sitios web seguros

Los sitios web seguros, los que se utilizan a través de una comunicación cifrada, están aumentando cada vez más, y eso es bueno. Existen muchas razones para ello, siendo las principales la seguridad, la confidencialidad y la privacidad. Sus características, ventajas y consejos se pueden tratar desde muchos puntos de vista, y en este artículo lo quiero hacer desde dos: una explicación desprovista (hasta donde sea posible) de tecnicismos y la información que deberían conocer las empresas sobre los sitios web seguros.

¿Qué es HTTPS. y por qué lo necesitamos?

A principios de la década de los años 90 del siglo pasado se creó y desarrolló el llamado World Wide Web como solución para la distribución de documentos interconectados a través de internet. La comunicación electrónica para acceder a los documentos utilizaba el protocolo de comunicación HTTP (Protocolo de Transferencia de Hipertexto).

En aquellos años no se le daba tanta importancia a la integridad y confidencialidad de la información. Por ello, la información que circulaba por internet a través del protocolo HTTP no estaba cifrada. Esto quiere decir que cualquiera que pudiera ‘escuchar’ la información de páginas web que circulaban por las líneas de comunicación de internet podía leer y modificar esa información. Si a un usuario se le solicitaba un contraseña de acceso a un sitio web, esta circulaba tal cual la escribía el usuario y estaba accesible a cualquiera que pudiera interceptar las comunicaciones entre el navegador del usuario y el sitio web.

Que HTTP no cifre las comunicaciones tiene otra desventaja: no sólo se puede interceptar la información que intercambian los usuarios y el sitio web sino que también se puede conocer qué páginas concretas se visitan desde el navegador de un usuario, es decir, las direcciones de internet que aparecen en la barra de direcciones de un navegador web. Quizá a nosotros no nos importe, pero esto puede representar un grave problema para las personas que viven en países con regímenes dictatoriales o totalitarios. Que se conozca la actividad de navegación web de algunos ciudadanos puede acarrearles el ser detenidos y encarcelados.

Para solucionar estos problemas que presenta HTTP se creó HTTPS (Protocolo Seguro de Transferencia de Hipertexto). Este protocolo cifra la información que intercambia un navegador y un sitio web, incluyendo el contenido de las páginas web, las cabeceras de la comunicación, la dirección de internet (URL) a la que se accede, los parámetros que pudieran tener las URL, las cookies y la información que envía un navegador web a través de formularios. Es importante saber que alguien que escuche las comunicaciones HTTPS no podrá conocer la información indicada anteriormente porque estará cifrada, pero sí conocerá a qué sitio web (en realidad dirección IP y dominio) se ha conectado el usuario. Por ejemplo, si un usuario realiza búsquedas en ‘https://www.google.com’ y alguien escucha esa comunicación, no podrá conocer qué ha buscado y qué respuestas ha obtenido, pero sí se podrá conocer que se ha conectado a ‘www.google.com’, a pesar de que la comunicación entre el navegador web y el sitio web de Google esté cifrada.

¿Qué debo saber como empresa sobre HTTPS?

Las empresas creamos o contratamos el desarrollo de un sitio web, lo publicamos en un servidor web propio o de una empresa proveedora de alojamiento web y ya tenemos nuestro sitio web accesible para todo el mundo. Esto es cierto para un sitio web accesible mediante HTTP. Si queremos que el sitio web utilice el protocolo HTTPS para que sea más seguro a través del cifrado de la información se necesita un requisito más: instalar un certificado digital en el servidor web firmado por una autoridad de certificación. Esto es un tema bastante técnico del que se suele encargar la empresa proveedora de alojamiento web o los desarrolladores del sitio web. Una empresa que quiera ofrecer un sitio web seguro no necesita comprender los detalles de ese mundo tan técnico. Sin embargo sí que es importante que una empresa conozca qué certificados existen para así poder elegir el más adecuado para sus intereses y los de sus clientes.

La confianza en un certificado digital instalado en un servidor web la ofrece la autoridad de certificación que firma el certificado digital. Las autoridades de certificación son como los notarios en la vida real, es decir, garantizan con su firma la veracidad de un documento o un hecho. Podemos utilizar dos tipos de certificados de servidor dependiendo de la garantía que desee ofrecer la empresa propietaria del sitio web:

Certificado digital con garantía sobre el dominio

Para estos certificados digitales la autoridad certificadora garantiza que el dominio de internet que utiliza el sitio web es el que dice ser. Suele ser el certificado más económico y rápido de obtener. Ejemplo:

a imagen es una captura del sitio web del Gobierno de España. El candado a la izquierda de la dirección web indica que el sitio web es seguro. El certificado digital instalado ha sido emitido para el dominio ‘administracion.gob.es’ y garantiza que ese es el dominio para el cual se está utilizando.

Certificado digital con garantía sobre el dominio y la empresa

Hay veces que el certificado anterior no es suficiente. Imaginemos una empresa que maneja información confidencial o muy sensible de sus clientes a través de su sitio web. Esa empresa protegerá mediante HTTPS su sitio web instalando un certificado digital de servidor, tal como hemos visto en el ejemplo anterior. Ahora imaginemos que unos ciberdelicuentes contratan un dominio con un nombre muy similar al de esta empresa y publican, utilizando ese dominio, una copia casi exacta del sitio web de la empresa. Por supuesto que también instalarán un certificado digital creado para el dominio que han contratado para que aparezca un candado en la barra de direcciones del navegador y para que los visitantes de su sitio web se sientan seguros y no sospechen nada. Hecho esto, los ciberdelincuentes sólo necesitan conseguir que clientes legítimos de la empresa accedan al sitio web fraudulento sin levantar sospechas. Esto lo pueden hacer con mensajes de correo electrónico no deseados (SPAM) simulando que son mensajes reales de la empresa. Sus mensajes incluirán un enlace a su sitio web falso para que los destinatarios del mensaje hagan clic en él y accedan al sitio web fraudulento. Si algún cliente cae en el engaño accederá al sitio web fraudulento, indicará sus datos de autenticación (que serán recolectados por los ciberdelincuentes para su posterior uso) y se le mostrará un mensaje de error para después redirigirle al verdadero sitio web de la empresa, para que no sospeche nada.

Existen diversas medidas para evitar dentro de lo posible el ejemplo de fraude indicado, entre ellas el uso de un  pero además está el uso de un certificado digital que garantice no solo el dominio sino también que pertenece a la empresa propietaria. Ejemplo:

Como se ve en el ejemplo, no sólo aparece el candado, como sucedía con el certificado digital explicado anteriormente, sino que además se muestra el nombre de la empresa propietaria del dominio que ha verificado y certificado la autoridad de certificación (la empresa que ha firmado el certificado digital de servidor que utiliza el sitio web). En el hipotético caso de fraude presentado anteriormente, los cibercriminales podrán obtener un certificado digital de servidor para su dominio, pero no podrán obtener un certificado digital que garantice que son la empresa a la que quieren suplantar. Si la empresa utiliza un certificado digital que muestre su nombre en los navegadores web añadirá un factor más de seguridad, porque sus clientes verán el nombre de la empresa en el navegador únicamente si han accedido al sitio web legítimo. Los certificados digitales con garantía sobre la empresa propietaria del dominio son más caros y pueden tardar en concederse unos pocos días, porque la autoridad de certificación debe comprobar y garantizar que la empresa contratante es quien dice ser.

Una empresa que quiera ofrecer un sitio web seguro debe decidir qué nivel de garantía quiere ofrecer a sus clientes en función de la información que maneje y el nivel de privacidad que esta requiera, el riesgo de fraudes y sus consecuencias, etc. Los sitios web seguros son un mundo tecnológico complejo. Confío en haber explicado de forma sencilla y clara los aspectos de HTTPS más importantes para las empresas. Si te surgiera alguna duda o necesitaras asesoramiento