Internet es un medio que nos facilita muchísimas cosas de nuestro día a día. Podemos trabajar a través de Internet, consultar nuestras finanzas, saber qué ocurre al otro lado del mundo… pero los atacantes también lo aprovechan para hacer sus trucos, intentar hacerse con nuestros datos o con nuestro dinero.
Por ello es importante mantenerse a salvo, algo que se aplica en Internet y en la vida real. Los hackers pueden ser muy listos, pero los usuarios podemos evitarlo tomando ciertos pasos. Y el HTTPS es la primera línea de defensa ante los ataques que podemos recibir.
¿Qué es el HTTPS?
HTTPS son las siglas de ‘Hypertext Transfer Protocol Secure‘, y, en resumidas cuentas, es la versión segura del HTTP. HTTPS funciona igual que el HTTP habitual pero incluye una capa de protección, la cual cifra nuestra conexión entre el ordenador y el servidor al que estamos conectados. Para ello emplea SSL/TLS, términos que seguro que habéis leído en alguna ocasión.
El HTTPS es fundamental en páginas web que tratan con nuestros datos, en páginas donde compramos o tratamos con información sensible, e incluso podríamos extenderlo a cualquier página web a la que nos conectemos. Esto se debe a dos motivos sencillos:
1. HTTPS certifica que tienes una conexión cifrada y segura
HTTPS posibilita que tu conexión entre el ordenador y la página web sea segura. El SSL/TLS hace que nadie entre medias pueda ver qué es lo que estás enviando y recibiendo. Ni tu operadora ni un atacante en nuestra conexión, nadie puede saber qué estás visitando ni interferir en ello.
2. HTTPS certifica que la página es quien dice ser
Por otra parte, una conexión segura no sirve de mucho si nos conectamos a una página web engañosa. Por ello, la otra parte del HTTPS certifica que la página a la que nos conectamos es quien dice ser. Esto es posible gracias a diferentes entidades de confianza que conceden los certificados SSL, sirviendo como testigos de que el certificado es correcto.
¿De qué me protege el HTTPS?
HTTPS te protege de diferentes ataques que podrían realizar a tu conexión.
- Man-in-the-Middle, una técnica en la que un atacante se pone entre nosotros y la página web, y en la que el atacante puede espiar qué estamos viendo, e incluso colocar su propio contenido y hacerlo pasar por la página web original. Esto se evita con HTTPS gracias al cifrado de la conexión.
- Páginas web maliciosas, que se hacen pasar por nuestro banco o por una web de confianza, para darles nuestros datos sin caer en el engaño. Esto se evita con HTTPS gracias a la verificación de que la página web es quien dice ser.
¿Cómo me puedo proteger con HTTPS?
Lo único que tienes que hacer es asegurarte de que tus conexiones son HTTPS, así de sencillo. El problema es que el HTTPS no lo tiene que aplicar el usuario, tiene que ser la página web a la que te conectas. Si el administrador de la página no lo implanta en la página web, no lo podrás utilizar.
¿Cómo sé si una página web tiene HTTPS?
Para saber si una página web tiene HTTPS en nuestras conexiones, tenemos que fijarnos en dos cosas:
- Que la dirección tenga ‘https://’ al principio, nombre del protocolo seguro que estamos utilizando.
- Que el navegador tenga un candado en la barra de direcciones, por lo general de color verde: es la señal del navegador de que has establecido una conexión segura.
¿Qué ocurre si el candado es rojo o está tachado?
Eso significa que la conexión HTTPS no es segura, aunque se haya establecido. Esto ocurre porque, o la página no tiene un cifrado seguro, o el emisor del certificado SSL no está en la lista de emisores de confianza del navegador. El navegador nos avisará con un aviso muy grande, como el que podéis ver justo encima.
Un ejemplo de esto son las páginas del Gobierno de España. Los certificados SSL de las páginas del estado están expedidos por la Fábrica Nacional de Moneda y Timbre. Nosotros conocemos la entidad y la consideramos segura, pero los navegadores no la tienen en su lista de certificados de confianza, por lo que lo interpretarán como una conexión no segura.
En los casos en los que nosotros confiemos pero el navegador no, es posible forzar la conexión. En Chrome tenemos que pulsar en ‘Opciones avanzadas’, bajar abajo del todo y confirmar que queremos acceder. Esto ocurre en casos como el de arriba, o cuando utilizamos certificados auto-expedidos.
Cómo usar HTTPS siempre que sea posible
Por lo general, es sencillo poner HTTPS a mano en las páginas web que visitamos y tienen versión segura. Incluso las páginas web bien hechas redirigen al usuario a la versión HTTPS si entra por HTTP. El problema viene cuando no todas las páginas lo utilizan. Incluso existen páginas como Forbes que redirigen al usuario del HTTPS al HTTP.
Cómo tener conexiones HTTPS en nuestro navegador
No podemos hacer nada para combatir estas malas prácticas, sólo podemos asegurarnos de que estamos usando HTTPS siempre que sea posible. Para ello, la EFF -en colaboración con el proyecto Tor- tiene una extensión, llamada ‘HTTPS Everywhere’, que se encarga de cargar la versión HTTPS de la página que visitamos siempre que esté disponible.
HTTPS Everywhere está disponible para Firefox, Chrome y Opera en navegadores de escritorio. En Android, HTTPS Everywhere está disponible como extensión para Firefox.
¿Y qué ocurre con las aplicaciones?
Por otra parte, no podemos controlar que las aplicaciones siempre usen HTTPS en sus conexiones. Estas reglas sólo las podemos aplicar en páginas web. Android Developers tiene muchísima documentación para que los desarrolladores implanten conexiones seguras en sus aplicaciones, pero tenemos que confiar en el buen hacer de los desarrolladores.
Para aplicar más barreras de seguridad, podemos tomar pasos como utilizar un VPN que cifre nuestra conexión, o hacer que todas nuestras conexiones pasen por Tor. Sin embargo, son pasos complicados que no compensan a la mayoría de usuarios. El HTTPS es una línea de defensa suficiente para la mayoría de usuarios, y adoptar su uso puede librarnos de muchos ataques.