Las advertencias del certificado de seguridad no funcionan, dicen los investigadores

Todos los internautas los han visto. Esas advertencias de "certificado inválido" que a veces recibe cuando intenta visitar un sitio web seguro.

Dicen cosas como "Hay un problema con el certificado de seguridad de este sitio web". Si usted es como la mayoría de las personas, puede sentirse vagamente inquieto y, según un nuevo documento de investigadores de la Universidad Carnegie Mellon, existe una buena posibilidad de que ignore la advertencia y haga clic de todos modos.

En un experimento de laboratorio, los investigadores encontraron que entre el 55 por ciento y el 100 por ciento de los participantes ignoraron las advertencias de seguridad del certificado, dependiendo de qué navegador usaran (diferentes navegadores usan un lenguaje diferente para advertir a sus usuarios).

[Lectura adicional: cómo eliminar el malware su PC con Windows]

"Todos sabían que había un problema con estas advertencias", dijo Joshua Sunshine, un estudiante graduado de Carnegie Mellon y uno de los coautores del artículo. "Nuestro estudio demostró de manera espectacular cuán grande era el problema".

No son buenas noticias. A menudo, las advertencias aparecen debido a un problema técnico en el sitio web, pero también pueden significar que el internauta está siendo redirigido de alguna manera a un sitio web falso. Las URL de los sitios web seguros comienzan con "https".

Los investigadores primero realizaron una encuesta en línea de más de 400 internautas para saber qué pensaban sobre las advertencias de los certificados. Luego llevaron a 100 personas a un laboratorio y estudiaron cómo navegan por la Web.

Descubrieron que las personas a menudo tenían una comprensión confusa de las advertencias de los certificados. Por ejemplo, muchos pensaron que podrían ignorar los mensajes cuando visitan un sitio en el que confían, pero que deberían ser más cautelosos en sitios menos confiables.

"Es una especie de retrocomprensión de lo que significan estos mensajes", dijo Sunshine. "El mensaje valida que estás visitando el sitio que crees que estás visitando, no que el sitio es confiable".

Si un sitio web bancario muestra un mensaje de que su certificado de seguridad no es válido, ese es un signo muy malo, dicen los expertos en seguridad. Podría significar que el internauta está siendo sometido a un ataque llamado "man-in-the-middle". En este tipo de ataque, el delincuente se REPLACEa entre el internauta y el sitio que visita, con la esperanza de robar información.

Los expertos en seguridad saben desde hace tiempo que estas advertencias de seguridad son ineficaces, dijo Jeremiah Grossman, director de tecnología de Consultoría de seguridad web White Hat Security. Eso se debe a que los usuarios "realmente no saben lo que significan los riesgos de seguridad", dijo a través de un mensaje instantáneo. "Entonces aceptan la apuesta".

En el navegador Firefox 3, Mozilla intentó usar un lenguaje más simple y mejores advertencias para los certificados incorrectos. Y el navegador hace que sea más difícil ignorar una advertencia de certificado incorrecto. En el laboratorio de Carnegie Mellon, los usuarios de Firefox 3 fueron los menos propensos a hacer clic después de recibir una advertencia.

Los investigadores experimentaron con varias advertencias de seguridad rediseñadas que ellos mismos habían escrito, que parecían ser aún más efectivas. Planean reportar sus hallazgos el 14 de agosto en el Simposio de Seguridad Usenix en Montreal.

Aún así, Sunshine cree que las mejores advertencias ayudarán solo un poco. En lugar de advertencias, los navegadores deberían usar sistemas que puedan analizar los mensajes de error. "Si esos sistemas deciden que esto probablemente sea un ataque, deberían simplemente bloquear al usuario por completo", dijo.

Incluso cuando visita sitios web importantes como los bancos, "la gente sigue ignorando las advertencias", dijo.