Autenticación de sitios web para instituciones financieras

Cuando realiza transacciones online con una institución financiera, ya sea un banco, una agencia de seguros o de bolsa o la empresa de su tarjeta de crédito, lo más probable es que visite un sitio web que utiliza un certificado con Extended Validation (EV) para proteger la comunicación y demostrar su identidad ante los usuarios. Si es así, en la barra de direcciones verá el símbolo del candado además del nombre de la empresa, que en ciertos navegadores aparecerá de color verde. De este modo, sabrá que la identidad de la empresa se ha comprobado con información detallada contenida en el certificado, como la dirección física, el país y el tipo de inscripción en el registro de empresas.

Las instituciones financieras siempre han sido el blanco de los estafadores debido al valor de los datos y recursos que contienen. Por eso los bancos, entre otras entidades, reconocen la importancia de la identidad y saben que los certificados con EV son lo mejor para sus clientes. De todas formas, la autenticación de sitios web es solo una de las funciones de este tipo de certificados. Pero antes de abordar las demás utilidades, veamos a grandes rasgos por qué los utilizan las instituciones financieras:

  1. Protección frente a las falsificaciones: Las instituciones financieras quieren que sus clientes estén seguros de encontrarse en el sitio web correcto. Para los estafadores resulta más difícil y costoso conseguir un certificado con EV, así que si estamos en un sitio web dotado de esta tecnología, es menos probable que sea falso.
  2. Nadie pone en duda la importancia del cifrado (para proteger la información confidencial), pero la identidad también es crucial. ¿De qué sirve cifrar los datos si no sabemos quién va a acceder a ellos? ¿Y si alguien logra interceptar la comunicación? De acuerdo, está cifrada, pero ¿es eso lo que queremos? Sin un sistema de identificación, tal vez la sensación de seguridad de los usuarios sea injustificada.
  3. Las instituciones financieras son un típico blanco de los mensajes de phishing que dirigen a los usuarios a sitios web falsos. Todo lo que contribuya a diferenciar el sitio web auténtico de los demás es interesante a la hora de combatir el fraude.
  4. Protección de la marca: A las empresas les gusta que su marca se distinga y que esté protegida con EV.

¿Para qué más se pueden usar los certificados con EV? Además de autenticar los sitios web como garantía de seguridad, los certificados con EV tienen más utilidades. Por ejemplo, los departamentos de TI los utilizan para comprobar que un sitio web pertenece a la empresa, para añadir reglas a los cortafuegos internos y para configurar servicios de seguridad gestionados, auditorías internas y sistemas de cumplimiento.

Además, en la Unión Europea, la tecnología EV está asumiendo otro papel. En 2016, la UE aprobó un reglamento llamado eIDAS, que actualiza la normativa de 1999 sobre la firma electrónica. Una de las novedades es la definición de los Certificados Cualificados de Autenticación de Sitios Web (QWAC), que se basan en los certificados con EV pero contienen más información. Otra directiva europea sobre servicios de pago (o PSD2) exige el uso de certificados QWAC a ciertas instituciones financieras que operan en la UE. Esta norma entró en vigor en junio de 2019 y las autoridades de certificación ya están recibiendo pedidos de estos productos por parte de bancos con sede en la UE y otras instituciones financieras con actividades comerciales en el continente.

Con el fin de proteger a los usuarios, se sigue trabajando para garantizar la máxima eficacia en la comprobación de la identidad de las empresas que operan por Internet. En particular, se están abordando cuestiones relativas al navegador, pues la experiencia del usuario aún varía según cuál utilice.

El único problema con todo lo mencionado hasta ahora es ese programa que se usa para visitar los sitios web: el navegador. La experiencia del usuario en los sitios web con EV no es siempre igual: a veces se ve el nombre de la empresa en verde; otras, en gris; y en ciertos casos, el nombre de la empresa ni siquiera aparece, pero se visualiza el nombre del dominio en verde. Algunos prometen cambios en la interfaz de usuario, mientras que otros llevan años sin cambiar nada al respecto.

¿Qué mejoras serían deseables?

  1. Una experiencia homogénea en los sitios web con EV
  2. Información clara y fácil de entender para los usuarios
  3. Auditorías y requisitos severos para validar la información y garantizar que sea correcta y exclusiva
  4. Información de validación adicional para los certificados con EV

Hasta entonces, la tecnología EV resulta útil para garantizar la identidad (independientemente de que se exponga o no) de los sitios web de instituciones financieras y todos aquellos que manejen información valiosa, y conviene utilizarla por los motivos ya mencionados, porque ¿de qué sirve el cifrado si no sabemos con quién estamos haciendo la transacción?

DigiCert tiene previsto proponer nuevas mejoras para el protocolo EV en los próximos meses y seguirá hablando de la importancia de la identidad para todos los aspectos de la vida en la era digital.

Posted in Authentication, Qwacs, SSL