¿Por qué es importante HTTPS y qué implica no usarlo?

Puede que de un tiempo a esta parte hayas ido notando que, en la barra de direcciones de tu navegador, al principio de la URL y acompañadas del dibujo de un candado, aparecen las siglas HTTPS cuando entras en las webs que visitas a diario. Esto no es sino un indicativo de que tu conexión con la página está cifrada, es segura y es más difícil que alguien la intercepte.

Muchas de las webs más populares ya lo incorporan. Facebook, Google, YouTube o Twitter son sólo algunos ejemplos populares que todo el mundo conoce. Sin embargo, y teniendo en cuenta que Google está a punto de declarar inseguro medio Internet a través de Chrome, vale la pena pararse a pensar sobre qué es HTTPS y qué implica no usarlo.

¿Qué es el protocolo HTTPS?

Antes de empezar a valorar las posibles implicaciones, vale la pena recordar qué es HTTPS exactamente. Como ya detallamos en un artículo anterior, se trata de una extensión cifrada del protocolo HTTP tradicional. Para realizar este cifrado, cada conexión con HTTP se envía sobre una capa SSL o TLS.

El objetivo de usar HTTPS responde a dos cuestiones: en primer lugar certificar que la web visitada es legítima, y en segundo lugar que se mantiene la integridad y la privacidad de los datos de conexión. Al tener cubiertos estos dos aspectos, se obtiene protección contra ataques man-in-the-middle.

Adicionalmente, ofrece cifrado en dos direcciones para las comunicaciones entre servidores y clientes, lo que protege contra el espionaje y la manipulación de los contenidos de la comunicación. En la práctica, sirve como una garantía razonable de que nos estamos comunicando con la web que queremos y no con un impostor, lo que también protege contra ataques por phising, como el que se produjo en el Comité Demócrata Nacional antes de las últimas elecciones presidenciales de EE.UU..

Históricamente las conexiones HTTPS se han usado, fundamentalmente, para transacciones económicas, correo electrónico y dotar de mayor seguridad a los sistemas de comunicación corporativos. A finales de la década de 2000 y a principios de la década de 2010, su uso empezó a generalizarse para proteger todo tipo de sitios web.

¿Cómo se establece una conexión con HTTPS?

En todos los procesos de cifrado se necesita una clave para, en primer lugar, cifrar la información y, en segundo lugar, volverla legible. En el caso de HTTPS tiene que ser única para cada sesión, y debe generarse sin que nadie más tenga posibilidad de saberla.

Para ello se utiliza una técnica conocida como cifrado asimétrico, que utiliza un sistema basado en dos claves: una pública y una privada, exactamente como explicaron en Genbeta Dev. Estas claves son un par de números relacionados de forma algo especial, de forma que un mensaje cifrado con una clave sólo puede ser cifrado con su par correspondiente.

Dicho de otra manera: si queremos entrar en nuestra bandeja de entrada de Gmail, la conexión de salida de nuestro PC se cifra con la clave pública. Cuando esa conexión llega al servidor de Google, se descifra usando la clave privada.

Sin embargo, antes de que la petición de conexión llegue a su destino, el navegador cifra una preclave generada en el momento con la clave pública del servidor al que nos queremos conectar. Eso se envía al servidor, que descifra la preclave con su clave privada. Tanto el servidor como el navegador aplicarán un cierto algoritmo a la preclave y obtendrán la misma clave de cifrado.

A partir de este momento, superado el escollo del intercambio de la clave, cliente y servidor cifran y descrifran los datos con ella. Como nadie más la conoce, las comunicaciones son, en teoría, seguras. Esto es lo que hace que HTTPS sea importante, ya que gracias a él nuestras comunicaciones con las webs serán solo entre ellas y nosotros.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

¿Por qué es importante HTTPS?

En el blog para desarrolladores de Google inciden especialmente en que HTTPS sí es muy importante. Los motivos los hemos comentado anteriormente de forma somera, pero vale la pena entrar en detalles para dejarlo lo más claro posible.

El uso de HTTPS evita el espionaje por parte de intrusos. Los intrusos incluyen desde actores maliciosos, a empresas legítimas pero que se consideran invasivas. En esta última categoría entrarían, por ejemplo, los proveedores de servicios de Internet o ISPs.

Los intrusos explotan las comunicaciones no protegidas para engañar a los usuarios, de forma que ofrezcan información sensible o instalen malware, así como para insertar publicidad no deseada o no legítima en los recursos del usuario. Desde Google se pone el ejemplo de terceras partes que insertan publicidad en webs que pueden arruinar la experiencia de uso y crear vulnerabilidades en la seguridad del usuario.

Los intrusos también pueden explotar cada recurso no protegido que se mueva entre las webs y los usuarios. Estos recursos pueden ser imágenes, cookies, script, código HTML y etcétera. Las intrusiones se pueden producir en cualquier punto de la red: una máquina doméstica, un punto de acceso WiFi o un ISP comprometido, por ejemplo.

Una idea falsa, pero extendida, es que HTTPS sólo es necesario en webs que manejan comunicaciones e información sensibles. Cada petición HTTP no cifrada puede revelar información sobre los comportamientos y las identidades de los usuarios.

La implantación de HTTPS en Internet en la actualidad

Captura de pantalla de Statoperator

Según Statoperator, en la actualidad "sólo" 116.675 webs de las más populares usan HTTPS por defecto. Por lo que podemos observar, la tendencia de la implantación del protocolo seguro está en alza, con lo que podemos especular que en el futuro los sitios web con más prominencia implementarán este sistema de comunicación cifrado.

En un artículo publicado en Wired en marzo del año pasado se habla de que 79 de las 100 principales webs usan el protocolo HTTPS. De esas 79, 67 utilizan tecnologías de cifrado no actualizadas. Entre los nombres que podemos encontrar en esa lista se encuentran nombres tan importantes como los del New York Times o IMDB.

Recientemente nosotros, Weblogs SL, hemos implementado HTTPS en toda nuestra red de blogs. La operación se ha llevado a cabo por parte de nuestro departamento de sistemas, desde donde se está intentando “modernizar y asegurar la plataforma”. El equipo técnico llevaba tiempo queriendo implantar la mejora, pero no ha sido hasta hace poco que hemos podido hacerlo.

Muchos gigantes de la red, entre ellos Google, han declarado que HTTPS es el futuro de Internet. Teniendo en cuenta que la seguridad y la privacidad son siempre un tema candente y que cada vez estamos más concienciados sobre la importancia de un buen cifrado, no es de extrañar que estas empresas lideren su causa.

Imagen | brenkee
En Genbeta | Qué son los cypherpunks y por qué son tan importantes en la lucha por la privacidad

Ver todos los comentarios en https://www.genbeta.com

VER 12 Comentarios

Portada de Genbeta