HTTPS: entiende por qué, por sí solo, este protocolo no representa suficiente seguridad
Para los más jóvenes puede ser difícil de creer, pero hubo una época en la que era más fácil identificar si estabas navegando en un sitio seguro o no: bastaba con verificar si en la barra de direcciones del navegador aparecía el icónico símbolo del candado verde, representación visual de que aquella página estaba protegida por el Hyper Text Transfer Protocol Secure (HTTPS). El HTTPS, a su vez, no es otra cosa que una implantación del protocolo HTTP convencional con el agregado de una capa de cifrado.
La cuestión era muy simple: los sitios que trabajaban con el HTTPS necesitan un certificado digital del tipo Transport Layer Security (TLS) o Secure Socket Layer (SSL), que, hasta hace unos años, solo instituciones certificadoras de prestigio podían emitir y para quienes pudieran pagar por ese diferencial. Eso garantizaba que el sitio de la empresa X realmente perteneciera a la empresa X. El usuario final podía, entonces, tener la tranquilidad de saber que, gracias al HTTPS, el tráfico de datos entre su máquina y el servidor final estaban protegidos por el cifrado.
Pero los tiempos han cambiado. El mercado empezó a establecer el uso del HTTPS como un estándar y, así, el acceso a los certificados TLS/SSL también se volvió mucho más fácil. A fin de cuentas, sería injusto que la web avanzara hacia un nivel que le impidiera a algunas personas tener la libertad de subir un sitio disponible para todos. Hoy en día, cualquier internauta puede generar un certificado sin desembolsar ni un solo centavo y esto incluye, por supuesto, a los delincuentes cibernéticos.
Ciberdelincuentes con certificación
En 2021, expertos constataron que el 91,5% de los malwares que navegaban por internet se estaban entregando por medio de conexiones cifradas con el protocolo HTTPS. Este número solo pone de manifiesto que, actualmente, no basta con buscar el “candado” para asegurarse de que un sitio sea confiable. Con la popularización de las instituciones certificadoras gratuitas, un estafador puede emitir un certificado falso para una página maliciosa en pocos minutos.
Más que simplemente generar un certificado aleatorio solo para hacer su trampa más convincente, algunos delincuentes logran incluso robar los certificados originales del sitio o de la aplicación que buscan falsificar. Y lo pueden hacer con cierta facilidad si obtienen acceso privilegiado al servidor en el cual se encuentra el sitio original, bastándoles con copiar las claves de cifrado privadas que se usaron para la firma del certificado auténtico.
Vale la pena resaltar que, actualmente, para el ciberdelincuente, es muy interesante “gastar tiempo” emitiendo, o robando, certificados para sus sitios maliciosos. En definitiva, todos los navegadores ya bloquean, por defecto, el acceso a sitios que no ofrezcan ese nivel básico de cifrado. Así, trabajar con la implementación del HTTPS se ha vuelto crucial para que los delincuentes garanticen que sus páginas fraudulentas se exhiban adecuadamente en el browser de sus víctimas.
Tips para protegerse
Como conclusión, nos queda esta lección: no te bases exclusivamente en el HTTPS como indicativo de que un determinado sitio es seguro. Acuérdate siempre de prestar atención a los detalles: ¿el dominio, o sea, la dirección de la página, está correcto? ¿Es posible detectar indicios de una campaña de ingeniería social, como mensajes de urgencia, ofertas demasiado tentadoras o errores tipográficos en los textos?
Cabe resaltar que siempre debemos desconfiar de enlaces que recibamos por e-mail o aplicaciones de comunicación. Opta por digitar la dirección del sitio deseado manualmente en el espacio indicado para ese fin en tu navegador. Por último, si se trata de un servicio o de una tienda virtual “inédita”, busca recomendaciones, o eventuales quejas, de otros internautas antes de cerrar negocio.