HTTPS y certificados digitales, ¿me debo fiar de todos?
La navegación en Internet
El robo, la pérdida o la manipulación fraudulenta de la información son, a día de hoy, algunos de los riesgos de ciberseguridad que nos afectan como usuarios de Internet. Por ello, la digitalización y la ciberseguridad deben ir de la mano para todas aquellas organizaciones que desean ofrecernos sus servicios a través del ciberespacio.
Los certificados digitales son la base que ayuda a crear la confianza que los usuarios necesitan. Son ficheros electrónicos generados para las organizaciones por un prestador oficial de servicios de certificación que están autorizados para emitirlos. Por ejemplo, si tenemos una web y queremos que los usuarios tengan la tranquilidad y confianza que los datos que compartan a través de ella van a estar debidamente protegidos mediante un cifrado, podemos contratar a una empresa que se encargará de certificarlo y, si efectivamente la web cumple con los requisitos, le permitirán utilizar ese “sello de confianza” en forma de certificado digital.
En el contexto de la navegación web los certificados digitales son la base de los protocolo SSL y HTTPS. Pero ¿qué significan exactamente estas siglas y cómo afecta a la seguridad en una página web?
SSL/TLS y HTTPS
SSL (Secure Sockets Layer), traducido al español significa Capa de Conexiones Seguras, es un protocolo de cifrado que usa certificados digitales para establecer comunicaciones seguras a través de Internet y proteger la información que transita entre el servidor web y nuestro navegador. Ha sido remplazado por TLS (Transport Layer Security), un protocolo más seguro que está basado en SSL, lo cual los hace totalmente compatibles. Por eso, es muy normal referirse a este conjunto de protocolos directamente como SSL/TLS. El certificado que usa SSL/TLS garantiza que la comunicación no se podrá leer ni manipular y que la información personal no caerá en las manos equivocadas.
Para navegar en las páginas que tienen instalado en su dominio un certificado SSL/TLS, se utiliza el protocolo web HTTPS. Simplemente es una combinación del protocolo HTTP (usado tradicionalmente en cada consulta web) con el protocolo SSL/TLS usado para establecer comunicaciones cifradas en sitios web.
¿Cómo funcionan las conexiones seguras?
Supongamos que intentas acceder al sitio de la OSI https://www.osi.es. Inmediatamente, aparecerá la página en pantalla y en alguna parte de tu navegador observarás un “candado”. Si no viste ningún mensaje de advertencia, generalmente en tonos rojos, es que el protocolo SSL/TLS funcionó correctamente y se estableció una relación de confianza entre el servidor web y tu navegador.
En este proceso, el navegador ha accedido al certificado del sitio web de la OSI, y ha realizado estas comprobaciones:
- Integridad del certificado: verifica que el certificado es correcto, esto lo hace descifrando la firma digital incluida y comparándola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es válido.
- Vigencia del certificado: revisa el periodo de validez del certificado, es decir, la fecha de emisión y la fecha de expiración incluidos en él.
- Confianza en el emisor del certificado: usa la lista de Entidades Certificadoras de confianza almacenadas en tu dispositivo. Con base a esta lista, el navegador revisa que la autoridad emisora del certificado de una web sea de confianza. De no serlo, el navegador mostrará una advertencia indicando que el certificado fue emitido por una entidad en la cual no confía. Puedes acceder a esta lista desde las opciones avanzadas de tu navegador web (Mozilla, Chrome, Safari, Edge).
Los riesgos de la navegación insegura
Ahora que hemos visto cómo funciona la navegación segura basada en SSL/TLS y HTTPS, analizaremos los riesgos más importantes que podemos encontrarnos al visitar determinados sitios de Internet, y aprenderemos cómo reconocerlos:
-
Páginas sin certificado SSL/TLS: por defecto, son páginas en las que habría que desconfiar porque no protegen la navegación del usuario con HTTPS.
Es común en las webs de venta online fraudulenta, cuyo único objetivo es captar la atención del usuario con precios muy bajos y promociones para terminar robando los datos bancarios y personales de los usuarios, dejando de lado los aspectos.
-
Páginas con certificado SSL/TLS expirado: un certificado SSL/TLS inválido genera un mensaje de advertencia en la ventana del navegador. No quiere decir directamente que la navegación sea insegura, pero con esto, el objetivo de transmitir confianza y seguridad al usuario se pierde completamente.
Unido al riesgo del caso anterior, una web sin certificado SSL es más vulnerable a ataques informáticos. Al no estar la información encriptada, el cifrado de la web no es seguro y un atacante puede beneficiarse de esta brecha de seguridad.
-
Páginas con certificado SSL/TLS sin emisor de confianza: frente a la necesidad de adquirir un certificado SSL/TLS, a menudo algunas organizaciones eligen una alternativa gratuita: los certificados autofirmados, que son certificados firmados por la propia organización, en los que no se ha recurrido a emisores de certificados de confianza. Estos certificados muestran una notificación en el navegador de que el sitio no está protegido y, por consiguiente, no es seguro visitarlo sin realizar previamente las comprobaciones básicas, ya que son muy utilizados para fraudes online.
El riesgo de que el certificado no sea validado por un tercero de confianza añade riesgo a la navegación, ya que puede tratarse de una web fraudulenta que busca ganarse la confianza de los usuarios más despistados que, con ver el icono del candado, se confíen y caigan en la trampa.
-
Páginas cuyo certificado SSL/TLS es correcto, pero no aparece en todas las páginas de un dominio: suele darse en sitios web que solo tienen instalado el certificado en secciones determinadas, por ejemplo la de inicio de sesión o en la pasarela de pago.
El principal riesgo de estas webs es que fuera de las secciones que sí constan con certificado digital, los datos del usuario viajarán de forma insegura por Internet, al no cifrarse, y por tanto, un atacante podría monitorizar la actividad que circule en esas partes de la web y hacerse con la información.
-
Páginas con certificado SSL/TLS que usan algoritmos de cifrado vulnerables: este quizás sea el riesgo más difícil de percibir por el usuario. Aunque se puede identificar manualmente observando las propiedades de cifrado del algoritmo asociado al certificado, es una acción para usuarios avanzados. En la mayoría de los casos, los navegadores rechazarán la conexión si no satisface sus requerimientos mínimos de seguridad. Por eso es importante mantener actualizados los navegadores de Internet.
A fecha de marzo 2020, los algoritmos SSL1, SSL2, SSL3, TLS1.0 y TLS1.1 son considerados vulnerables. Es decir, los mecanismos de cifrado que emplean estos algoritmos no protegen nuestros datos y, aunque la web cuente con un certificado digital, los mecanismos de protección de nuestra información son vulnerables al ataque de un ciberdelincuente
Desde INCIBE queremos recordar que no todos los sitios web usan certificados SSL/TLS de manera adecuada, por eso debemos ser cuidadosos y seguir los siguientes pasos:
- Revisar que la URL comienza por HTTPS siempre que se vaya a intercambiar algún tipo de dato con la web, como datos bancarios o personales.
- Hacer clic sobre el icono del candado de la web para asegurarnos que la URL corresponde con la empresa que afirma ser y que no se trata de una suplantación (spoofing).
- Si tenemos dudas, podemos hacer una rápida búsqueda en Internet sobre la página y asegurarnos de que no se trata de una web fraudulenta.
Recuerda que tienes a tu disposición el teléfono gratuito y confidencial: 017 para cualquier duda o consulta relacionada con ciberseguridad. ¡Llámanos!
¿Tienes más dudas sobre la navegación segura con SSL/TLS y HTTPS? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.
