El protocolo HTTPS no garantiza la seguridad

Mucha gente da por hecho que una conexión HTTPS significa que una web es segura. Lo cierto es que los sitios maliciosos, especialmente los de phishing, usan cada vez más HTTPS.

Seamos sinceros, cuando vemos un candado verde acompañado de las palabras “Es seguro” a la izquierda del URL, pensamos que se trata de un sitio seguro. Lo mismo sucede cuando nos encontramos con la afirmación de que un sitio usa una conexión segura o una URL que empieza con las letras “https”. Cada vez más sitios se están cambiando a HTTPS, de hecho, algunos no tienen opción. ¿Cuál es el problema, entonces? Cuántos más sitios seguros haya, mejor, ¿no?

Vamos a contarte un pequeño secreto: estos símbolos de seguridad no garantizan que una página web esté protegida de todas las amenazas. Un sitio de phishing, por ejemplo, puede mostrar ese candado tranquilizador al lado de su dirección https. Entonces, ¿qué sucede? Averigüémoslo.

Una conexión segura no equivale a un sitio seguro

El candado verde significa que el sitio ha emitido un certificado y que, a raíz de ello, se han generado una pareja de claves cifradas. Estos sitios cifran la información transmitida entre el sitio y tú. En este caso, el URL de la página empieza por HTTPS, la última “s” es de “seguro”.

Por supuesto, cifrar los datos que se transmiten es algo bueno, ya que la información que se intercambia entre el navegador y el sitio no es accesible a terceros, como el proveedor de servicios, el administrador de red, los intrusos, etc. Esto te permite introducir tus contraseñas y los datos de tu tarjeta de crédito sin que haya fisgones de por medio.

Pero el problema es que el candado verde y el certificado emitido no dicen nada del sitio en concreto. Por lo que una página phishing puede conseguir un certificado sin problemas y cifrar todo el tráfico que se genera entre la página y tú.

En otras palabras, todos los candados verdes aseguran que nadie más puede espiar los datos que introduces. Pero tu contraseña aún puede robarse desde el mismo sitio, si este es falso.

Los estafadores hacen mucho uso de esto. Según Phishlabs, un cuarto de todos los ataques phishing de hoy en día se realizan en sitios HTTPS, hace dos años era menos del 1 %. Además, más del 80 % de los usuarios creen que la simple presencia de un candado verde y las palabras “Es seguro” junto a la URL significan que un sitio es seguro y, por lo tanto, no se lo piensan dos veces a la hora de introducir sus datos.

¿Y si el candado no es verde?

Si la barra de direcciones no muestra ningún candado, significa que la página web no cifra los datos, por lo que intercambia información con tu navegador mediante el estándar HTTP. Google Chrome ya ha empezado a categorizar estos sitios web como inseguros. Lo cierto es que el sitio puede llegar a ser seguro, pero no cifra el tráfico entre el servidor y tú. La mayoría de los sitios web no quieren que Google los etiquete como inseguros, así que cada vez son más los que migran a HTTPS. En cualquier caso, introducir datos sensibles en un sitio HTTP en una mala idea, cualquiera podría espiarte.

La segunda opción que puedes encontrar es el icono de un candado tachado con líneas rojas y las letras HTTPS marcadas en rojo. Esto significa que el sitio web tiene un certificado, pero no está verificado o ha vencido. Es decir, que la conexión entre el servidor y tú está cifrada, pero nadie puede garantizar que el dominio pertenezca a la compañía que se indica en el sitio. Esta situación es la más sospechosa, ya que normalmente estos certificados solo se usan a modo de prueba.

Por otro lado, si el certificado ha expirado y el propietario no ha podido renovarlo, los navegadores etiquetarán la página como insegura, pero de forma más visible, con un candado rojo de advertencia. En ese caso, considéralo un peligro real, evita estos sitios y, por supuesto, nunca introduzcas datos personales en ellos.

Cómo no picar el anzuelo

En resumen, la presencia de un certificado y el candado verde solo significa que los datos que se trasmiten entre el sitio y tú están cifrados y que el certificado ha sido expedido por una autoridad de certificados de confianza. Pero no avisa de si un sitio HTTPS es malicioso, algo que manipulan los estafadores de phishing con gran destreza.

Por ello debes estar siempre alerta, sin importarte lo seguro que pueda parecer un sitio a simple vista.

  • No introduzcas nunca nombres de usuarios, contraseñas, credenciales bancarias, o cualquier otra información personal en el sitio a no ser que estás totalmente seguro de su autenticidad. Para ello, comprueba siempre el nombre del dominio con mucha atención, ya que el nombre de un sitio falso puede diferenciarse solo por un carácter. Y asegúrate de que los enlaces son fiables antes de hacer clic en ellos.
  • Ten siempre en cuenta lo que ofrece un sitio, si parece sospechosos y si de verdad es necesario que te registres en él.
  • Asegúrate de que tus dispositivos están bien protegidos: Kaspersky Internet Security comprueba si las URL se encuentran en una extensa base de datos de sitios phishing y detecta estafas sin tener en cuenta lo “seguro” que puede parecer el sitio.
Consejos