Las webs espa?olas inseguras que pronto ser¨¢n se?aladas por Google

Google muestra actualmente con un icono de un candado en color verde seguido de HTTPS aquellas URLs seguras que utilizan certificados TLS (seguridad de la capa de transporte) o SSL (capa de conexi¨®n segura). Las que no lo hacen, sencillamente, aparecen con un folio en blanco, que viene a decir que la conexi¨®n entre el usuario y el servidor no es privada.

Ahora, en un af¨¢n por promover los sitios cifrados, el gigante de internet pretende se?alar con un aspa roja no s¨®lo aquellas webs en las que detecte que existe alg¨²n tipo de problema con el certificado de seguridad, sino con el resto que considere que no cumplan con los requisitos m¨ªnimos.

La californiana no est¨¢ sola. La campa?a Encrypt All The Things busca erradicar de una vez por todas el tradicional protocolo HTTP y lleva tiempo presionando a empresas y organizaciones para que cifren sus datos. Mozilla y Apple tambi¨¦n han dado pasos en este sentido, e incluso el gobierno de Estados Unidos, el cual ha manifestado su intenci¨®n de que antes de que acabe este a?o todos los sitios web .gov incluyan por defecto el protocolo seguro.

La lista de p¨¢ginas webs en Espa?a que no cumplen con el m¨ªnimo exigido en cuanto al cifrado de datos se refiere es sorprendentemente extensa

El objetivo es mostrar con mayor claridad a los internautas que HTTP no es suficiente para proteger sus datos y que, en consecuencia, todo el mundo viaje por la web a trav¨¦s de un canal seguro.

A d¨ªa de hoy, Espa?a est¨¢ en las ant¨ªpodas de cumplir esta objetivo.

Espa?a suspende en protecci¨®n de datos

Desde la Administraci¨®n P¨²blica hasta los principales partidos pol¨ªticos, pasando por empresas, peque?os comercios e incluso los m¨¢s prestigiosos despachos de abogados. La lista de p¨¢ginas webs dentro de nuestras fronteras que no cumplen con el m¨ªnimo exigido en cuanto al cifrado de datos se refiere es sorprendentemente extensa. Un ejemplo lo tenemos en la web del Ministerio de Justicia, cuya home principal y la correspondiente a Atenci¨®n al Ciudadano directamente prescinden del HTTPS, pudiendo incluir el usuario su nombre, apellidos e incluso email mediante un protocolo inseguro. Ocurre lo mismo en la p¨¢gina de Cita Previa del Portal de Salud o el de Atenci¨®n al Ciudadano, ambas de la Comunidad de Madrid, por poner algunos ejemplos.

Los partidos pol¨ªticos tampoco se salvan. PP, PSOE y Podemos no utilizan protocolos seguros; la web de Ciudadanos es la ¨²nica de los cuatro partidos m¨¢s votados en las ¨²ltimas elecciones que utiliza un sistema de cifrado considerado seguro para comunicarse con los ciudadanos y afiliados.

Seg¨²n ha explicado a EL PA?S el abogado y socio del despacho Abanlex Pablo Fern¨¢ndez Burgue?o "los datos que el usuario transmite a trav¨¦s de las p¨¢ginas que empiezan por HTTP se env¨ªan por un conducto no cifrado. Eso significa que un ciberdelincuente podr¨ªa sustraerlos o modificarlos. Las p¨¢ginas que empiezan por HTTPS sin embargo, son m¨¢s seguras. Pero esto no quiere decir que lo sean del todo".

La S del HTTPS, explica el experto, indica que existe activo un sistema de cifrado que hace que los datos que se env¨ªan vayan cifrados desde el ordenador hasta el servidor de la empresa. Pero dentro de esta hay varios tipos en funci¨®n del sistema de cifrado que se utilice. "Actualmente, el ¨²nico considerado seguro es el SSL TLS 1.2. Todas las versiones anteriores est¨¢n obsoletas y, por lo tanto, son inseguras", a?ade.

Esto es lo que ocurre por ejemplo con webs como la de Cita Previa de la Comunidad de Madrid, que utiliza una versi¨®n obsoleta de HTTPS, algunos hospitales como el de San Rafael, comercios, grandes despachos de abogados e incluso, parad¨®jicamente, la Agencia Espa?ola de Protecci¨®n de Datos (AEPD).

Ocurre por ejemplo con webs como la de Cita Previa de la Comunidad de Madrid, algunos hospitales como el de San Rafael, comercios, grandes despachos de abogados e incluso, parad¨®jicamente, la Agencia Espa?ola de Protecci¨®n de Datos (AEPD)

La web de la AEPD utiliza un certificado SSL obsoleto. En concreto, la versi¨®n TLS 1.0. El sitio SSLLabs sin ir m¨¢s lejos, p¨¢gina web dedicada en cuerpo y alma a clasificar las p¨¢ginas en funci¨®n de su seguridad, le ha otorgado la peor nota (F). Siendo la A+ la m¨¢s alta.

En Espa?a tambi¨¦n existen multitud de p¨¢ginas que s¨ª cumplen con unos m¨ªnimos de seguridad. Este es el caso de webs como la de la Agencia Tributaria, cuya sede electr¨®nica utiliza el protocolo seguro, el Cuerpo Nacional de Polic¨ªa y, en general, los bancos y grandes superficies.

?Qu¨¦ riesgos conlleva navegar por estas webs?

El protocolo HTTPS se encarga de encriptar los datos intercambiados entre el usuario y el servidor web para que, pongamos por caso, un ciberdelincuente que se encuentre compartiendo la misma red p¨²blica en una cafeter¨ªa o un gobierno represivo no puedan sustraer informaci¨®n sensible.

Este protocolo tambi¨¦n garantiza que el usuario se encuentra en la p¨¢gina web que cree estar, y no en otra ficticia cuyo prop¨®sito sea el de suplantar su identidad. Una utilidad bastante pr¨¢ctica ya que existen muchos ejemplos de ataques de phishing utilizando p¨¢ginas web falsas como por ejemplo la de Correos, Starbucks o el mism¨ªsimo WhatsApp.

?Qu¨¦ implica no tenerlo? Seg¨²n Josep Albors, director de Comunicaci¨®n y Laboratorio de Eset, "que la informaci¨®n circule descubierta y pueda ser sustra¨ªda por cualquier ciberdelincuente. Los usuarios tienen que mentalizarse de que el protocolo HTTP es inseguro y un peligro real para la web en general".

La raz¨®n por la que muchas webs no hayan incorporado este protocolo no es econ¨®mica, porque adem¨¢s de no ser caro existen iniciativas como Let's Encrypt que lo ofrecen de forma gratuita.

Google no ha aclarado cu¨¢ndo incorporar¨¢ el aspa roja para denunciar a aquellas webs que no utilizan HTTPS por defecto, pero seg¨²n el medio Motherboard lo har¨¢ "pronto". Exactamente igual a como ya hizo con su servicio de correo electr¨®nico.