Cómo verificar si un sitio web es seguro para comprar (y probar que el tuyo lo es)

Oct 03, 2023

A partir del segundo trimestre de 2020, HelpNet Security informó que, en promedio, se creaban diariamente más de 18 000 sitios web falsos. Según ese cálculo, significa que se produjo un promedio de al menos 6,57 millones de sitios web fraudulentos al año. Esto significa que sus empleados deben saber cómo verificar si un sitio web es seguro para comprar para que su empresa no sea estafada por un proveedor falso.

Ahora, póngase en el lugar de sus posibles clientes. Están tratando de averiguar si hacer negocios con su empresa. Hay varias preguntas que pueden hacer sobre su sitio web:

Exploremos qué constituye un sitio "seguro" desde la perspectiva del usuario y cómo saber si un sitio web es seguro para comprar. También hablaremos sobre lo que pueden hacer los administradores de sitios web para ayudar a demostrar a los visitantes que sus sitios web son seguros y legítimos.

Vamos a discutirlo.

Cuando se trata de medir la seguridad de un sitio web, hay ciertas cosas que los usuarios deben tener en cuenta. Históricamente, indicamos a las personas que verifiquen el ícono del candado de seguridad en el navegador. (Durante décadas, este ícono ha servido como una forma de comunicar que un sitio web es seguro). Sin embargo, como compartimos recientemente en otra publicación de blog, el ícono del candado seguro en Chrome seguirá el camino del pájaro Dodo con el lanzamiento de la versión 117 de Chrome (alrededor de septiembre de 2023). ¿Por qué? Porque la gente estaba malinterpretando un sitio web seguro por uno que era seguro. Pero como discutiremos un poco más adelante, estos términos no son sinónimos.

Cuando los sitios web utilizan el protocolo HTTPS, significa que el sitio web utiliza el cifrado para proteger los datos que se transmiten entre el cliente y el servidor. Básicamente, el navegador del visitante del sitio web cifra los datos con una clave de cifrado y el servidor del destinatario los descifra con una clave de descifrado. Esto es posible mediante un certificado SSL/TLS.

Entonces, en lugar del ícono del candado seguro, verá un ícono de "sintonización" que se ve así:

Pero simplemente afirmar que un sitio web es seguro no le brinda una imagen completa cuando se trata de saber si un sitio web es seguro...

Pero el hecho de que algo esté encriptado no significa automáticamente que sea seguro. Esta es una de las dos grandes razones por las que el equipo de seguridad de Google Chrome dice que ha decidido deshacerse del candado de seguridad por completo:

Si bien hay muchas palabras que nos gusta usar indistintamente dentro de la industria, seguro y seguro no deberían ser dos de ellas. ¿Por qué? Porque a pesar de que suenan como si fueran lo mismo en la superficie, la verdad es que no lo son.

Aseguro sitio web significa que el sitio web utiliza una conexión encriptada para proteger los datos de los ataques de intercepción. Estos tipos de ataques ocurren cuando un atacante (es decir, un hombre en el medio) intenta meterse entre dos partes que se comunican para leer, modificar o robar sus datos mientras están en tránsito.

AseguroEl sitio web, por otro lado, implica que no solo utiliza una conexión segura para transmitir y recibir datos, sino que sabe quién es la parte en el otro extremo de la conexión que recibirá sus datos confidenciales.

Un sitio web seguro, sin identidad verificable, da una falsa sensación de seguridad. Incluso si utiliza el mejor algoritmo de cifrado, no le servirá de nada si la persona del otro lado (es decir, la que tiene la clave de descifrado) no es de confianza.

Ahora que conocemos la diferencia entre seguro y protegido, es hora de explorar rápidamente algunas de las formas de verificar la autenticidad y seguridad de un sitio web.

Si desea comprar algo de un sitio web, siempre es una buena idea ejecutar el dominio del sitio web o cualquier URL específica a través de un escáner de sitio web antes de hacer clic en él. Esta práctica puede ayudarte a evitar que tu computadora o dispositivo móvil se infecte con malware.

Por ejemplo, ingrese la URL de un sitio web en la herramienta de verificación de URL de VirusTotal.com para ver si muestra algún resultado preocupante. Por ejemplo, usamos maliciosowebsitetest.com como ejemplo:

Si recibe un enlace que contiene una URL abreviada (por ejemplo, bit.ly, tinyurl, goo.gl, etc.), también puede usar una herramienta de expansión de URL para analizar las URL cortas en sus versiones completas. Por ejemplo, tomamos la URL abreviada https://bit.ly/3ME9e3D y la expandimos para leer https://thesslstore.com/blog.

Ahora es más importante que nunca tanto para los consumidores como para los empleados evaluar la identidad digital de un sitio web y la organización que lo posee. ¿Por qué? Porque si no sabe con quién se está conectando, podría ser víctima de robo de identidad, compras fraudulentas o una violación de datos más importante.

Una vez que esté en un sitio web, puede verificar la información del certificado SSL/TLS del sitio. Al usar un certificado de validación de organización (OV) o validación extendida (EV), la identidad digital validada de su organización se vincula al dominio. Por ejemplo, el certificado de seguridad del sitio web de TheSSLstore.com muestra nuestro nombre común (CN), nombre de la organización (O), ubicación (L), estado (S) y otra información:

¿No ve ninguna información que se parezca a esto? Probablemente significa que el sitio web está utilizando un certificado de validación de dominio (DV). Esto significa que la autoridad certificadora (CA) que lo emitió solo verificó que el solicitante del certificado tenga el control del dominio; no investigó ni verificó la identidad digital adicional de la propia empresa.

No es raro que las empresas legítimas utilicen certificados DV. No todos los sitios web necesitan un mayor nivel de validación (por ejemplo, sitios web informativos que no recopilan datos confidenciales). Pero es importante tener en cuenta que estos certificados de validación mínimos también los usan comúnmente los ciberdelincuentes porque son gratuitos (o se pueden comprar a bajo costo) y no requieren validación comercial. De hecho, el análisis de PhishLabs de los sitios web de phishing en el primer trimestre de 2021 mostró que más del 94 % de los sitios web de phishing usaban certificados SSL/TLS con validación de dominio (DV).

Ahora que ha realizado estas primeras comprobaciones, el siguiente paso es observar el contenido del sitio web con ojo crítico. Lea el contenido, revise los productos y precios, y pregúntese: ¿tiene sentido?

Otra excelente manera de saber si un sitio web es seguro es leer las reseñas dejadas por otros. Por supuesto, esto no es infalible, ya que los delincuentes pueden publicar reseñas falsas en línea o contratar a personas para que lo hagan por ellos. Pero sigue siendo un método de verificación adicional porque alguien que es estafado inevitablemente publicará reseñas negativas en sitios como Yelp, Trustpilot, Consumer Reports, Angie's List y otros.

También puede consultar sitios web como Better Business Bureau (BBB) ​​para ver si se han presentado quejas contra el sitio web o la empresa en los últimos años.

¿Aún no es suficiente? Puede llevar las cosas aún más lejos y comprobar la legitimidad del propietario del dominio. En los EE. UU., puede hacer esto verificando los registros del estado en el que la empresa dice estar registrada. Por ejemplo, podemos buscar en la base de datos de la División de Corporaciones y Código Comercial del estado de Utah para obtener información sobre la autoridad certificadora DigiCert, Inc. .:

Para obtener más información sobre cómo determinar si un sitio web es falso o una estafa, consulte nuestro otro recurso relacionado.

Ahora es el momento de cambiar el guión y ver las cosas desde la perspectiva de los propietarios y administradores de sitios web. Si está buscando formas de hacer que su sitio web sea más auténtico, entonces la mejor manera de lograrlo es a través de la confianza digital.

La confianza digital es la base de la seguridad en Internet y se basa principalmente en la infraestructura de clave pública (PKI). Esto incluye todo, desde los estándares, los procesos, las CA, los certificados digitales y las claves criptográficas que componen el ecosistema PKI. Pero, ¿por qué es vital establecer la confianza digital? Considera lo siguiente.

La investigación del Instituto Baymard muestra que la tasa promedio de abandono del carrito de compras en línea en 2023 es del 69,99%. Ahora, considere que la otra investigación de Baymard muestra que el 18% de los consumidores abandonarán su carrito durante el pago si no confían en el sitio web con la información de su tarjeta de crédito. Esto significa que casi uno de cada cinco clientes se marchará si no se siente seguro al usar su sitio web.

Entonces, ¿cómo puede utilizar la confianza digital para demostrar la autenticidad y la seguridad de su sitio web?

El primer paso que puede tomar es comprar e instalar un certificado SSL/TLS de validación comercial en su servidor web. Esto asegurará que la conexión entre su sitio web y el cliente web del visitante sea segura y encriptada. De esta manera, los datos confidenciales están protegidos contra ataques de intercepción y compromisos mientras están en tránsito.

Habilitar HTTPS también acerca a su organización un paso más hacia el cumplimiento de los estándares y regulaciones de privacidad de datos y seguridad de la industria. Esto incluye regulaciones como:

Aunque el cifrado es el mismo independientemente del tipo de certificado SSL/TLS que utilice, existe una diferencia en el nivel de identidad digital que puede proporcionar un certificado. Por ejemplo, un certificado DV ofrece el nivel mínimo de validación (y garantía de identidad), mientras que los certificados OV o EV ofrecen niveles más altos de validación.

Para las empresas que recopilan datos confidenciales, es crucial que tenga un certificado OV como mínimo. Si su empresa maneja datos altamente confidenciales (es decir, información financiera, propiedad intelectual, información médica o relacionada con seguros), lo mejor será que use un certificado EV. El uso de un certificado EV muestra que se ha sometido a las comprobaciones de validación más estrictas, por lo que los usuarios pueden sentirse más seguros al hacer negocios con su sitio web.

Cuando compra un certificado SSL/TLS de marcas importantes como DigiCert y Sectigo, también obtiene algo conocido como sello de sitio. Esta es una marca de seguridad visual que va en su sitio web y ayuda a obtener mayores niveles de confianza con sus clientes. Por lo general, caen dentro de una de dos categorías.

Aquí hay una captura de pantalla de la información verificada que se muestra cuando hace clic en el sello inteligente seguro DigiCert de TheSSLstore.com:

Si bien no lo ayuda directamente a demostrar que su sitio web es seguro para comprar, proteger los dominios relacionados con el nombre de su empresa puede ayudarlo a evitar problemas en el futuro relacionados con los ataques de suplantación de dominio. Puede comprar estos dominios similares, habilitar HTTPS en ellos y configurarlos para redirigir al sitio web real de su empresa.

¿Por qué molestarse en tomarse todas estas molestias? Los ciberdelincuentes a menudo compran dominios similares para hacerse pasar por su marca y engañar a los clientes haciéndoles creer que son su sitio web legítimo. Comprar y asegurar esos dominios antes de que lo hagan los delincuentes significa que los delincuentes tienen una forma menos de tratar de atacar a sus clientes y empañar su buen nombre.

Ahora es más importante que nunca asegurarse de utilizar sitios web seguros y protegidos. Como usuario, esto significa buscar verificaciones de identidad digital y evaluar cuidadosamente las tiendas en línea en las que compra para determinar si están usando conexiones encriptadas.

Como propietario de un sitio web, esto significa proporcionar formas para que los usuarios verifiquen la autenticidad de su sitio web. Esto implica afirmar su identidad digital de manera verificable utilizando terceros de confianza. En general, no solo es una mejor práctica usar HTTPS desde una perspectiva de confianza, sino que también es un requisito de cumplimiento.

Esperamos que haya encontrado útil esta información. Como siempre, si tiene pensamientos adicionales que le gustaría contribuir, asegúrese de compartirlos en la sección de comentarios a continuación.