Las organizaciones dan una gran importancia a su imagen corporativa. Con el objetivo de transmitir una imagen única y fácilmente identificable, se tiende a impedir que cualquier elemento se aparte de la estética oficial. Si nos centramos en los sitios web, veremos que hay un gran empeño en que todas las webs tengan la misma apariencia.
Pero, desde el punto de vista de la seguridad informática, ¿es aconsejable este empeño?
Ya hemos tratado en este blog algunos ataques de phishing que hemos sufrido en la UPV. ¿Por qué siguen teniendo éxito estos ataques? Precisamente porque se copia exactamente la página web que se quiere suplantar. Es decir, el usuario carga una página y la imagen le resulta familiar, cotidiana: es la imagen de su organización y, por tanto, confía en la autenticidad de la página.
Así pues, la idea de ‘hagamos este nuevo sitio web con la misma imagen que el resto’ es estupenda para la imagen corporativa, pero totalmente inútil para proteger a los usuarios.
La seguridad de un sitio web es totalmente independiente del contenido que se muestre en la página. Para verificar si estamos conectados al servidor apropiado y si la confidencialidad está garantizada tendremos que observar otros detalles, aunque entren en contradicción con lo que aparezca en la página.
Veamos un ejemplo:
En esta página se indica que es segura y que está avalada por VeriSign. ¿Es así realmente? No.
En este caso estamos utilizando Firefox para navegar, así que nos fijaremos en los elementos que nos proporciona nuestro navegador para saber si la página es segura o no:
- el icono del mundo (en lugar del candado) nos indica que no se ha comprobado la autenticidad del servidor
- la dirección no empieza por HTTPS, por tanto no hay confidencialidad
¿Cuál es la probabilidad de que un usuario preste atención a las indicaciones sobre la seguridad? Muy baja si la página tiene la apariencia esperada.
Acabaremos con un par de consejos:
- Como usuarios debemos prestar atención a la seguridad de la página (no al contenido) siempre que vayamos a manejar información confidencial
- Como organización no debería preocuparnos tanto que algún sitio web tenga una apariencia distinta a la oficial. Al menos desde el enfoque de la seguridad informática
¡Buena (y segura) navegación!