¿Sirven los certificados web?

Columna Tecnológica por José Miguel Santibáñez

Desde hace unos meses, los distintos navegadores (y no pocos antivirus) intentan advertir el “peligro” que significa visitar sitios que no cuentan con un “certificado de seguridad”, aquél que permite que al lado de la dirección (que ahora es https, en vez del clásico http) aparezca un lindo candado (en algunos casos verde) y que protegen la comunicación entre el servidor y el navegador (“¡que nadie le robe sus contraseñas!”).La preocupación no es menor. Hoy, el verdadero riesgo en la seguridad, son sitios maliciosos que han sido creados para robar contraseñas e instalar, de manera inadvertida por el usuario, software que hace que el computador entre a formar parte una de las llamadas “botnets”, es decir, una red que se activa de manera remota, para atacar sitios o mandar más correos que hagan caer a los usuarios para formar parte de esas “botnets”.

El certificado, ayuda a que la información transferida, sólo sea visible entre el navegador del usuario y el servidor. Pero hay de distintos tipos, y obviamente, de distintos costos. Los más completos incluyen la opción de desplegar, en la misma barra del navegador, información de la empresa dueña de dicho servicio, mientras que los más simples y gratuitos (como el que tenemos acá) sólo despliega el símbolo de “conexión segura”. Otros, aun menos formales, hacen que el navegador (y el antivirus) intenten evitarlos con mensajes al usuario, y sus sitios sólo pueden ser vistos si uno “comprende y acepta los riesgos de seguridad”.

¿Pero son suficiente garantía? Claramente ayudan. Si al conectarse a la página de su banco, no aparece el candado de seguridad, entonces quiere decir que algo malo pasó. Y la propuesta desde los navegadores (Chrome, Firefox, Edge, Safari) es que se demuestre, rápidamente, que no hay certificado (o que el certificado no es todo lo bueno que debiera). Las instituciones bancarias y del estado, ya han instalado sus certificados (cuya valides puede ser vista al hacer click sobre el candado). Pero siempre existe el riesgo que, por alguna vía no apropiada, aparezca software malicioso.

Otros sitios, como Facebook o Twitter, validan tanto la información del candado, así como la calidad de la instalación, así al publicar información de determinado sitio, puede aparece una “captura de pantalla” (si el certificado es bueno y está bien instalado) o sólo el enlace simple. De esta forma, pretenden que tanto desarrolladores, como usuarios, sean conscientes del estado de la seguridad de dichos sitios.

Las recomendaciones siguen siendo las mismas: no siga enlaces de dudosa procedencia, si el aviso de una factura le llegó por email, verifique que el enlace sea de la empresa que manda la factura. Y en caso de sospecha, hay sitios como https://any.run/ que permiten, de manera gratuita, verificar si un contenido es o no peligroso, antes de abrirlo.

En un mundo en que estamos cada vez más interconectados, los cuidados deben ser cada vez mayores. Es lamentable que, lo que una vez fue la “tierra soñada de la libertad”, aunque fuera virtual, hoy sea un espacio de peligro. Pero como dicen, “es lo que es”.

Deja un comentario