Https: seguridad en la web

Tips para navegar de forma segura en la web.

Tomado de Etny

Algunas pistas correspondientes a la conexión entre el cliente y el servidor no son cubiertas por el HTTPS

Para acceder a recursos online, nuestra computadora debe establecer comunicación con otros sistemas mediante protocolos que definen la interconexión de los equipos en una red.

Los servidores de la Web entregan documentos hipermedia a los usuarios que solicitan sus servicios a través de navegadores (ej: Firefox, Chrome, Internet Explorer, Safari, Opera) y otros programas que pueden mantener una conversación mediante el Protocolo para la Transferencia de Hipertexto (HTTP). Como ocurre con los diálogos comunes, el mensaje puede ser interceptado si la interlocución entre el destinatario y el remitente se encuentra comprometida.

El HTTP es inseguro: traslada información por la red sin camuflar el contenido. Un intruso podría escuchar e incluso fabricar transmisiones falsas que posibilitarían el robo de credenciales, sesiones de usuario, suplantación de identidad y el acceso a datos confidenciales, poniendo en peligro la seguridad de un individuo, empresa o gobierno.

En 1994, cinco años después de que el HTTP fuese concebido por Tim Berners-Lee, los ingenieros de Netscape Communications desarrollaban para su navegador un mecanismo destinado a encriptar datos antes de ser enviados a través de dicho protocolo y desencriptarlos justo al recibirlos.

Tras proponerse un par de mejoras técnicas al consecuente Protocolo para la Transferencia Segura de Hipertexto (HTTPS), la Web dispuso de un canal cifrado por el cual transmitir información sensible a través de redes públicas, sin estar sujeto a ataques potenciales. Es decir, que si una persona fuese capaz de interceptar los paquetes transferidos entre el cliente y el servidor web, no podría descifrar ni suplantar el contenido del mensaje.

Anatomía del protocolo HTTPS

Al realizar una solicitud HTTP sobre TLS (protocolo criptográfico que provee seguridad a las interconexiones entre computadoras), se logra establecer un enlace HTTPS con el servidor web que se encuentra al otro lado de la red. Los navegadores efectúan esa acción de forma automática si la dirección de un recurso web tiene el prefijo https:// en lugar del correspondiente al protocolo HTTP.

La seguridad es como una balanza porque el tráfico cifrado carga con el peso adicional de las llaves criptográficas y los certificados de autenticación para garantizar la privacidad e integridad de los datos y por ambos lados de la red es mucho más costoso decodificar bytes encriptados, que recibir el mensaje en su estado original.

No obstante, aunque se requiere de mayor ancho de banda y capacidad de procesamiento por parte del cliente y del servidor, las prestaciones de hardware y la infraestructura de red actuales soportan sin inconvenientes este mecanismo de seguridad.

Algunas pistas correspondientes a la conexión entre el cliente y el servidor no son cubiertas por el HTTPS. Las direcciones IP para localizar a los equipos involucrados en la transferencia forman parte de los datos inherentes a otras capas de la red. Es decir, una tercera persona no podría saber qué se está transmitiendo, pero sí desde dónde y hacia dónde viaja la información encriptada.

¿Navegando de forma segura?

Ilustración 1. Conexión a www.google.com desde Chrome

Históricamente, las conexiones HTTPS han ofrecido respaldo a las transacciones en línea, la autenticación por contraseña y al envío de mensajes confidenciales. La tendencia de los proveedores de aplicaciones web ha evolucionado hacia la protección de toda la actividad del cliente, especialmente en el entorno de redes públicas (ej: Internet) e inseguras (redes Wi-fi sin encriptación).

Los usuarios de Google, Facebook, Twitter y de un creciente número de empresas que ofrecen acceso cifrado por defecto tienen la garantía de interactuar con sus servicios sin que nadie que intercepte la comunicación por el camino pueda comprender el mensaje. Aunque una vez desencriptados los datos, su seguridad informática queda en manos de los mecanismos de protección del sistema operativo del cliente, para obstaculizar la actividad de posibles intrusos o programas malignos que pudieran hacer uso incorrecto de la información.

A pesar de las vulnerabilidades ajenas al alcance de los protocolos de red, el empleo de conexiones seguras minimiza el riesgo de perjuicios a la privacidad o autenticidad del contenido. No todos los servidores web están configurados para cifrar datos de forma predeterminada. De hecho, algunos ni siquiera soportan el uso de protocolos criptográficos.

La Electronic Frontier Foundation, en su afán de promover un “mundo ideal, [donde] cada solicitud web podría ser trasladada a HTTPS”, ofrece una extensión a los navegadores Chrome y Firefox denominada HTTPS Everywhere, que corrige algunos problemas de seguridad conocidos y activa automáticamente dicho protocolo cuando se visitan los sitios más populares de la Web.

La incorporación del uso permanente del HTTPS en los hábitos de navegación del usuario de Internet puede influir positivamente en la calidad de los servicios y en la protección de una comunicación a la que sólo los autorizados deberían acceder.

Normas para comentar:

  • Los comentarios deben estar relacionados con el tema propuesto en el artículo.
  • Los comentarios deben basarse en el respeto a los criterios.
  • No se admitirán ofensas, frases vulgares ni palabras obscenas.
  • Nos reservamos el derecho de no publicar los comentarios que incumplan con las normas de este sitio.