{"id":15135,"date":"2018-01-17T12:54:46","date_gmt":"2018-01-17T10:54:46","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=15135"},"modified":"2018-01-18T15:08:23","modified_gmt":"2018-01-18T13:08:23","slug":"https-does-not-mean-safe","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/https-does-not-mean-safe\/15135\/","title":{"rendered":"El protocolo HTTPS no garantiza la seguridad"},"content":{"rendered":"

Seamos sinceros, cuando vemos un candado verde acompa\u00f1ado de las palabras \u201cEs seguro\u201d a la izquierda del URL, pensamos que se trata de un sitio seguro. Lo mismo sucede cuando nos encontramos con la afirmaci\u00f3n de que un sitio usa una conexi\u00f3n segura o una URL que empieza con las letras \u201chttps\u201d. Cada vez m\u00e1s sitios se est\u00e1n cambiando a HTTPS, de hecho, algunos no tienen opci\u00f3n. \u00bfCu\u00e1l es el problema, entonces? Cu\u00e1ntos m\u00e1s sitios seguros haya, mejor, \u00bfno?<\/p>\n

\"\"<\/p>\n

Vamos a contarte un peque\u00f1o secreto: estos s\u00edmbolos de seguridad no garantizan que una p\u00e1gina web est\u00e9 protegida de todas las amenazas. Un sitio de phishing<\/i>, por ejemplo, puede mostrar ese candado tranquilizador al lado de su direcci\u00f3n https. Entonces, \u00bfqu\u00e9 sucede? Averig\u00fc\u00e9moslo.<\/p>\n

Una conexi\u00f3n segura no equivale a un sitio seguro<\/h3>\n

El candado verde significa que el sitio ha emitido un certificado y que, a ra\u00edz de ello, se han generado una pareja de claves cifradas. Estos sitios cifran la informaci\u00f3n transmitida entre el sitio y t\u00fa. En este caso, el URL de la p\u00e1gina empieza por HTTPS, la \u00faltima \u201cs\u201d es de \u201cseguro\u201d.<\/p>\n

Por supuesto, cifrar los datos que se transmiten es algo bueno, ya que la informaci\u00f3n que se intercambia entre el navegador y el sitio no es accesible a terceros, como el proveedor de servicios, el administrador de red, los intrusos, etc. Esto te permite introducir tus contrase\u00f1as y los datos de tu tarjeta de cr\u00e9dito sin que haya fisgones de por medio.<\/p>\n

Pero el problema es que el candado verde y el certificado emitido no dicen nada del sitio en concreto. Por lo que una p\u00e1gina phishing<\/i> puede conseguir un certificado sin problemas y cifrar todo el tr\u00e1fico que se genera entre la p\u00e1gina y t\u00fa.<\/p>\n

En otras palabras, todos los candados verdes aseguran que nadie m\u00e1s<\/i> puede espiar los datos que introduces. Pero tu contrase\u00f1a a\u00fan puede robarse desde el mismo sitio, si este es falso.<\/p>\n

Los estafadores hacen mucho uso de esto. Seg\u00fan Phishlabs<\/a>, un cuarto de todos los ataques phishing<\/i> de hoy en d\u00eda se realizan en sitios HTTPS, hace dos a\u00f1os era menos del 1 %. Adem\u00e1s, m\u00e1s del 80 % de los usuarios creen<\/a> que la simple presencia de un candado verde y las palabras \u201cEs seguro\u201d junto a la URL significan que un sitio es seguro y, por lo tanto, no se lo piensan dos veces a la hora de introducir sus datos.<\/p>\n

\u00bfY si el candado no es verde?<\/h3>\n

Si la barra de direcciones no muestra ning\u00fan candado, significa que la p\u00e1gina web no cifra los datos, por lo que intercambia informaci\u00f3n con tu navegador mediante el est\u00e1ndar HTTP. Google Chrome ya ha empezado a categorizar estos sitios web como inseguros. Lo cierto es que el sitio puede llegar a ser seguro, pero no cifra el tr\u00e1fico entre el servidor y t\u00fa. La mayor\u00eda de los sitios web no quieren que Google los etiquete como inseguros, as\u00ed que cada vez son m\u00e1s los que migran a HTTPS. En cualquier caso, introducir datos sensibles en un sitio HTTP en una mala idea, cualquiera podr\u00eda espiarte.<\/p>\n

La segunda opci\u00f3n que puedes encontrar es el icono de un candado tachado con l\u00edneas rojas y las letras HTTPS marcadas en rojo. Esto significa que el sitio web tiene un certificado, pero no est\u00e1 verificado o ha vencido. Es decir, que la conexi\u00f3n entre el servidor y t\u00fa est\u00e1 cifrada, pero nadie puede garantizar que el dominio pertenezca a la compa\u00f1\u00eda que se indica en el sitio. Esta situaci\u00f3n es la m\u00e1s sospechosa, ya que normalmente estos certificados solo se usan a modo de prueba.<\/p>\n

Por otro lado, si el certificado ha expirado y el propietario no ha podido renovarlo, los navegadores etiquetar\u00e1n la p\u00e1gina como insegura, pero de forma m\u00e1s visible, con un candado rojo de advertencia. En ese caso, consid\u00e9ralo un peligro real, evita estos sitios y, por supuesto, nunca introduzcas datos personales en ellos.<\/p>\n

C\u00f3mo no picar el anzuelo<\/h3>\n

En resumen, la presencia de un certificado y el candado verde solo significa que los datos que se trasmiten entre el sitio y t\u00fa est\u00e1n cifrados y que el certificado ha sido expedido por una autoridad de certificados de confianza. Pero no avisa de si un sitio HTTPS es malicioso, algo que manipulan los estafadores de phishing<\/i> con gran destreza.<\/p>\n

Por ello debes estar siempre alerta, sin importarte lo seguro que pueda parecer un sitio a simple vista.<\/p>\n