Mitos y verdades sobre la seguridad en sitios con HTTPS

no de los consejos de seguridad más comunes al navegar en Internet es revisar que los sitios inicies con HTTPS, sobre todo si van a ingresar datos personales para evitar ser víctimas de hackers. Aunque es el consejo sigue siendo certero, también hay algunos mitos detrás.

De acuerdo con ESET, una compañía de ciberseguridad, a pesar de que es verdad que el HTTPS (Hypertext Transfer Protocol Secure) garantiza que la información que sea transmitida entre la computadora del usuario y el sitio web será cifrada y que no podrá ser vista o leída por nadie más, es frecuente que esto se malinterprete como que “siempre” va a ser seguro un sitio así.

Por qué no siempre es seguro

Aunque no es mentira que con el HTTPS nadie más puede ver la navegación del usuario en ese sitio, si esa página pertenece a un atacante, este podrá visualizar la información.

“Lo más frecuente es que los servidores web maliciosos utilicen directamente el protocolo HTTP sin cifrado de información. Por eso el consejo de validar qué protocolo se está utilizando”.

Aunque es poco frecuente, esto no significa que un atacante no pueda utilizar el protocolo HTTPS en su sitio web falso o malicioso. En ese caso, no importa que un sitio sera súper seguro y tenga todo tipo de candados de seguridad si quien está detrás es un atacante.

Y es que hay empresas que otorgan certificados SSL de forma gratuita, mismos que los atacantes adquieren al registrar un dominio y crear una cuenta de correo electrónico y tener sus servidores maliciosos trabajando con el protocolo HTTPS.

Dicho de forma más simple, son el lobo que consigue un traje de oveja para poder mezclarse entre las demás y poder atacar en el momento menos esperado. Al parecer inofensivo los demás confían en que es seguro cuando en realidad nunca lo fue.

Aunque el dato recién mencionado es relevante respecto a la posibilidad de un atacante de instalar un servidor con protocolo HTTPS de forma legítima, ya existían anteriormente vectores de ataque para simular la existencia del protocolo seguro, como las tareas de investigación llevadas a cabo por Moxie Marlinspike (Null Prefix Attacks Against SSL Certificates).

Entonces qué es verdad y qué es mentira

• “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”: VERDADERO
• “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”: VERDADERO
• “Utilizando el protocolo HTTPS, la información es cifrado”: VERDADERO
• “Siempre que un sitio posea HTTPS será seguro”: FALSO

Según ESET, a pesar de que los usuarios deben verificar la existencia del protocolo de seguridad (HTTPS) en los sitios web, no es suficiente para saber si un sitio es 100% seguro, por lo que también se debe estar al pendiente de que los portales no tengan faltas de ortografía, estén bien redactados y evitar ingresar información personal en las que no haga falta hacerlo.

Cómo funciona el phishing

La estrategia de un ciberdelincuente para que un internauta suministre su información por medio del phishing es muy sencilla: en el caso de un correo electrónico, solo es necesario que el delincuente envíe un e-mail haciéndose pasar, por ejemplo, por su banco, asegurando que es necesario dar clic a un enlace adjunto e ingresar los datos de acceso a su usuario virtual o sino puede sufrir grandes consecuencias legales.

En caso de que la persona acceda, primero a dar clic y segundo a ingresar a su cuenta virtual en una página perfectamente recreada y muy similar a la original, el delito quedará consumado. Los hackers habrán obtenido la información de primera mano (el dueño de la misma) y tendrán total disposición de hacer con ella lo que gusten.