Desmontamos el gran mito sobre HTTPS: que una web tenga 'candado' no la convierte en segura

Publicado el 26/04/2024 por Diario Tecnología

Artículo original

Cuando navegamos por Internet, uno de los consejos de seguridad más comunes es revisar que la URL de los sitios web que visitamos comienza con "https://" (o, como suele decirse, "que tenga candado"), especialmente si vamos a introducir en ellos datos personales. Sin embargo, es importante entender que no siempre que una web cuente con HTTPS ésta estará libre de estafas u otras amenazas. Aclaremos algunos datos al respecto.

¿Qué es el HTTPS?

El protocolo HTTPS (Hypertext Transfer Protocol Secure) es una versión segura del tradicional HTTP, ahora diseñado para asegurar que la información transmitida entre el navegador del usuario y el sitio web esté cifrada. Esto impide que terceros (insistimos: terceros) puedan interceptar o leer los datos enviados durante la sesión...

... pero eso no garantiza que el sitio web sea seguro en su totalidad: puede utilizar HTTPS y aun así ser una fuente de amenazas como malware o estafas de phishing.

¿Dirías que quedar a hablar con alguien en un sitio apartado es seguro si ese alguien es un criminal? Pues eso indica el candado: un sitio (web) alejado de ojos indiscretos. Nada más

El candado de marras.

¿Qué son los certificados SSL/TLS?

HTTPS utiliza certificados SSL o TLS para asegurar una conexión segura, validando así la autenticidad del servidor al que se conecta el usuario... pero organizaciones como Let’s Encrypt ofrecen certificados SSL de forma gratuita, lo cual ha sido aprovechado por ciberdelincuentes para dar una falsa apariencia de seguridad a sitios maliciosos.

Recuerda: Los certificados SSL sólo validan que tus datos se envían cifrados al servidor, pero no nos dicen nada sobre qué hacen con ellos una vez llegan allí.

Sí es cierto lo contrario: que una web 'sin candado' (HTTP) siempre será insegura. Pero es que cada vez son más infrecuentes

Estamos despistados

Según un estudio de Phishlabs de 2017, ya entonces el 25% de todos los ataques de phishing se realizaban desde sitios HTTPS... cuando sólo dos años antes ese porcentaje era menor del 1 %. Han pasado ya siete años desde entonces, y puedes estar seguro de que esa cifra no ha hecho más que subir.

Pero, a pesar de todo, muchos medios generalistas (¡e incluso las fuerzas de seguridad del Estado!) siguen repitiendo machaconamente y casi por costumbre el peligroso consejo de que nos fiemos de las webs con HTTPS.

Por aquel entonces, más del 80% de los usuarios creían que la simple presencia de un candado verde en la URL significaba que un sitio eraseguro y, por lo tanto, no se lo pensaban dos veces a la hora de introducir sus datos. Pero incluso con HTTPS, si el sitio pertenece a un atacante, éste puede visualizar y manejar la información que el usuario ingresa.

Recapitulando...

Un sitio con HTTPS no siempre es seguro, así que intenta utilizar criterios complementarios para verificar su seguridad.
Es importante estar alerta y no introducir información personal en sitios que no son de confianza, incluso si tienen "el candado".

Imagen | Wikimedia + Marcos Merino mediante IA

En Genbeta | El Banco de España ofrece estos siete consejos contra el fraude bancario digital

Descarga la app de Diario Tecnología

Últimos posts

Contacto

info@diariotecnologia.es