Todas las noticias son aptas para encriptar con HTTPS
Antes de facilitar tu número de tarjeta de crédito en un sitio web desconocido, es probable que (esperemos) compruebes que tu navegador muestra el icono del candado verde que significa que tu conexión con ese sitio utiliza HTTPS cifrado, lo que ayuda a evitar hackers y espías. Pero es probable que no apliques esa misma comprobación rutinaria del candado a sitios de noticias, a pesar del hecho de que la falta de cifrado de un medio de comunicación puede poner en peligro las fuentes de periodistas, exponer tus hábitos de lectura, e incluso permitir la censura y la manipulación de historias.
Ahora, un nuevo y actualizado constantemente ranking de sitios de cifrado realiza el registro de entrada para el internauta y puede ayudar a que más organizaciones de noticias aseguren mejor la navegación por sus páginas.
El jueves, la Freedom of the Press Foundation (Fundación de la Libertad de Prensa - FPF) puso en marcha Secure the News (Noticias Seguras), un proyecto que explora automáticamente más de un centenar de sitios web de medios y valora el uso del código.
La herramienta no se limita a comprobar si se cifran los sitios de noticias; También analiza la sintonía fina de su HTTPS, factores como si se implementa el cifrado resaltado por defecto y su vulnerabilidad a las llamadas desactualizaciones HTTPS que dejan de lado sus protecciones. Por ahora, es un informe sombrío: 75 de los 104 sitios recibieron una D o F, y sólo 4 recibieron una A por sus esfuerzos de cifrado.
El objetivo de esas duras calificaciones, dice el ingeniero de FPF, Garrett Robinson, es presionar a la mayoría de los sitios de noticias que no han considerado la aplicación de cifrado a agregarlo, e incentivar a aquellos que lo utilizan para hacer ajustes de seguridad que no serán nunca visibles para la mayoría de los visitantes.
"Estamos tratando de promover la adopción de las mejores prácticas para la seguridad digital por organizaciones de noticias con la intención de proteger la seguridad y privacidad de sus lectores, sus fuentes y sus empleados", dice Robinson. "Este debe ser el estándar para la web y para la industria de las noticias".
Todas las noticias son aptas para encriptar
La encriptación HTTPS se ha convertido en el estándar para cualquier sitio donde los visitantes entran en detalles de tarjeta de crédito o contraseñas. Sin ella, cualquier pirata informático desde una red Wi-Fi, tu proveedor de Internet o cualquier agencia gubernamental puede ver tus datos privados. Pero sigue siendo una actualización más dura y menos obvia para los medios de comunicación. En lugar de las páginas relativamente estáticas de los bancos y minoristas, los sitios de noticias a menudo publican páginas sobre la marcha a partir de una combinación de fuentes, incluidas las redes de publicidad sobre las que tienen poco o ningún control.
Para que un navegador considere un sitio HTTPS, todas esas piezas distintas deben estar encriptadas. Esto presenta un obstáculo significativo para que los sitios coloquen el candado de cifrado, incluso cuando lo quieren activamente. Cuando Vista al Mar, uno de nuestros sitios web, decidió implementar HTTPS en diciembre del año pasado, por ejemplo, el despliegue completo tardó cinco semanas, con un montón de inconvenientes en el camino. En la actualidad Vista al Mar, y los otros sitios web de esta organización tienen un ranking de A + (el más alto). El New York Times llamó a los sitios de noticias a moverse a HTTPS en 2014, pero todavía no han hecho el cambio. (En la actualidad sus tasas son de una D en la clasificación de Secure the News, escapando de una F sólo por poner HTTPS en frente de una dirección que redirige al sitio no cifrado).
Pero Robinson sostiene que vale la pena el esfuerzo el cifrado de las noticias. Evita que los fisgones sepan quien lee las noticias sobre temas específicos, sensibles, como las fugas de anuncios o problemas médicos. Protege las posibles fuentes o informantes que visitan las páginas de contacto de la prensa o hacen clic a través de las explicaciones de cómo utilizar las herramientas con fugas anónimas de un sitio como SecureDrop o GlobaLeaks. Y evita que intrusos manipulen las conexiones para insertar contenidos falsos, anuncios de malware, o para censurar las noticias específicas, como han hecho países como Irán y China. "Ellos tienen que elegir entre bloquear todo el sitio o no censurar en absoluto", dice Robinson. "Cuando los regímenes opresivos se enfrentan a esa elección, tienden a retroceder".
Un chequeo regular
Aparte de la mera oferta de una versión cifrada del sitio, Secure the News hace un escáner automatizado a través de los sitios y los puntúa en función de factores tales como si _ * que * _ versión cifrada _ * esta * _ el valor predeterminado visto por los visitantes o simplemente una opción, como en el caso del sitio de noticias de tecnología Gizmodo o Bostonglobe.com. Da felicitaciones adicionales a los sitios que protegen a los usuarios de las técnicas que hacen desaparecer cualquier cifrado HTTPS a través de un ataque que subrepticiamente hackea el navegador en la carga de la versión sin cifrar del sitio.
Ese hackeo se puede prevenir mediante el uso de una función de seguridad llamada Seguridad de transporte HTTPS estricta (HSTS) y en el mejor de los casos a través de una característica conocida como HSTS precargado, que asegura que sólo la versión HTTPS de carga un sitio a través de un bloqueador de acuerdo con el navegador web del usuario (ambos sistemas utilizasos en nuestros sitios - NOTA: Apañados.es no tiene HTTPS porque nuestro proveedor de Certificados Cifrados, Let"™s Encrypt, no acepta de momento en las URLs caracteres como la ñ).
El ranking Secure the News sólo se centra en la vigilancia de las noticias que no ofrecen esa característica de intercepción HSTS, ganándose el único grado A +. (Dos de los creadores del sitio, tal vez más que por coincidencia, también se sientam en la junta de la Freedom of the Press Foundation).
La industria de los medios de comunicación no está siendo identificada de forma única. 2016 ha sido, en muchos aspectos, el año de HTTPS: Google anunció que pronto castigará a cualquier sitio sensible que no sea HTTPS y que acepte contraseñas o tarjetas de crédito con una advertencia de "no seguro" en Chrome. El Centro para la Democracia y la Tecnología y el grupo comercial de la industria adulta de la Free Speech Coalition lanzó una iniciativa para fomentar la adopción de HTTPS en sitios de pornografía. Y la organización no lucrativa Let"™s Encrypt (la nuestra) ha ayudado a millones de sitios a hacer la transición a HTTPS ofreciendo "certificados" gratis, las claves de cifrado que permiten a los sitios iniciar conexiones seguras con los navegadores.
Y mientras que la gran mayoría de los sitios de medios populares, que van desde la CNN a NPR o el Wall Street Journal no superan hoy completamente las pruebas del sitio, Robinson dice que está siendo optimista acerca de que las principales organizaciones de noticias adoptarán el cifrado. Después de todo, sitios como el WashingtonPost.com y el Guardian.co.uk han hecho el cambio a HTTPS tan sólo el año pasado, y Robinson espera que a seguir más van. "Ahora parece un buen momento para lanzar esta cosa", dice Robinson. "Creo que la industria está empezando a recoger vapor". Y si su herramienta puede crear un poco de sana competencia entre los sitios de noticias para obligarles a cifrar, por lo tanto mejor para cada lector, la fuente y el reportero web.
