Internet está lleno de amenazas, y en ocasiones la falta de claridad del software que utilizamos puede ayudar a los hackers a engañarnos de maneras muy sutiles.

Que la información no se presente de manera sencilla y accesible favorece especialmente a prácticas como el phishing, que consiste en engañar al usuario haciéndose pasar por personas o empresas de confianza para así robar sus datos.

A sabiendas de que todo software es mejorable, unos “Googlers”, es decir, empleados de Google, han propuesto cambiar la forma en la que Google Chrome muestra las URLs, con la intención de que los usuarios puedan detectar con facilidad si la web por la que navegan es fiable o si se trata de un intento de estafa.

En un episodio del podcast HTTP 203, Das Surma y Jake Archibald, desarrolladores del navegador de Google, discuten los problemas de las URLs y cómo se presentan a los usuarios en la barra de direcciones.

Ambos desarrolladores plantean la escasa claridad que hay en las direcciones web, y cómo puede llegar a ser muy confuso para el usuario medio diferenciar entre una web de confianza y otra que no lo es.

Google lanza los SMS verificados para combatir las amenazas de phishing

Tal y como ellos mismos señalan, hay ciertas características la barra de direcciones de los navegadores más utilizados que permiten saber cuál es el dominio de la web por la que navegamos.

Por ejemplo, Chrome, Edge y Firefox realzan en negrita el nombre del dominio. Y Safari solo muestra el dominio en la barra de direcciones, ocultando el resto de la URL. Esto permite saber cuál es el servidor de la web que estamos visitando, por lo que en teoría podemos ver con facilidad el nombre original de la misma.

Pero no todos esos navegadores manejan los dominios de la misma manera, y a veces el texto que realzan no coincide entre unos y otros debido a la composición de la URL en sí. Esto puede hacer que una web que está haciéndose pasar por otra pase desapercibida.

Entre los navegadores que hemos mencionado, el único que logra señalar adecuadamente el dominio que hospeda la web, independientemente de la composición de la URL, es Firefox.

Archibald presenta como ejemplo una URL en la que sus componentes principales están separados por puntos. Y tal como señalan ambos desarrolladores, Firefox es el único navegador que realza debidamente el dominio que funciona como anfitrión de la web.

2

Esto resulta especialmente importante porque, al contrario que los demás navegadores, permite al usuario saber quién está realmente detrás de la web que visitan. Cuando una web intenta hacerse pasar por otra, Firefox es capaz de revelar el engaño con facilidad.

Los dominios fiables no son de uso libre, sino que están registrados para el uso exclusivo de los propietarios del mismo. Por ello, en los intentos de phishing los estafadores tienen que usar dominios levemente distintos al real. Una práctica común es añadir en la URL el nombre de la empresa por la que quieren hacerse pasar, poniéndolo antes del dominio real.

Por ejemplo, si la empresa propietaria de la web es un banco, aparecerá en negrita el dominio escogido por el banco. Pero si la web en la que estamos navegando es un intento de estafa en el que se hacen pasar por la web de dicho banco, Firefox dejará el engaño al descubierto.

Ejemplo de phishing en webs de bancos

Ejemplo de phishing en webs de bancos

Este navegador realzará el dominio real, y no cualquier añadido que los estafadores hayan podido incluir para hacer su web más creíble. Esto hace que la estafa sea mucho más visible para el usuario.

Y Mozilla dispone de una herramienta clave para hacer este tipo de verificaciones: una lista pública de dominios de confianza, conocida como Public Suffix, a la que el navegador accede para verificar la fiabilidad de cada web.

Public Suffix dispone de miles de dominios registrados, y cada vez que quiere registrarse uno nuevo, los moderadores hacen diversas revisiones manuales para confirmar que se trata de una web fiable.

En teoría todos los navegadores hacen uso de esta lista de un modo u otro, pero Firefox es el único que la utiliza activamente para asegurarse de que sus usuarios navegan por la web adecuada.

Siguiendo este modelo, los desarrolladores de Google plantean en el podcast que Chrome haga algo muy parecido. La propuesta de Jake Archibald es una combinación de ese sistema usado por Firefox y de la barra de direcciones de Safari.

4

Básicamente, el cambio consistiría en hacer que la barra de direcciones de Chrome muestre a la izquierda la URL del dominio propietario, con letras más llamativas. Y a la derecha, en un color más grisáceo, se mostraría la URL completa.

En la versión móvil de Chrome se mostraría solo el dominio propietario, y los usuarios tendrían que hacer click en él para acceder a la URL completa, imitando así el modelo que Safari usa para su propia barra de direcciones.

Como Archibald señala, esto no es una solución a todos los problemas de phishing mediante URLs, pero puede ser una herramienta útil para evitar un gran número de casos de estafa por ese medio.

Hay que señalar que se trata de una propuesta hecha por estos desarrolladores a modo de opinión personal, y no como algo que Google apoya de ninguna manera. Pero es sin duda una propuesta interesante para ayudar a los usuarios a navegar con mayor seguridad.

Quizá Google debería tomar nota de la propuesta de sus trabajadores, ya que cuando se trata de internet, un extra de seguridad nunca está de más.