HTTPS, el ícono de candado en la barra de direcciones, una conexión encriptada a un sitio web, eso se conoce como muchas cosas. Si bien alguna vez estuvo reservado principalmente para contraseñas y otros datos confidenciales, toda la web está dejando atrás HTTP gradualmente y cambiando a HTTPS.
La «S» en HTTPS significa «Seguro». Ésta es la versión segura del «protocolo de transferencia de hipertexto» estándar que utiliza su navegador web para comunicarse con los sitios web.
Cómo HTTP te pone en riesgo
Cuando se conecta a un sitio web con HTTP normal, su navegador busca la dirección IP que coincide con el sitio web, se conecta a esa dirección IP y asume que está conectado al servidor web correcto. Los datos se envían a través de la conexión en texto sin cifrar. Un espía en una red Wi-Fi, su proveedor de servicios de Internet o agencias de inteligencia gubernamentales como la NSA pueden ver las páginas web que visita y los datos que transfiere de un lado a otro.
Hay grandes problemas con eso. Por un lado, no hay forma de verificar que está conectado al sitio web correcto. Puede pensar que ha accedido al sitio web de su banco, pero se encuentra en una red comprometida que lo redirige a un sitio web impostor. Las contraseñas y los números de tarjetas de crédito nunca deben enviarse a través de una conexión HTTP, de lo contrario, un espía podría robarlos fácilmente.
Estos problemas se producen porque las conexiones HTTP no están cifradas. Las conexiones HTTPS son.
Cómo le protege el cifrado HTTPS
HTTPS es mucho más seguro que HTTP. Cuando se conecta a un servidor HTTPS seguro (los sitios seguros como el de su banco lo redireccionarán automáticamente a HTTPS), su navegador web verifica el certificado de seguridad del sitio web y verifica que fue emitido por una autoridad certificadora legítima. Esto es para asegurarse de que si ve «https://bank.com» en la barra de direcciones de su navegador web, realmente está conectado al sitio web real de su banco. La empresa que emitió el certificado de seguridad los avala. Desafortunadamente, a veces las CA emiten certificados incorrectos y el sistema se bloquea. Aunque no es perfecto, HTTPS sigue siendo mucho más seguro que HTTP.
Cuando envía información confidencial a través de una conexión HTTPS, nadie puede espiarla en tránsito. HTTPS es lo que hace que la banca y las compras en línea sean seguras.
También ofrece privacidad adicional para la navegación web normal. Por ejemplo, el motor de búsqueda de Google ahora usa conexiones HTTPS de forma predeterminada. Esto significa que la gente no puede ver lo que busca en Google.com. Lo mismo ocurre con Wikipedia y otros sitios. Anteriormente, cualquier persona en la misma red Wi-Fi podía ver sus búsquedas, al igual que su ISP.
Por qué todos quieren dejar HTTP fuera
HTTPS se diseñó originalmente para contraseñas, pagos y otros datos confidenciales, pero ahora toda la web se está moviendo hacia él.
En los Estados Unidos, su proveedor de servicios de Internet está autorizado a espiar su historial de navegación web y véndelo a los anunciantes. Sin embargo, si la web cambia a HTTPS, su ISP no puede ver la mayor parte de estos datos; solo ve que se está conectando a un sitio web específico, a diferencia de las páginas individuales que visita. Esto significa mucha más privacidad para su navegación.
Peor aún, HTTP permite que su proveedor de servicios de Internet falsifique las páginas web que visita, si así lo desea. Podrían agregar contenido a la página web, editar la página o incluso eliminar elementos. Por ejemplo, los ISP podrían usar este método para inyectar más anuncios en las páginas web que visita. Comcast ya inyectar advertencias en su límite de ancho de banday Verizon tiene inyectado una supercookie utilizado para el seguimiento de anuncios. HTTPS evita que los ISP y cualquier otra persona que ejecute una red falsifiquen páginas web como esta.
Y, por supuesto, no se puede hablar de cifrado en la web sin mencionar a Edward Snowden. Los documentos filtrados por Snowden en 2013 mostraron que el gobierno de EE. UU. supervisar las páginas web visitadas por los usuarios de Internet de todo el mundo. Esto ha provocado un incendio en muchas empresas de tecnología para avanzar hacia una mayor encriptación y privacidad. Al cambiar a HTTPS, a los gobiernos de todo el mundo les resulta más difícil ver todos sus hábitos de navegación.
Cómo los navegadores animan a los sitios web a volcar HTTP
Debido a este impulso para pasar a HTTPS, todos los nuevos estándares diseñados para hacer que la web sea más rápida requieren cifrado HTTPS. HTTP / 2 es una nueva versión importante del protocolo HTTP compatible con los principales navegadores web. Agrega compresión, canalización y otras características que hacen que las páginas web se carguen más rápido. Todos los navegadores web obligar a los sitios a utilizar el cifrado HTTPS si quieren estas nuevas funciones útiles de HTTP / 2. Los dispositivos modernos también tienen hardware dedicado para manejar el cifrado AES requerido por HTTP. Esto significa que HTTPS debería ser más rápido que HTTP.
Mientras que los navegadores hacen que HTTPS sea atractivo con nuevas funciones, Google hace que HTTP no sea atractivo al penalizar a los sitios web por su uso. Google planea marcar los sitios web que no usan HTTPS como peligroso en Chromey Google quiere priorizar los sitios web que usan HTTPS en los resultados de búsqueda de Google. Este es un fuerte incentivo para que los sitios web migren a HTTPS.
Cómo comprobar si está conectado a un sitio web mediante HTTPS
Puede saber que está conectado a un sitio web con una conexión HTTPS si la dirección en la barra de direcciones de su navegador web comienza con «https: //». También verá un icono de candado, en el que puede hacer clic para obtener más información sobre la seguridad del sitio web.
Se ve un poco diferente en cada navegador, pero la mayoría de los navegadores comparten https: // y el icono de candado. Algunos navegadores ahora ocultan «https: //» de forma predeterminada, por lo que solo verá un icono de candado junto al nombre de dominio del sitio web. Sin embargo, si hace clic o toca en la barra de direcciones, verá la parte «https: //» de la dirección.
Si está utilizando una red desconocida e inicia sesión en el sitio web de su banco, asegúrese de ver el HTTPS y la dirección correcta del sitio web. Esto le permite asegurarse de haber iniciado sesión en el sitio web del banco, aunque no es una solución infalible. Si no ve un indicador HTTPS en la página de inicio de sesión, es posible que esté conectado a un sitio web impostor en una red comprometida.
Cuidado con los trucos de phishing
La presencia de HTTPS en sí misma no es garantía de que un sitio sea legítimo. Algunos phishers inteligentes se han dado cuenta de que las personas buscan la marca HTTPS y el icono de candado, y pueden hacer todo lo posible para disfrazar sus sitios web. Así que siempre tenga cuidado: no haga clic en enlaces en correos electrónicos de phishing, o podría terminar en una página inteligentemente disfrazada. Los estafadores también pueden obtener certificados para sus servidores fraudulentos. En teoría, solo se les prohíbe hacerse pasar por sitios que no son de su propiedad. Es posible que vea una dirección como https://google.com.3526347346435.com. En este caso, está utilizando una conexión HTTPS, pero en realidad ha iniciado sesión en un subdominio de un sitio llamado 3526347346435.com, no en Google.
Otros delincuentes pueden imitar el ícono del candado, cambiando el favicon de su sitio web que aparece en la barra de direcciones por un candado para intentar engañarte. Esté atento a estos consejos cuando compruebe el inicio de sesión de su sitio web.