A medida que surgen nuevas modalidades de ataques man-in-the-middle, el proveedor lider de SSL capacita a los usuarios finales y a las empresas

Buenos Aires, – 17 de marzo de 2009—Debido al nuevo tipo de ataque man-in-the-middle (MITM) revelado en la conferencia Black Hat D.C., VeriSign, Inc. (NASDAQ: VRSN), el proveedor confiable de servicios de infraestructura de Internet para el mundo en red, ofrece consejos sencillos que los usuarios finales y las empresas pueden utilizar para acabar en forma efectiva con las amenazas en línea.

El ataque mencionado es la última versión del venerable ataque MITM, en el cual el usuario sufre un engaño y es llevado al sitio web incorrecto. Las técnicas más comunes para engañar a los visitantes incluyen correos electrónicos de phishing, sitios inalámbricos falsos y, más recientemente, el ataque a servidores DNS no seguros. El ardid utiliza un servidor fraudulento para interceptar las comunicaciones entre el navegador del usuario y un sitio web legítimo, y luego funciona como proxy, capturando información confidencial por HTTP (no HTTPS) entre el navegador y el servidor fraudulento.

Lo que hace que este ataque sea diferente de los ataques MITM anteriores es que el sitio fraudulento intenta aprovechar señales visuales falsas, reemplazando el icono de favorito del sitio fraudulento por un icono del candado, que tradicionalmente se identifica como una señal visual de sitio protegido con SSL. Sin embargo, si bien este ardid puede reproducir el candado, no puede recrear el indicador HTTPS legítimo o el color verde aún más evidente de la barra de direcciones en los navegadores web de alta seguridad, en los que el sitio está protegido con un Certificado EV SSL (Extended Validation Secure Socket Layer).

Para ayudarlos a protegerse de los ataques MITM, VeriSign les ofrece a los usuarios finales y a las empresas los siguientes consejos.

Usuarios finales:
• Busque el “color verde” en la barra de direcciones: Los ataques man-in-the-middle y de phishing que se encuentran en la actualidad se pueden combatir a través de los Certificados EV SSL y prestando atención cuando falta el brillo o color verde. Los Certificados EV SSL confirman en forma definitiva la identidad de la organización que posee el sitio web. Los criminales informáticos no tienen acceso a los Certificados EV SSL de los sitios que falsifican y, por lo tanto, no pueden imitar el color verde que muestra que un sitio web autenticado es seguro.
• Descargue la última versión de los navegadores web de alta seguridad, como Internet Explorer 7 o versión superior, FireFox 3 o versión superior, Google Chrome, Safari u Opera.
• Aproveche los dispositivos de autenticación como los tokens y otras formas de autenticación con dos factores para cuentas confidenciales.
• Trate los correos electrónicos que reciba de remitentes desconocidos con un alto grado de escepticismo y no haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador).

Empresas:
• Adopte el EV SSL y capacite a los clientes sobre lo que significa el color verde. Coloque el Certificado SSL EV en su página de inicio y en cualquier otra página donde se realice una transacción segura.
• No ofrezca logins en páginas que todavía no están en una sesión SSL.
• Ofrezca autenticación con dos factores a los clientes como una forma opcional de agregar otro nivel de seguridad cuando se obtiene acceso a las cuentas.
• No incluya enlaces en los correos electrónicos que envíe a clientes y pídales que descarguen la última versión de sus navegadores de su preferencia

“Aunque los criminales informáticos estuvieron utilizando Certificados SSL de autenticación baja en los ataques tipo phishing y man-in-the-middle durante años, la presentación en la conferencia de seguridad Black Hat es un buen recordatorio para que los usuarios finales estén alertas cuando realizan transacciones en línea”, dijo Tim Callan, vicepresidente de marketing de producto de VeriSign. “Las amenazas de seguridad se presentan de muchas maneras, y estar un paso adelante requiere capacitación por parte de los usuarios finales y un enfoque de seguridad completa y en capas por parte de los sitios web para garantizar que los usuarios tengan una experiencia segura.”


Acerca de VeriSign
VeriSign, Inc. (NASDAQ: VRSN) es el proveedor confiable de servicios de infraestructura de Internet para el mundo en red. Miles de millones de veces al día, VeriSign ayuda a las compañías y a los consumidores de todo el mundo a comunicarse y conducir sus negocios con confianza. Para obtener más información y noticias sobre la compañía, por favor visite http://www.verisign.com/latinamerica.


Contactos
VeriSign
Michelle Machado, Gerente de Marketing y Comunicaciones para Latinoamérica, mmachado@verisign.com, +55-11-5853-2926

Contacto local





Las declaraciones en este resumen que no sean datos e informaciones históricos constituyen declaraciones proyectadas con significado incluso en la Sección 27A del “Secutities Act” de 1933 y en la Sección 21E del “Securities Exchange Act” de 1934. Estas declaraciones abarcan riesgos e incertezas que podrían hacer que los resultados reales de VeriSign difieran materialmente de aquellos declarados o implícitos en dichas declaraciones proyectadas. Los posibles riesgos e incertezas incluyen, entre otros, la incertidumbre de ganancias y rentabilidad futuras; posibles fluctuaciones en los resultados operativos del trimestre debido a dichos factores, tales como la incapacidad de VeriSign para desarrollar y comercializar exitosamente nuevos productos y servicios y la aceptación de cualquier producto o servicio nuevo por parte de los clientes, incluyendo los servicios VeriSign Identity Protection, la posibilidad de que el anuncio de nuevos servicios por parte de VeriSign no resulten en productos, servicios, clientes, ganancias o rentabilidad adicionales; y el aumento de la competencia y presiones en el precio. Más información acerca de los posibles factores que puedan afectar el negocio y los resultados financieros de la empresa se encuentra en la presentación de VeriSign ante la Comisión de Valores e Intercambio, que incluye el Informe Anual de la empresa en el Formulario 10-K para el año que terminó el 31 de diciembre de 2007 y los informes trimestrales en el Formulario 10-Q. VeriSign no asume la obligación de actualizar ninguna de las declaraciones proyectadas después de la fecha de este comunicado de prensa.

©2009 VeriSign, Inc. Todos los derechos reservados. VeriSign, el logotipo de VeriSign, la uve sobre el círculo y otras marcas comerciales, marcas de servicio y logotipos son marcas comerciales registradas o no registradas de VeriSign y sus subsidiarias en los Estados Unidos y en otros países. Todas las demás marcas comerciales pertenecen a sus respectivos propietarios.

Historial de noticias