¿El uso de SSL y HTTPS significan que un sitio es seguro?

No. Esto es un error común. La conexión a un sitio web que utiliza un certificado válido y el uso de HTTPS no significan que el sitio es seguro o puede ser de confianza. Los certificados y HTTPS están diseñados para asegurar la conexión a un servidor, no identifican quién está en control. Aunque nunca debería introducir datos en un sitio web que no usa HTTPS, solo porque un sitio muestra el candado seguro no significa que puede confiar automáticamente en él.

Cuando un visitante se conecta a un sitio web en Internet, los datos se transfieren a través de múltiples dispositivos informáticos a través de la red global. Se inicia con el ordenador de la persona (cliente) y va al proveedor de servicios de Internet (ISP), y varias otras empresas hasta que los paquetes de datos finalmente llegan al servidor final que hospeda el sitio web (host).

El propósito de los certificados y HTTPS es asegurar la conexión entre el cliente y el host para que alguien en el medio no pueda interceptar o manipular los datos. Esto evita que su ISP o cualquier persona que se encuentra entre el ordenador y el servidor final espié o acceda a los datos transferidos y recibidos. Esto es importante porque hoy usamos sitios web para varias actividades que requieren confianza, por ejemplo, al acceder a un servicio de banca en línea o mientras realiza el pago en un sitio web. Los datos de red deben ser protegidos para evitar la interceptación por terceros. Ese es el propósito de HTTPS y los certificados SSL, cifrar la conexión de un punto a otro en Internet.

Pero los certificados y el protocolo HTTPS no protegen los datos antes de que dejen el ordenador, y tampoco hacen nada del lado del servidor una vez que los datos han llegado. Si el equipo está comprometido con malware, o el servidor final que aloja el sitio fue hackeado, un atacante todavía puede robar los datos. Mientras que HTTPS protege la conexión una vez establecida, no hace nada para proteger al remitente o el extremo de los receptores. Un certificado en si no significa que un sitio web es confiable ya que cualquier persona puede obtener un certificado para un dominio. Un sitio web podría ser comprometido y tal vez el propietario no lo sabe. La mayoría de los sitios de phishing y páginas peligrosas de hoy ya utilizan certificados y HTTPS. El propósito del certificado es sólo para verificar que la conexión es válida para ese dominio específico. No dice quién es el propietario o si los datos transmitidos a dicho sitio web se utilizarán de manera aceptable y responsable.

Actualmente, sólo los certificados EV (Validación Extendida) verifican quién es el propietario de un sitio web ya que las autoridades de certificación toman pasos adicionales para comprobar quién solicita el certificado. Aunque los certificados EV no significan que un sitio web es seguro, al menos informan a los visitantes que una organización legal válida es responsable de un sitio. Esto evita que otros sitios intenten falsamente pretender ser el verdadero propietario. La mayoría de las instituciones financieras y marcas conocidas prefieren por dicha razón los certificados EV, ya que los navegadores realizan comprobaciones adicionales y muestran el nombre de la organización y el país en la barra de direcciones.

Compartir este artículo


Artículos Relacionados