La importancia del protocolo HTTPS

Puede que de un tiempo a esta parte hayas ido notando que, en la barra de direcciones de tu navegador, al principio de la URL y acompañadas del dibujo de un candado, aparecen las siglas HTTPS cuando entras en las webs que visitas a diario. Esto no es sino un indicativo de que tu conexión con la página está cifrada, es segura y es más difícil que alguien la intercepte.

Muchas de las webs más populares ya lo incorporan. Facebook, Google, YouTube o Twitter son sólo algunos ejemplos populares que todo el mundo conoce. Sin embargo, y teniendo en cuenta que Google está a punto de declarar inseguro medio Internet a través de Chrome, vale la pena pararse a pensar sobre qué es HTTPS y qué implica no usarlo.

¿Qué es el protocolo HTTPS?

Se trata de una extensión del protocolo HTTP original de la web. Para realizar este cifrado, cada conexión con HTTP se envía sobre un canal encriptado (SSL o TLS).

El objetivo de usar el protocolo HTTPS es en primer lugar el de certificar que la web visitada es legítima (para obtener el certificado de seguridad es necesaria una validación del sitio), y en segundo lugar es mantener la integridad y la privacidad de los datos que cirulan por la conexión. Cubriendo estos dos aspectos se obtiene protección contra ataques “man-in-the-middle” (hombre en el medio, o con la intervención del hombre).

También ofrece cifrado bidireccional para los intercambios entre servidores y clientes, lo que protege contra la intercepción de datos con fines de espionaje o robo y la manipulación de los contenidos durante la comunicación. En la práctica, sirve como una garantía medianamente segura de que estamos conectados con el sitio que queremos y no con un impostor, lo que también protege contra ataques por phising, como el que se produjo en el Comité Demócrata Nacional antes de las últimas elecciones presidenciales de EE.UU..

Históricamente las conexiones HTTPS se han usado para transacciones económicas y financieras, correo electrónico y dotar de mayor seguridad a los sistemas de comunicación corporativos. A finales de la década de 2000 y a principios de la década de 2010, su uso empezó a generalizarse para proteger todo tipo de sitios web.

¿Por qué es importante HTTPS?

En el blog para desarrolladores de Google inciden especialmente en que HTTPS sí es muy importante. Los motivos los hemos comentado anteriormente de forma somera, pero vale la pena entrar en detalles para dejarlo lo más claro posible.

El uso de HTTPS evita el espionaje por parte de intrusos,  operadores maliciosos y empresas legítimas pero consideradas invasivas. En esta última categoría entrarían, por ejemplo, los proveedores de servicios de Internet o ISPs.

Los atacantes de un sitio aprovecha las comunicaciones no protegidas para engañar a los usuarios, de forma que ofrezcan información sensible (contraseñas, tarjetas de crédito, etc.) o instalen programas maliciosos (malware), así como para insertar publicidad no deseada o no legítima en los recursos del usuario. Desde Google se alerta sobre la existencia de terceras partes que insertan publicidad en webs que pueden  crear vulnerabilidades en la seguridad del usuario.

Los intrusos también pueden explotar cada recurso no protegido que se mueva entre las webs y los usuarios. Estos recursos pueden ser imágenes, programas,cookies, script, código HTML y demás. Las intrusiones se pueden producir en cualquier punto de la red: una máquina doméstica, un punto de acceso WiFi o un ISP comprometido, por ejemplo.

Una idea falsa, pero extendida, es que HTTPS sólo es necesario en webs que manejan comunicaciones e información sensibles. Cada petición HTTP no cifrada puede revelar información sobre los comportamientos y las identidades de los usuarios.

 

security1