de cualquier forma ya hay alternativas “seguras” como son el .cc (que se supone es dificil de comprar) además de que en mi país (méxico) los bancos les encanta confundirnos mas a la gente, por ejemplo, Banamex (donde yo estuve) mucho tiempo fue asi:

acceso: http://www.banamex.com
login: http://www.banamex.com.mx/bancanet
login nuevo: boveda.banamex.com.mx
manejo: bovedabanamex.com/ETCETC
manejo: banamexporinternet.com/ETCETC
manejo actual: boveda.banamex.com.mx

afortunadamente hasta despues de años por fin todo lo centralizaron en un solo dominio, pero muchos bancos hacen eso, se crean casi un dominio por cada directorio que tienen, de hecho, dejame decirte que el dominio actual http://www.banamex.com.mx perteneció a un phiser durante dos o tres años antes de que banamex se lo quitara.

hablando en términos de seguridad esto no es algo que sea culpa de los bancos o el usuario, es culpa de ambos, si el usuario es cuidadoso, es difícil que exista un ataque, si el banco es cuidadoso es también difícil, sin embargo, una omisión por cualquiera de los dos nos pone en riesgo.

mi conclusión es que esto no es una lucha de un solo lado, necesitamos atacar a los phisers desde el lado del banco hasta el lado del cliente =)

Por tanto, no sería tan fácil hacerse de un .bnk

Vamos, que métodos para hacerlo con seguridad y fiabilidad, de haberlos, haylos.

Un saludo

Digo, si hay .edu, ¿por qué no .bnk?

Creo yo.

Saludos.

Gracias por el comentario! Un par de cosas:

1. Para seguir fomentando la duda, pensá que aunque es factible para un atacante sacar un certificado SSL pago para su sitio falso, no es “tan fácil” que lo hagan por más plata que se mueva. Esto es debido a que utilizan cientos de dominios que duran unos pocos días y luego son dados de baja, por lo que no tendrían que pagar un certificado sino muchos.

2. El error de ortografía fue arreglado. Gracias.

Saludos.

Me parece que SSL es técnicamente muy bueno, los browsers lo implementan relativamente bien, lástima que para hacer las cosas más cómodas al usuario siempre hay que pagar en cuanto a seguridad; y ya sabemos que la capa 8 es la más débil.

Por otra parte, a mí me parece muy bueno que haya CAs que generen certificados de sitios en forma gratuita y que además estén incluidos por defecto en los browsers; más viendo lo “molesto” que se puso Firefox (por poner un ejemplo) cuando entramos a un sitio con SSL donde no coinciden todos los chequeos del certificado del mismo. Esto lo obligaba a uno a pedir que importen el certificado del CA “propio”.

Se me ocurre que la solución puede estar por la de “niveles” o “categorías” de certificados, donde los certificados de entidades financieras tengan el nivel máximo de importancia, y los de un, por ejemplo, webmail, menos criticidad. De esa manera, el browser podría “reforzar” visualmente/operativamente en mayor o menor medida el comportamiento con el usuario. Esto mejoraría el estado actual de los certificados que uno tiene en el browser, donde hoy los certificados están en una “bolsa de gatos”.

En fin, son ideas… Sería bueno agregar algo de todo esto en SSL (v4.x?), que contemple no sólo lo técnico, sino toda la cadena de uso, desde que se emite un certificado de un CA, hasta que se generan certificados de sitios, usuarios, y cómo se vincula todo esto con los browsers, servidores de correo, etc.

Mis 2 ctvs.

¡Saludos!

PD: Fijate que pifiaste en “confidencialidad en la transmición de los datos.”, es “transmisión”.

continuo…

Me parece genial esto, pero también se le debería aclarar al usuario muchas cosas, los niveles de seguridad.

El problema que yo veo con los certificados es que el SSL requiere un certificado “firmado” por alguien que cobra, en mi opinión deberíamos tener esto separado, por un lado el SSL y por el otro el certificado en sí.

¿por qué?, por que a muchos solo nos interesa ofrecerle a nuestros clientes la seguridad de que su información y contraseñas están seguros, al menos en el tráfico.

por otro lado, a mi no me importa ni me molestaría adquirir un certificado que certifique que el sitio ES MIO, que yo EXISTO, que mi empresa EXISTE, pero lo que mas me interesaría yo creo es la antigüedad, que entre mas tiempo lleve yo con mi página mas “valida” sea como página real. Los Phisers no usan webs por más de unos cuantos meses, y aveces semanas.

Hay muchas muchas cosas alrededor de esto, yo en lo personal realicé un experimento, haciendo un pequeño “virus” que instalaba mi CA en las PC’s víctimas, y cambiaba sus DNS. Esto me permitió redirigir el tráfico de http://www.banco-x.com a mi servidor y como mi CA estaba registrado en la víctica tener SSL con el dominio ORIGINAL del banco.

Yo soy de México y no veo nada que me impida instalar este pequeño Virus en ciber cafés e incluso en empresas.

Saludos