Un sitio HTTPS "seguro" podría estar lleno de malware o ser un sitio de phishing falso

La mayor parte del tráfico web en línea se envía ahora a través de una conexión HTTPS, lo que lo hace "seguro". De hecho, Google advierte ahora que los sitios HTTP sin cifrar son "No seguros". Entonces, ¿por qué todavía hay en línea tanto malware, phishing y otras actividades peligrosas?

Los sitios "seguros" solo tienen una conexión segura

conexión segura HTTPS en apañados,es

Chrome solía mostrar la palabra "Seguro" y un candado verde en la barra de direcciones cuando se visitaba un sitio web usando HTTPS. Las versiones modernas de Chrome simplemente tienen aquí un pequeño ícono de candado gris, sin la palabra "Seguro".

Eso se debe en parte a que HTTPS ahora se considera el nuevo estándar de referencia. Todo debe ser seguro de forma predeterminada, por lo que Chrome solo advierte que una conexión es "No segura" cuando se accede a un sitio a través de una conexión HTTP.

Sin embargo, la palabra "Seguro" también desapareció porque era un poco engañosa. Parece que Chrome respondiese por el contenido del sitio como si todo en esta página fuera "seguro". Pero eso no es cierto en absoluto. Un sitio HTTPS "seguro" podría estar lleno de malware o ser un sitio de phishing falso.

HTTPS detiene el espionaje y la manipulación

conexión no segura

HTTPS es genial, pero no hace que todo sea seguro. HTTPS son las siglas de Hypertext Transfer Protocol Secure. Es como el protocolo HTTP estándar para conectarse a sitios web, pero con una capa de cifrado seguro.

Esta encriptación evita que las personas espíen los datos en tránsito y detiene los ataques de intermediarios que pueden modificar el sitio web a medida que se envía. Por ejemplo, nadie puede espiar los detalles de pago que envías al sitio web.

En resumen, HTTPS garantiza que la conexión entre tu y ese sitio web en particular sea segura. Nadie puede escuchar a escondidas o manipularlo. Eso es.

Esto no significa que un sitio sea realmente "seguro"

HTTPS es genial y todos los sitios web deberían usarlo. Sin embargo, todo lo que significa es que se está utilizando una conexión segura con ese sitio web en particular. La palabra "Seguro" no dice nada sobre el contenido de ese sitio web. Todo lo que significa es que el operador del sitio web ha comprado un certificado y ha configurado el cifrado para asegurar la conexión.

Por ejemplo, un sitio web peligroso lleno de descargas maliciosas puede enviarse a través de HTTPS. Todo eso significa que el sitio web y los archivos que descarga se envían a través de una conexión segura, pero es posible que no sean seguros.

De manera similar, un delincuente podría comprar un dominio como "bankoamerica.com", obtener un certificado de encriptación SSL e imitar el sitio web real de Bank of America. Este sería un sitio de phishing con el candado "seguro", pero lo único que significa es que tiene una conexión segura a ese sitio de phishing.

HTTPS sigue siendo genial

A pesar de las frases que los navegadores han utilizado durante años, los sitios HTTPS no son realmente "seguros". El cambio de sitios web a HTTPS ayuda a resolver algunos problemas, pero no acaba con el flagelo del malware, el phishing, el spam, los ataques a sitios vulnerables ni otras estafas en línea.

¡El cambio hacia HTTP sigue siendo excelente para Internet! Según las estadísticas de Google, el 80% de las páginas web cargadas en Chrome en Windows se cargan a través de HTTPS. Y los usuarios de Chrome en Windows pasan el 88% de su tiempo de navegación en sitios HTTPS.

Esta transición dificulta que los delincuentes espíen datos personales, especialmente en redes Wi-Fi públicas u otras redes públicas. También minimiza en gran medida las probabilidades de que te encuentres con un ataque de intermediario (man-in-the-middle) en una red Wi-Fi pública u otra red.

Por ejemplo, supongamos que estás descargando el archivo .exe de un programa desde un sitio web mientras está conectado a una red Wi-Fi pública. Si estás conectado con HTTP, el operador de Wi-FI podría alterar la descarga y enviarte un archivo .exe malicioso diferente. Si estás conectado con HTTPS, la conexión es segura y nadie puede alterar la descarga de tu software.

¡Es una gran victoria! Pero no es una solución milagrosa. Aún debes utilizar prácticas básicas de seguridad en línea para protegerte del malware, detectar sitios de phishing y evitar otros problemas en línea.