Seguridad-Privacidad en Internet
HTTPS, seguridad en la navegación: PDF Imprimir E-mail
( 0 votos )
Te acercamos las TIC - Seguridad-Privacidad en Internet

04 Diciembre 2020 02

       Autor: David Martín Alvarez.  

Muchas veces cuando hemos navegado hemos visto un candado cerrado a la izquierda de la barra de direcciones de la web en la que estamos. En otras ocasiones podemos ver en esa posición un signo de admiración que nos advierte que puede ser un sitio peligroso. Quizás sepas que esto tiene algo que ver con https, pero estoy seguro que no sabes en que consiste este mecanismo de seguridad con el cual lidiamos casi siempre que navegamos.

En un principio para entender todo esto conviene saber que es http. Se trata de un protocolo de comunicación mediante el cual enviamos y recibimos información, y gracias a ello podemos navegar por internet. Cuando accedemos a una página web se inicia una comunicación entre nuestro navegador y el servidor donde se aloja esta. En esa comunicación se intercambiará todo tipo de información, desde nuestra dirección ip , a nuestros datos de inicio de sesión (usuario y contraseña) , número de tarjeta de crédito si estamos realizando compras, información sensible sobre nuestra identidad…

Sin embargo navegando nos encontramos con multitud de sitios (por no decir la  mayoría) que usan https, donde esa “s” significa Seguro. A continuación explicamos porqué.04 Diciembre 2020 01

Todos entendemos que es importante no distribuir alegremente datos personales (sensibles), pero si la comunicación es entre el navegador y el servidor web, entonces , ¿Dónde está el problema?. El problema reside que nuestras comunicaciones pueden ser interceptadas. El caso más sencillo de que roben nuestros datos es mediante un “Man in the Middle”, o en castellano “Hombre en el medio”. Esto que suena hasta un tanto exótico es un tipo de ataque no excesivamente complicado de realizar y más habitual de lo que sería deseable.

Para explicar en que consiste lo primero es ponernos en situación. Imagina que estás de vacaciones y te has llevado tu portátil o Tablet para revisar tus redes sociales, blogs favoritos y realizar alguna compra. Como andas un poco corto de datos móviles pides la clave del wifi del hotel y navegas por las webs habituales. Pero resulta que dos pisos más abajo hay un individuo conectado a la misma red wifi y que está “escuchando” el tráfico de datos que genera tu portátil, tablet o móvil. Piénsalo, al conectarte a la wifi del hotel toda la información que envías y recibes de internet circula a través de esa red, y si alguien más está conectado a ella puede captar todos los datos. Y una vez captados es “sencillo” obtener la información que manejamos. Simplemente se ha de leer esta y con un poco de habilidad y algún programa especializado ( por desgracia fáciles de conseguir) la tarea de desglosar todos los datos es relativamente sencilla.

Observando el dibujo se entiende fácilmente, el chico de la izquierda está navegando con http y el hacker está obteniendo sin problemas todos sus datos. Sin embargo el chico de la derecha al tenerlos encriptados logra que el hacker no obtenga sus credenciales.

04 Diciembre 2020 03Para evitar este tipo de ataque se tomó la solución de encriptar (cifrar) la información que se envía, y esto se aplica con el https. Mediante esta técnica, si alguien lee nuestros datos de inicio de sesión, por ejemplo el nombre de usuario “David”, al estar encriptado por ejemplo leería,  “#R34$” (o cualquier otra cosa). Con lo cual si consiguen obtener el tráfico de datos no van a saber cuál es el nombre de usuario real. Para poder encriptar estos datos se usan los certificados digitales (de los cuales hablaré más adelante en otro artículo). Pero lo que nos importa es que tienen un clave privada (de lo que también se hablará en otro artículo) a través de la cual se generan los datos encriptados, en otras palabras, se hace a mayores más complicado interpretarlos enviados.

Mediante el uso del certificado digital logramos Integridad, confidencialidad y autenticación en una comunicación cliente servidor

Desde el 2018 google considera a todos los sitios que no tienen https como inseguros, pero ¿Realmente es inseguro navegar por un sito que no tenga https implantado? La respuesta es “depende”, si lo que hacemos es simplemente navegar y no introducimos datos en un principio la navegación es segura, pues la única información que se puede obtener es las páginas por las que hemos navegado. Sin embargo si ya tratamos datos sensibles lo más seguro es cerrar la página y no volver a usarla hasta que nos ofrezca comunicación https

Hoy en día los navegadores nos avisan de los posibles problemas con los que nos podemos encontrar o por el contrario nos indican si podemos seguir navegando con total tranquilidad. Para obtener esta información solo debemos de pinchar en el icono (dependiendo del navegador será un candado abierto o cerrado de habitualmente de color verde, o un signo de admiración rojo en caso de peligro) que nos aparece a la izquierda de la barra de direcciones de nuestro navegador y como vemos en las imágenes se nos informa del análisis del sitio. En este análisis se nos muestra la validez y característica del certificado digital usado para encriptar los datos, las cookies que usa, si permitimos las ventanas emergentes…

Puede ocurrir que, si existe algún problema con el certificado digital, páginas con https sean marcadas como inseguras tal y como se ve en la imagen, quedando a nuestra elección el seguir navegando por ella.

De todos modos, si tenemos algún tipo de duda sobre la veracidad de un sitio web Google pone a nuestra disposición una herramienta gracias a la cual se nos facilita la tarea de saber si un sitio web es o no es seguro.

Google Safe Browsing  https://transparencyreport.google.com/safe-browsing/search

 04 Diciembre 2020 05

Por otra parte, que estemos navegando en una red wifi privada o a través de una conexión por cable no significa que nos podemos despreocupar de si la página por la que navegamos usa https o no lo usa. Además del “man in the middle” existen otros procedimientos para interceptar nuestras comunicaciones, por tanto siempre debemos de tener cuidado con las webs que visitamos sea cual sea el medio que usemos para conectarnos a internet. Recuerda que como ya hemos visto en otros artículos en caso de conectarnos a wifis gratuitas lo más seguro es usar una conexión VPN.

Espero que haya quedado claro la necesidad del https y a partir de ahora cuando naveguéis os fijéis en el protocolo que usáis y así logréis hacer mas seguras vuestras comunicaciones.

Origen Fotos Incibe, licencia  by-nc-nd

El resto de imágenes son capturas de pantalla de navegador.