Casi todos conocemos lo que son las escuchas telefónicas. En infinidad de películas de espías y series policiales vemos como se interceptan las comunicaciones para, en este caso, escuchar los audios que se envían entre dos teléfonos. Hablando de las comunicaciones a través de internet, sucede lo mismo…hay sistemas interceptores que capturan los paquetes de datos que se intercambian entre un emisor y un receptor.
HTTP es un protocolo de intercambio de datos entre una computadora y un servidor a través de la World Wide Web.
Si observamos una URL o dirección web, veremos que comienza por WWW. Esto quiere decir que nuestro navegador usará el sistema WWW a través de internet. La mayoría de navegadores ya no ponen el WWW en la URL, porque deducen que ese es sistema que vamos a usar teniendo en cuenta el texto que sigue, que suele ser HTTP o HTTPS, que se usan para navegar en la WWW.
Para tratar de evitar las "escuchas" en las comunicaciones HTTP, se diseñó HTTPS, que no es más que el protocolo HTTP sobre una capa de seguridad SSL o mayormente TLS, que son sistemas que encriptan los paquetes de datos que se intercambian entre el usuario y un servidor y viceversa.
Estas capas de seguridad son bastante seguras y fiables, y evitan que aunque se logren interceptar los paquetes de datos, estos sean indescifrables.
De preferencia, se debe tratar de visitar sitios web que funcionen bajo HTTPS porque ofrecen, como hemos dicho, niveles de seguridad donde nuestros datos son encriptados durante el transporte de los mismos.
En los servidores que funcionan sobre HTTPS, su o sus administradores deben crear un certificado de clave pública, la cual debe ser expedida o validada por una autoridad certificadora. Este certificado lo que hace es asegurar que el responsable de dicho servidor es quien dice ser. Es como su DNI o documento de identificación. Estos certificados pueden ser gratuitos o de pago y tienen una duración determinada, que puede ser de un año a varios años. Algunas entidades pueden emitir certificados por sí mismos y convertirse en autoridades certificadoras en un entorno local o una intranet, como universidades, empresas. En esos casos, los administradores de TI deben agregar manualmente esos certificados en los navegadores de la intranet.
Los navegadores actuales incorporan casi todos los certificados emitidos y por eso casi nunca se nos solicitará que instalemos uno.
Si pulsamos en el icono del candado que suele preceder a una URL del tipo HTTPS, se nos mostrará una ficha donde se nos indica si el certificado es válido. Adicionalmente muchos navegadores también nos da más información acerca del certificado, como quien lo emitió, a quien y su fecha de caducidad.
Todo esto suena muy bien y nos tranquiliza en cierta medida, pero una web que tiene un HTPPS en su URL no es garantía de seguridad total. Nada impide que los datos recibidos y una vez desencriptados por el protocolo de seguridad sean utilizados como les dé la gana a los administradores de dicha web.
Aprovechándose de que hay certificadores que emiten certificados de forma gratuita, algunos malosos se hacen con algunos y usan webs y servidores con HTTPS para capturar datos personales (es habitual hacerlo con webs falsas o phishing).
Algunas autoridades de seguridad de algunos gobiernos llegan a asegurar que para que naveguemos libres de peligro solo usemos la navegación por webs HTTPS. Nada más lejos de la realidad, como ya hemos visto.
Que una web tenga HTTP o HTTPS no es garantía de sinceridad, honradez o seguridad. La mayoría de las páginas HTTP son muy seguras y confiables, e igualmente las HTTPS suelen ser dignas de confianza…pero de todo hay en la viña del señor y nada es seguro al 100%.
Así que nunca te fíes del candadito que suele preceder al HTTPS, eso no te garantiza que tus datos no terminen en malas manos…el mejor antivirus y sistema de seguridad es la prudencia y cierta dosis de sentido común.
0 comentarios