La importancia de HTTPS y los datos sensibles

La importancia de HTTPS y los datos sensibles

Las compras por Internet y el Home Banking pasaron de ser una odisea de la década del 2000 a ser una rutina para la mayoría de la gente. Muchas personas no son conscientes de la seguridad de un sitio web, sin embargo se confían de sitios de compras populares. Detrás de la interfaz web, y en transparente a la transacción, está el protocolo HTTPS asegurando el curso de nuestros datos para prevenir que los intrusos nos roben la información. Pero para saber cómo nos protege, debemos aprender de qué se compone y cómo funciona.

El protocolo HTTPS no es más que el protocolo HTTP (Hyper Text Transfer Protocol) + SSL (Secure Sockets Layer) / TLS (Transport Layer Security). Esto significa: a la comunicación HTTP que se establece entre navegador y servidor (texto plano), se le aplica una capa de encriptación utilizando un certificado SSL/TLS.

Un certificado SSL es un documento digital con el cual un servidor comunica al navegador web una serie de datos propios para demostrar que el sitio está validado por una autoridad certificadora, firmado por esta misma. El navegador verifica con esta última si los datos son verídicos, y si todo es correcto, procede al proceso de encriptación (para esto, el certificado también posee una clave pública que se utiliza para el cifrado de los datos). En caso de que no se pueda validar que el sitio sea verídico, los datos se encriptarán de todas maneras, pero previamente seremos alertados de este inconveniente y debemos aceptar este aviso para poder continuar con la carga de la página.

¿Por qué es importante saber todo esto? Si estamos haciendo una compra por Internet, debemos introducir datos sensibles como número de documento, tarjeta de crédito, dirección y/o teléfono. Si el navegador no nos informa que la conexión está cifrada mediante un ícono de un candado en la URL, entonces hay que dar por hecho que estamos transmitiendo nuestra información de una manera plana; es decir, sin protección.

Por el contrario, si intentamos acceder a un sitio de compras públicamente conocido pero el navegador nos alerta que la conexión cifrada no está certificada por una autoridad válida, entonces es muy probable que estemos siendo víctimas de phishing. Esto es, hay otro sitio web falso que simula ser el que nosotros estamos tratando de acceder para luego robar nuestros datos. Para estos casos, puede haber algunos falsos positivos si la fecha y hora de la PC son erróneas o si hay algún problema en los certificados instalados en el sistema operativo. Ante la duda, siempre es mejor no continuar.

Fuente: Redacción Emanuel del Rivero

image_pdfimage_print