HTTPS es conocido como el icono del candado en la barra de direcciones o una conexión a un sitio web encriptado. Aunque alguna vez se reservó principalmente para contraseñas y otros datos confidenciales, la web está dejando atrás gradualmente HTTP y cambiando a HTTPS.
La "S" en HTTPS significa "Seguro". Es la versión segura del “protocolo de transferencia de hipertexto” estándar que utiliza su navegador web cuando se comunica con sitios web.
Cómo HTTP lo pone en riesgo
Cuando usted se conecta a un sitio web que usa HTTP normal, su navegador busca la dirección IP que corresponde al sitio web, se conecta a esa dirección IP y asume que está conectado al servidor web correcto. Los datos se envían a través de la conexión en texto plano. Un interceptor en una red WiFi, su proveedor de servicios de Internet o agencias gubernamentales de inteligencia pueden ver las páginas web que está visitando y los datos que está transfiriendo de un lado a otro.
HTTP implica grandes problemas. Por un lado, no hay forma de verificar que está conectado al sitio web correcto. Tal vez piense que accedió al sitio web de su banco, pero está en una red comprometida que lo redirige a un sitio web de impostores. Las contraseñas y los números de tarjetas de crédito nunca deben enviarse a través de una conexión HTTP, si esto se hace un intruso podría robarlos fácilmente.
Estos problemas ocurren porque las conexiones HTTP no están encriptadas. Las conexiones HTTPS son encriptadas.
Cómo funciona el cifrado HTTPS
HTTPS es mucho más seguro que HTTP. Cuando se conecta a un servidor a traves de HTTPS, (los sitios seguros como el de su banco lo redirigirán automáticamente a HTTPS), su navegador web verifica el certificado de seguridad del sitio web y verifica que fue emitido por una autoridad de certificación legítima. Esto le ayuda a asegurarse de que, si ve "https://banco.com" en la barra de direcciones de su navegador web, es porque realmente esté conectado al sitio web real de su banco. La empresa que emitió el certificado de seguridad garantiza su autenticidad. Lamentablemente, las autoridades de certificación a veces emiten certificados erróneos y el sistema se rompe. Aunque no es perfecto, HTTPS sigue siendo mucho más seguro que HTTP.
Cuando envía información confidencial a través de una conexión HTTPS, nadie puede interceptarla cuando viaja a través de la red. HTTPS es la que hace posible la seguridad de la banca y las compras en línea.
También proporciona privacidad adicional para la navegación web normal. Por ejemplo, el motor de búsqueda de Google ahora está predeterminado para conexiones HTTPS. Esto significa que las personas no pueden ver lo que estás buscando en Google.com. Lo mismo ocurre con Wikipedia y otros sitios. Anteriormente, cualquier persona en la misma red WiFi podría ver sus búsquedas, al igual que su proveedor de servicios de Internet.
¿Por qué todo el mundo quiere dejar atrás HTTP?
HTTPS originalmente estaba destinado a contraseñas, pagos y otros datos confidenciales, pero ahora toda la web se está moviendo hacia ella.
En cualquier pais, los proveedores de servicios de Internet pueden espiar en el historial de navegación web de sus usuarios y pueden venderlo a los anunciantes. Sin embargo, si la web se traslada a HTTPS, su proveedor de servicios de Internet no puede ver la mayor parte de esos datos, sólo puede ver que se está conectando a un sitio web específico, en lugar de a las páginas individuales que está viendo. Esto significa mucha más privacidad para su navegación.
Peor aún, HTTP permite que su proveedor de servicios de Internet altere las páginas web que está visitando, si así lo desea. Podrían agregar contenido a la página web, modificar la página o incluso eliminar cosas. Por ejemplo, los ISP podrían usar este método para inyectar más anuncios en las páginas web que visita. HTTPS evita que los ISP y cualquier otra persona que maneje una red manipulen páginas web como estos ISP.
Y, por supuesto, es imposible hablar de encriptación en la web sin mencionar a Edward Snowden. Los documentos filtrados por Snowden en 2013 mostraron que el gobierno de los Estados Unidos está monitoreando las páginas web visitadas por usuarios de Internet en todo el mundo. Esto prendío las alarmas en muchas empresas de tecnología para avanzar hacia una mayor encriptación y privacidad. Al pasar a HTTPS, los gobiernos de todo el mundo tienen más dificultades para ver sus hábitos de navegación.
Cómo los navegadores están animando a los sitios web a dejar a un lado HTTP
Debido a este deseo de pasar a HTTPS, todos los nuevos estándares diseñados para hacer que la web sea más rápida requieren cifrado HTTPS. HTTP/2 es una nueva versión principal del protocolo HTTP admitido en todos los principales navegadores web. Agrega compresión, canalización y otras características que ayudan a que las páginas web se carguen más rápido. Todos los navegadores web requieren que los sitios utilicen el cifrado HTTPS si desean estas nuevas y útiles funciones HTTP/2. Los dispositivos modernos también tienen hardware dedicado para procesar el cifrado AES que requiere HTTP. Esto significa que HTTPS debería ser más rápido que HTTP.
Mientras que los navegadores hacen que el HTTPS sea atractivo con las nuevas funciones, Google hace que el HTTP sea poco atractivo al penalizar a los sitios web por su uso. Google marca los sitios web que no usan HTTPS como inseguros en Chrome, y Google prioriza los sitios web que usan HTTPS en los resultados de búsqueda de Google. Esto proporciona un fuerte incentivo para que los sitios web migren a HTTPS.
Cómo verificar si está conectado a un sitio web mediante HTTPS
Puede saber que está conectado a un sitio web con una conexión HTTPS si la dirección en la barra de direcciones de su navegador web comienza con "https://". También verá un icono de candado en el que puede hacer clic para obtener más información sobre la seguridad del sitio web.
Esto se ve un poco diferente en cada navegador, pero la mayoría de los navegadores tienen en común el icono https:// y el icono de candado. Algunos navegadores ahora ocultan el "https://" de forma predeterminada, por lo que solo verá un icono de candado junto al nombre de dominio del sitio web. Sin embargo, si hace clic o toca dentro de la barra de direcciones, verá la parte "https://" de la dirección.
Si está utilizando una red desconocida y se conecta al sitio web de su banco, asegúrese de ver el HTTPS y la dirección correcta del sitio web. Esto le ayuda a asegurarse de estar realmente conectado al sitio web del banco. Si no ve un indicador HTTPS en la página de inicio de sesión, puede estar conectado a un sitio web de impostores en una red comprometida.
Cuidado con los trucos de phishing
La presencia de HTTPS en sí no es una garantía de que un sitio sea legítimo. Algunos phishers inteligentes se han dado cuenta de que las personas buscan el indicador HTTPS y el ícono de bloqueo, y pueden hacer todo lo posible para disfrazar sus sitios web. Por lo tanto, aún debes tener cuidado: no hagas clic en los enlaces en los correos electrónicos de phishing, o puedes encontrarte en una página disfrazada de manera inteligente. Los estafadores también pueden obtener certificados para sus servidores de estafa. En teoría, solo se les impide hacerse pasar por sitios que no son de su propiedad. Puede ver una dirección como https://google.com.365.com. En este caso, estás usando una conexión HTTPS, pero realmente estás conectado a un subdominio de un sitio llamado 365.com, no a Google.
Otros estafadores pueden imitar el ícono del candado, cambiando el favicon de su sitio web que aparece en la barra de direcciones a un candado para intentar engañarlo. Esté atento a estos trucos cuando compruebe su conexión a un sitio web.
