La respuesta más común a esta pregunta acostumbra a ser bastante simple: busca el candado en la barra del navegador, y comprueba si el sitio tiene un certificado de seguridad valido. Pero los tiempos han cambiado y la cosa no acostumbra a ser tan obvia.
El candado verde, solamente indica que el propietario del sitio a comprado (u obtenido de forma gratuita) un certificado de seguridad y lo ha instalado en su sitio web.
Un certificado SSL solo garantiza que los datos que se transmiten entre el navegador del usuario y la página web de destino están cifrados.
Esto impide que un villano pueda ver o interceptar la información (datos personales, financieros, nombres de usuario y contraseñas etc.) que se transmite de un punto a otro.
Nada más.
No garantiza que la página pertenezca realmente al servicio al que queremos acceder, o que se encuentre libre de malware.
Casi tres cuartas partes de todos los sitios de phishing utilizan certificados SSL.
Una práctica habitual de los estafadores es crear sitios web con direcciones que imitan las de grandes marcas o empresas.
Por lo tanto, independientemente de si la URL comienza con HTTPS, es muy importante fijarse en el nombre de dominio que aparece en la barra del navegador.
No es lo mismo google.com que goolgle.com.
Malware y código malicioso incrustado
Los propietarios de un sitio web deben asumir la responsabilidad de intentar garantizar mediante todos los medios técnicos a su alcance la seguridad de sus visitantes, pero desafortunadamente algunos sitios web no son seguros.
Un sitio inseguro puede propagar malware (de forma consciente o sin saberlo) sufrir una fuga de datos, enviar spam y más.
Para proteger nuestra información personal, es importante saber que un sitio web se toma en serio la seguridad.
Sobre todo si se trata de un portal que maneja datos confidenciales de sus usuarios como una tienda en línea, o cualquier servicio que requiera registrarse para poder interactuar con el.
Los ciberataques a aplicaciones web son cada vez más habituales.
A medida que más gobiernos y empresas ofrecen la posibilidad de realizar trámites en línea, las aplicaciones web se han convertido en un objetivo muy goloso para los ciberdelincuentes.
Son una de las mayores amenazas para la seguridad corporativa y pueden dar lugar a una amplia gama de situaciones desagradables, como por ejemplo robo de información y fugas de datos.
Una página web legítima puede verse comprometida de diversas formas sin el conocimiento de sus administradores.
Existen kits de exploits que pueden ocultarse en anuncios maliciosos insertados en una página web proporcionados a través de redes de publicidad legítimas.
Los kits de explotación tienen como objetivo examinar el software y los sistemas operativos de los visitantes del sitio en busca de vulnerabilidades, como por ejemplo versiones desactualizadas de programas.
Una vez que identifican cualquier debilidad en el sistema operativo o en las aplicaciones, descargan software malicioso en el dispositivo de la víctima de forma automática sin que el usuario se de cuenta de nada.
Alojamiento web de mala calidad
Elegir donde van a alojar su página web, es uno de los primeros dilemas a los que enfrentan los propietarios de sitios cuando se sumergen por primera vez en el océano de opciones disponibles en Internet.
Es comprensible que las personas y las empresas quieran minimizar sus costes y encontrar la mejor oferta, pero hacerlo podría llevarlos a un servicio deficiente y disfuncional.
Los servidores y los servicios de alojamiento tienen diferentes capas de seguridad como por ejemplo certificados SSL, CDN, firewalls WAF basados en la red o en la nube, protección contra ataques de denegación de servicio etc.
Y una pequeña vulnerabilidad puede ser suficiente para que un delincuente la aproveche para obtener acceso de administrador al servidor.
Por lo tanto, es imprescindible elegir un alojamiento web seguro y de confianza.
En cualquier caso, barato no siempre es sinónimo de mala calidad.
No hace falta gastarse un pastón en un servidor dedicado de alta resiliencia: afortunadamente, existen servicios más asequibles que ofrecen unas prestaciones decentes y que son capaces de ejecutar los scripts más complejos.
Pero lo que si es cierto es que la mayoría de sitios de alojamiento web gratuitos son conocidos por su falta de seguridad.
Código malicioso incrustado en plantillas y complementos
Muchos administradores de sitios web utilizan frameworks, plantillas y diversos complementos de pago obtenidos de forma ilegal, que acostumbran a tener código malicioso incrustado o codificado en Base 64.
Si no tienen la experiencia suficiente para detectarlo y eliminarlo, pueden estar infectando su portal con puertas traseras, scripts maliciosos o cualquier otro regalo que el pirata informático haya tenido la gentileza de incrustar en estos elementos.
Esto conlleva un riesgo para los posibles visitantes del sitio.
Afortunadamente, la tecnología de Navegación segura de Google examina miles de millones de URL todos los días en busca de sitios web no seguros, y sitios web legítimos que han sido pirateados.
Cuando detecta algo extraño, muestra una advertencia.
Firefox también cuenta con bloqueo de páginas maliciosas basado en listas negras (hay que habilitarlo en las opciones del navegador) confeccionadas a partir de distintas fuentes, donde se incluyen páginas de phishing, scam, distribución de malware, exploits, etc.
Cuando el usuario intenta acceder a una de estas páginas, el navegador las bloquea y avisa al usuario.
La gente de Microsoft, también hace un buen trabajo en este sentido, pero solamente si utilizamos el navegador Edge.
Herramientas de análisis de sitios web
Otra forma de comprobar la seguridad y legitimidad de una página web consiste en utilizar alguna extensión para el navegador dedicada a identificar y bloquear URL de phishing y sitios potencialmente maliciosos.
Pero tenemos que entender que este tipo de aplicaciones, muchas veces inyectan scripts en las páginas que visitamos, lo que puede no ser demasiado bueno para la privacidad.
Servicios en línea gratuitos como VirusTotal, Scan My Server, Qualys FreeScan, Quttera Scan ,Observatory, o Sucuri SiteCheck son útiles para analizar una página web en busca de código malicioso.
Pero tampoco hay que tomarse sus resultados al pie de la letra, ya que sus motores heurísticos pueden arrojar falsos positivos.
Una buena opción es utilizar una herramienta como Google Safe Browsing para comprobar rápidamente si un sitio web o una URL específica son seguros.
Pero no todo es lo que parece.
Un médico no debería decirnos que estamos enfermos cuando en realidad no tenemos nada, y un mecánico no debería cobrarnos por reparaciones que no existen.
Las empresas de este tipo con poca o ninguna ética también marcan páginas como maliciosas para instar a sus propietarios a que paguen por sus servicios de limpieza de malware.
Y muchas veces, después de que se ha terminado el proceso de análisis, a la hora de interpretar los resultados negativos, faltan explicaciones, falta transparencia, y faltan detalles.
También puede ocurrir el caso de que un sitio web sea detectado como malicioso, y una vez que sus responsables han corregido el problema, pasar bastante tiempo hasta que los diferentes escáneres actualicen su estado.
Muchos de los sistemas de bloqueo de páginas web que se utilizan en empresas, también pueden marcar un sitio como potencialmente dañino sin que lo sea.
Esto acostumbran a hacerlo algunos administradores de TI para evitar que los empleados accedan a ciertos contenidos durante sus horas de trabajo.
Pero existen otras formas de bloquear contenido, sin necesidad de comprometer la reputación de una página web legítima marcándola alegremente como «malware».
Sellos de confianza
Muchas Autoridades de Certificación ofrecen sellos de verificación o validación (Confianza Online, Norton Secured ,Trusted Shops, Aenor e-Comercio etc.) que algunos administradores añaden a sus páginas web o tiendas online para dar un plus de confianza a sus visitas.
Pero lamentablemente, esto tampoco garantiza nada.
Estos sellos de confianza se pueden obtener fácilmente mediante una búsqueda en Imágenes de Google e insertarlos donde nos de la gana.
Si no quieres correr riesgos asegúrate siempre de hacer clic sobre ellos, para verificar si enlazan a alguna parte, y si pertenecen a la página que estás visitando.
Esto confirmará que el sitio en cuestión está trabajando con esa empresa de seguridad en particular.
Formulario de contacto
Un sitio web en condiciones, tiene que proporcionar una dirección de correo electrónico para poder contactar con el administrador.
Preferentemente, la dirección de correo electrónico deberá contener el nombre del dominio (por ejemplo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.), en vez de utilizar un servicio de correo gratuito como Gmail, Yahoo, etc.
Si se trata de una empresa también deberá constar un teléfono de contacto, el NIF y una dirección física.
En cualquier caso, el rastreador de dominios de Whois Lookup brinda información sobre el nombre de quien ha registrado un dominio, cuánto tiempo lleva activo, el pais donde está alojado y su dirección IP, entre otra información.
Pero hay que decir que algunos datos (el nombre real del propietario del dominio y su dirección de correo electrónico) acostumbran a enmascararse por motivos de seguridad.
Exceso de errores ortográficos
Un exceso de errores ortográficos y gramaticales podría indicar que un sitio web ha sido creado en un tiempo record para ser utilizado, con el único propósito de engañar al usuario o difundir malware.
Los sitios web legítimos, ya sean corporativos o personales, pueden tener errores de este tipo, pero aunqué no todos somos licenciados en filología, nos esforzamos por presentar un sitio lo más digno posible.
URL abreviadas
El propósito de un acortador de URL es reemplazar una URL larga por una más corta.
Cuando un usuario hace clic en ella se le dirige a un sitio web a través de una redirección HTTP 301.
Pero los estafadores pueden hacer uso del acortamiento de URL para enmascarar sitios web infectados con malware, o perpetrar un ataque de phishing.
Es difícil determinar la legitimidad del enlace abreviado.
Incluso si pasamos el mouse sobre el enlace, no obtendremos la dirección real.
Los usuarios desprevenidos podrían ser engañados para que hagan clic en ellos.
Los ciberdelincuentes también utilizan este tipo de URL para plantar enlaces de malware y phishing en las redes sociales, foros y otros sitios.
Dominios gratuitos no autorizados por la ICANN
La Corporación de Internet para la Asignación de Nombres y Números (Internet Corporation for Assigned Names and Numbers o ICANN) es una organización sin ánimo de lucro que regula la concesión única de dominios de nivel superior (TLD) a personas u organizaciones, así como sus correspondientes direcciones IP.
También se ocupa de la coordinación de los sistemas de nombres de dominio (Domain Name Systems o DNS).
En otras palabras, esto significa que la ICANN se ocupa de que a cada dominio se le asigne la dirección IP correcta y, de este modo, convertirlo en único.
Por ejemplo no pueden existir dos páginas web con el dominio infosegur.net.
Los delincuentes acostumbran a registrar dominios gratuitos (como por ejemplo del tipo .tk, .ml, .ga, .gq, etc.) lo cual les permite crear sitios de phishing con un mínimo riesgo, ya que estos registradores acostumbran a pedir unos datos mínimos.
Y el registrante actúa como usuario del dominio, no como titular, por lo tanto su nombre no aparece en WHOIS, ni en rastreadores de dominios como Whois Lookup.
