Seguro que alguna vez te has dado cuenta de que en la barra de direcciones de tu navegador aparece en ocasiones un candado verde que te ha hecho sentir más seguro. Ese símbolo te indica que la página utiliza HTTPS (protocolo seguro de transferencia de hipertexto, por sus siglas en inglés).
El protocolo HTTPS cifra las comunicaciones de los usuarios para proteger sus datos confidenciales en la web, desde los nombres de usuario a las contraseñas, mensajes o tarjetas de crédito. Por ello, es fundamental que las páginas de entidades bancarias o tiendas online utilicen la versión segura del HTTP.
El sistema HTTPS también garantiza que el internauta está entrando en la página oficial de una compañía y no en una página falsa diseñada por un posible ciberatacante. También protege la web para que un tercero malicioso no pueda interceptar la conexión para instalar un malware o censurar la información.
Google lleva tiempo organizando una silenciosa campaña en favor de la utilización de HTTPS con el fin de que todas las páginas acaben utilizando esta vía segura y dejen de poner en riesgo nuestros datos cuando navegamos por ellas. Al fin y al cabo, hasta el gobierno estadounidense está preocupado por el cifrado de los datos y todas sus páginas oficiales deben incluir el protocolo HTTPS por defecto.
Hace poco más de un mes, la compañía anunció que favorecería la indexación de sitios HTTPS que tuvieran un equivalente en HTTP. Además, Google ha decidido ofrecer nuevas herramientas a los desarrolladores para que incluyan ese protocolo fácilmente. Ahora, pretende incluso poner en evidencia a los dueños de las webs que no usan este protocolo, un proyecto que el equipo de seguridad ya debatió en sus foros en 2014.
Hasta el momento, en Chrome aparecía una cruz roja sobre un candado gris cuando el navegador detectaba problemas con el certificado TSL/SSL del sitio web que garantiza el establecimiento de comunicaciones seguras en Internet, de forma que un tercero conectado a esa red podría acceder a los datos de los usuarios. También se nos muestra esa advertencia cuando la conexión al sitio web está cifrada, pero Chrome ha detectado una mezcla de secuencia de comandos (una página basada en HTTPS carga contenido basado en HTTP), lo que podría conllevar que un tercero tomara el control de la página.
Los de Mountain View planean incluso señalar acusadoramente a todas las páginas que utilicen el protocolo HTTP marcándolas con la cruz roja próximamente. Parisa Tabriz, directora de Ingeniería de Seguridad de Chrome, escribió un tuit hace unos días para expresar su intención de destacar estas páginas, si bien no dio más detalles. “HTTP, estamos listos para poner en evidencia lo que eres: ¡inseguro!“, escribió Tabriz.
Hace unos días, en la conferencia de seguridad Usenix Enigma, un experto de la firma CloudFlare mostró cómo los usuarios pueden decidir ya si desean que todas las páginas que utilicen el protocolo HTTP aparezcan con esa cruz roja. Para ello, solo tienes que entrar en chrome://flags y seleccionar “marcar conexiones de origen que no son seguras como no seguras”. En ese momento, se añadirá el candado gris que indica que la conexión no es segura a tu barra de direcciones cuando una página no incluya la versión segura de HTTP.
Un empleado de Google que ha preferido mantener su anonimato ha confirmado a Motherboard que la intención es que Chrome incluya por defecto esa alerta en algún momento y ha asegurado que la compañía dará más pistas próximamente.
Por ahora, los de Mountain View no han hecho ningún anuncio oficial al respecto, así que aquellos que quieran saber cuándo una página no utiliza HTTPS y por tanto puede suponer una amenaza para su seguridad tienen que seleccionar esta opción manualmente.
Ahora bien, si tenemos en cuenta que solo uno de cada tres usuarios hace caso a las actuales advertencias de seguridad SSL de Chrome cuando nos avisan explícitamente de que alguien puede tratar de robar nuestra información confidencial, probablemente acabemos ignorando también esa cruz roja. Así que no basta con que Google alerte mejor a los usuarios. También es necesario que nosotros mismos seamos conscientes de los peligros a los que nos enfrentamos al dejar nuestros datos en una página web que no es segura.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
2 comments
Hay una página web que inicia con https:// pero no aparece el candado verde, saben porque pasa esto ? en realidad es segura la página ?
Hola Armando,
A pesar de que no aparezca el candado la página debería ser segura, de todos modos, protege siempre tus dispositivos cuando estés navegando. Prueba Panda Safe Web que podrás descargarte de manera gratuita: https://www.pandasecurity.com/spain/homeusers/solutions/safe-web/
¡Gracias por leernos!
Saludos,
Panda Security.