Hoy en día con la gran proliferación de tiendas virtuales que comenzaron a crearse tras la pandemia, también lo hicieron la implementación de certificados de seguridad HTTPS, dado que la mayoría de las entidades bancarias y paquetes de software de tiendas online lo exigen. La implementación de este protocolo da a los desarrolladores web una falsa sensación de seguridad ya que su nombre «HTTP Seguro» da la impresión de que se trata de un mecanismo todo poderoso que hace que nuestras webs estén bajo un escudo protector, cosa que en realidad no es.
Cuando entramos a una página que cuenta con HTTPS nos damos cuenta rápidamente porque el «candadito» de nuestro navegador se cierra, indicando así que la comunicación es segura.
Resalte intencionalmente «comunicación segura» porque esto es justamente lo que hace e protocolo HTTPS, nos brinda la seguridad de que estamos conectados con un servidor de confianza, que es quien en realidad dice ser, y que en medio de esta comunicación no existe ningún intruso capturando datos como usuarios, contraseñas, o lo que es peor números de tarjetas de crédito.
Este protocolo impide dos tipos de cyber estafas muy conocidas por los expertos en seguridad informática que son las llamadas «Man in the Middle» y la «Suplantación de identidad».
La suplantación de identidad es el acto de disfrazar una comunicación de una fuente desconocida como una fuente conocida y confiable. Por ejemplo una persona con malas intensiones me puede dirigir a una página muy similar a la de mi banco para que yo deje en ella mis datos de acceso personal, cuando en realidad se trata de una página estéticamente idéntica pero con un funcionamiento «non sacto».
Por otro lado «Man in the Middle» tiene también como finalidad el robo de información pero en este caso el acto se parece mas al de «pinchar» una linea telefónica. En estos casos el atacante utiliza un software especial que redirige hacia él mismo toda la información que nosotros enviamos a un servidor, por ejemplo cuando estamos haciendo alguna operación de comercio electrónico.
A quedarse tranquilos, HTTPS se encarga con mucha eficiencia de evitar estos delitos mediante la encriptación de información con un esquema de llaves públicas y privadas, apoyándose para esto sobre otro protocolo de seguridad informática llamado SSL.
Si nuestra web maneja información personal de nuestros clientes, asociados o usuarios es totalmente esencial que implementen tecnologías HTTPS mediante certificados digitales SSL, para brindar confianza y proteger la información que circula por la red.
¿Puede ser entonces mi sitio web atacado si tiene un certificado HTTPS? Claro que si! HTTPS solo da confianza en la comunicación de datos, si tu sitio web tiene alguna vulnerabilidad en su implementación, puede ser accedida igualmente y en la mayoría de los casos infectada.
