Desmontamos el gran mito sobre HTTPS: que una web tenga ‘candado’ no la convierte en segura

Por
admin
-
0
56

Cuando
navegamos
por
Internet,
uno
de
los
consejos
de
seguridad
más
comunes
es
revisar
que
la
URL
de
los
sitios
web
que
visitamos
comienza
con
«https://»
(o,
como
suele
decirse, «que
tenga
candado»),
especialmente
si
vamos
a
introducir
en
ellos
datos
personales.
Sin
embargo,
es
importante
entender
que

no
siempre
que
una
web
cuente
con
HTTPS
ésta
estará
libre
de
estafas
u
otras
amenazas.
Aclaremos
algunos
datos
al
respecto.

¡QUE
NO
TE
ENGAÑEN!
Los
principales
TIMOS
en
COMPRAS
ONLINE
y
CÓMO
EVITARLOS

¿Qué
es
el
HTTPS?

El
protocolo
HTTPS
(Hypertext
Transfer
Protocol
Secure)
es
una
versión
segura
del
tradicional
HTTP,
ahora
diseñado
para
asegurar
que

la
información
transmitida
entre
el
navegador
del
usuario
y
el
sitio
web
esté
cifrada.
Esto
impide
que
terceros
(insistimos:
terceros)
puedan
interceptar
o
leer
los
datos
enviados
durante
la
sesión…


pero
eso
no
garantiza
que
el
sitio
web
sea
seguro
en
su
totalidad:
puede
utilizar
HTTPS
y
aun
así
ser
una
fuente
de
amenazas
como
malware
o
estafas
de
phishing.

¿Dirías
que
quedar
a
hablar
con
alguien
en
un
sitio
apartado
es
seguro
si
ese
alguien
es
un
criminal?
Pues
eso
indica
el
candado:
un
sitio
(web)
alejado
de
ojos
indiscretos.
Nada
más

candado

candado


El
candado
de
marras.


¿Qué
son
los
certificados
SSL/TLS?

HTTPS
utiliza
certificados
SSL
o
TLS
para
asegurar
una
conexión
segura,
validando
así
la
autenticidad
del
servidor
al
que
se
conecta
el
usuario…
pero
organizaciones
como
Let’s
Encrypt
ofrecen

certificados
SSL
de
forma
gratuita,
lo
cual
ha
sido
aprovechado
por
ciberdelincuentes
para
dar
una
falsa
apariencia
de
seguridad
a
sitios
maliciosos.

Recuerda:
Los
certificados
SSL
sólo
validan
que
tus
datos
se
envían
cifrados
al
servidor,
pero

no
nos
dicen
nada
sobre
qué
hacen
con
ellos
una
vez
llegan
allí.


es
cierto
lo
contrario:
que
una
web ‘sin
candado’
(HTTP)
siempre
será
insegura.
Pero
es
que
cada
vez
son
más
infrecuentes

Estamos
despistados

Según

un
estudio
de
Phishlabs
de
2017,

ya
entonces
el
25%
de
todos
los
ataques
de
phishing
se
realizaban
desde
sitios
HTTPS
cuando
sólo
dos
años
antes
ese
porcentaje
era
menor
del
1
%.
Han
pasado
ya
siete
años
desde
entonces,
y
puedes
estar
seguro
de
que
esa
cifra
no
ha
hecho
más
que
subir.

Pero,
a
pesar
de
todo,
muchos
medios
generalistas
(¡e
incluso
las
fuerzas
de
seguridad
del
Estado!)
siguen
repitiendo

machaconamente
y
casi
por
costumbre
el

peligroso
consejo
de
que
nos
fiemos
de
las
webs
con
HTTPS.

Por
aquel
entonces,
más
del
80%
de
los
usuarios

creían
que
la
simple
presencia
de
un
candado
verde
en
la
URL
significaba
que
un
sitio
eraseguro
y,
por
lo
tanto,
no
se
lo
pensaban
dos
veces
a
la
hora
de
introducir
sus
datos.
Pero
incluso
con
HTTPS,
si
el
sitio
pertenece
a
un
atacante,
éste
puede
visualizar
y
manejar
la
información
que
el
usuario
ingresa.

Recapitulando…

  • Un
    sitio
    con
    HTTPS
    no
    siempre
    es
    seguro,
    así
    que
    intenta
    utilizar
    criterios
    complementarios
    para
    verificar
    su
    seguridad.
  • Es
    importante
    estar
    alerta
    y
    no
    introducir
    información
    personal
    en
    sitios
    que
    no
    son
    de
    confianza,
    incluso
    si
    tienen «el
    candado».

Imagen
|

Wikimedia
+
Marcos
Merino
mediante
IA

En
Genbeta
|

El
Banco
de
España
ofrece
estos
siete
consejos
contra
el
fraude
bancario
digital

Artículo relacionadosMás del autor