con la COVID-19. El Departamento de Salud y Servicios Humanos de los Estados Unidos ha advertido del peligro de fraudes relacionados con el coronavirus, que pueden producirse a través de llamadas, mensajes de texto, mensajes en las redes sociales o sitios web. Con la transición a la «nueva normalidad», las estafas en Internet no se detendrán, sino que con toda probabilidad aumentarán. Si sabe cómo comprobar si un sitio web es auténtico, podrá protegerse mejor de los fraudes ahora y en el futuro.

Cómo verificar un sitio web

Compruebe si la URL está bien escrita

Una de las principales señales de que un sitio web es falso es una URL mal escrita. Los estafadores a veces cambian ligeramente el nombre de la URL (por ejemplo, «amaz0n.com») o la extensión del dominio (por ejemplo, «amazon.org» en lugar de «amazon.com»).

Mire si el sitio web cuenta con sellos de confianza

La presencia de un sello de confianza indica que el sitio web es auténtico y, por lo general, se puede hacer clic en el sello para obtener más información sobre el sitio web y el proceso de verificación al que se ha sometido. Si no sucede nada al hacer clic en un sello, no se debería confiar en él, ya que probablemente se trate de una copia ilegítima.

1 the DigiCert site seal
Figura 1: Sello de confianza de DigiCert

 

Busque el candado

El símbolo del candado en un sitio web significa que este está protegido con un certificado TLS/SSL que cifra los datos de los usuarios. El candado debería aparecer en la parte superior izquierda de la barra de direcciones. Hay tres tipos de certificados TLS que muestran el símbolo del candado: los certificados con validación de dominio, con validación de empresa y con validación extendida.

  • Certificado con validación de dominio: verifica a quién pertenece el dominio, pero no facilita información sobre la identidad de la empresa. Por lo tanto, no se recomienda utilizar este tipo de certificados para fines comerciales.
  • Certificado con validación de empresa: la CA (autoridad de certificación) autentica a las empresas en bases de datos de registros oficiales. Este es el tipo de certificado estándar que se recomienda para los sitios web públicos o comerciales.
  • Certificado con validación extendida: el proceso de validación incluye más pasos, para que tanto su marca como los usuarios estén más protegidos y disfruten del máximo nivel de autenticación. Las CA pueden solicitar una serie de documentos y reuniones en persona para garantizar que los certificados con EV contengan información empresarial legítima. Los utilizan las mayores empresas del mundo para ganarse la confianza de sus clientes, pues garantizan a los usuarios que el sitio web es auténtico y pertenece a la entidad con la que creen estar realizando las transacciones.

Si un sitio web no tiene el símbolo del candado, en la mayoría de los navegadores aparece la advertencia de seguridad «No es seguro». Antes bastaba con buscar el símbolo del candado, pero con el aumento de los fraudes en Internet, ahora hay que prestar atención a más aspectos para saber si un sitio web es digno de confianza.

Figura 2: Aspecto de un sitio web seguro y otro no seguro cuando se utiliza Chrome en un equipo de sobremesa.

 

Diferencias entre un sitio web seguro y uno fraudulento

El candado indica que la información de un sitio web está cifrada y que los navegadores lo consideran seguro. Pero, por desgracia, esto no implica necesariamente que el sitio web permita hacer compras o compartir información sin correr ningún peligro. Aunque en el sitio web aparezca el candado, podría ser falso. Los estudios realizados revelan que ahora hasta la mitad de los sitios web falsos utilizados para lanzar ataques de phishing tienen un candado.

Por lo general, los estafadores usan certificados con DV, es decir, certificados TLS muy básicos que ciertas autoridades de certificación facilitan de forma gratuita. De este modo, para obtener un candado solo tienen que demostrar que el sitio web les pertenece. Con este tipo de certificados, no tienen que demostrar que la empresa es legítima. En alguna ocasión, un estafador podría utilizar un certificado con OV o EV, pero estos son más difíciles de conseguir, pues exigen pagar con una tarjeta de crédito válida, demostrar el registro de la empresa y responder a una serie de preguntas de la autoridad de certificación, por lo que la mayoría de los ciberdelincuentes prefieren no usarlos.

Los sitios web falsos con certificados TLS se suelen acabar detectando, pero podrían causar estragos durante un tiempo.

No se quede solo con el candado

Es importante no conformarse con comprobar la presencia del candado. Haga clic en él para obtener más información. Si el nivel de autenticación es máximo, al hacer clic en el candado, aparece el mensaje «Emitido a: [Nombre de la empresa]» debajo de «Certificado (válido)». Por desgracia, actualmente esta función solo funciona en los navegadores de los equipos de sobremesa. Pero, independientemente del navegador que utilice (móvil o de sobremesa), sigue valiendo el principio de no limitarse a comprobar la presencia del candado para saber si un sitio web es seguro.

Utilice una herramienta de verificación de sitios web

En caso de duda, utilice una herramienta de verificación para comprobar si un sitio web es seguro. De este modo, sabrá si el sitio web presenta vulnerabilidades, si utiliza cifrado y a qué nivel de verificación se ha sometido.

Otras formas de verificar un sitio web

Además de comprobar que aparezca un candado, consultar el sello y utilizar una herramienta de verificación de sitios web, busque también los siguientes indicadores de confianza:

  • Una política de privacidad
  • Una política de devoluciones
  • Los datos de contacto de la empresa, como el número de teléfono y la dirección
  • La corrección gramatical y ortográfica
  • Las reseñas en Internet (busque en Google «reseñas de [nombre del sitio web]» para consultar comentarios)

En general, desconfíe de las ofertas que parecen demasiado buenas para ser reales, porque rara vez lo son.

Qué hacer si se encuentra un sitio web falso

Si ha llegado a un sitio web fraudulento, no facilite información confidencial como datos financieros, credenciales de inicio de sesión, códigos de verificación, datos de acceso a Facebook y ni siquiera su nombre y datos de contacto. En caso de duda, no cumplimente ningún formulario. Tampoco debe hacer clic en enlaces presentes en correos electrónicos, publicaciones en redes sociales o mensajes privados de origen desconocido. El hecho de saber si un sitio web es falso le ayudará a decidir si comprar o no en él.

Si ha detectado un sitio web falso, informe a Google Safe Browsing y ciérrelo de inmediato.

UP NEXT
PKI

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min

Featured Stories

07-03-2024

What is a CA’s Role in delivering digital trust?

Why certificate automation is an absolute must

11-15-2024

4 steps to secure the IIoT device lifecycle