La mayoría de las personas que usan Internet ya saben que el ícono de candado en la barra de URL significa que el sitio es seguro, pero es posible que no se dé cuenta exactamente de lo que significa o cuán segura es su conexión con ese candado.
El candado es una indicación visual de que su conexión al sitio web se ha asegurado a través de HTTPS. HTTPS, o Hypertext Transfer Protocol Secure, es una versión del protocolo HTTP que utiliza cifrado para proteger sus datos de miradas indiscretas.
El cifrado es un proceso de cifrado de datos con un código y una clave de cifrado para que solo se puedan leer con la clave de descifrado. Puede pensar en ella como una caja fuerte, puede escribir un mensaje, bloquear la caja y luego solo alguien con la llave correcta puede abrir la caja para leer el mensaje. Esto mantiene sus datos a salvo de los piratas informáticos que intentan robar los datos de su cuenta.
Un dato clave que debe saber es que el cifrado y la seguridad HTTPS solo verifican que su conexión al sitio web que ingresó en la barra de URL sea segura. No implica que el sitio web sea seguro o que sea el sitio web que pretendía visitar. Muchos sitios web de phishing y malware están cambiando para usar HTTPS a medida que se vuelve más accesible, por lo que no es seguro confiar en cualquier sitio que use HTTPS.
Sugerencia: un sitio web de «phishing» intenta engañarlo para que envíe información confidencial, como la información de su cuenta, pretendiendo ser una página de inicio de sesión legítima. Los enlaces a sitios de phishing a menudo se envían por correo electrónico. Malware es un término genérico para «software malicioso» e incluye virus, gusanos, ransomware y más.
Nota: Nunca ingrese su nombre de usuario y contraseña u otra información confidencial como datos bancarios en una conexión insegura. Incluso si un sitio tiene un bloqueo y HTTPS, no significa que no deba tener cuidado al ingresar sus datos.
Herramientas para desarrolladores de Chrome
Para ver más información sobre su conexión segura, debe abrir la barra de herramientas para desarrolladores de Chrome. Puede hacer esto presionando F12 o haciendo clic derecho y seleccionando «Inspeccionar» en la parte inferior de la lista.
La barra de herramientas del desarrollador estará predeterminada en el panel «Elementos», para ver la información de seguridad necesaria para cambiar al panel «Seguridad». Si no es visible de inmediato, es posible que deba hacer clic en el icono de flecha doble en la barra de herramientas del desarrollador y luego seleccionar «Seguridad» desde allí.
Si no le gusta la barra de herramientas para desarrolladores adjunta a la derecha de la página, puede moverla hacia abajo, a la izquierda o moverla a una ventana separada haciendo clic en el icono de tres puntos en la parte superior derecha de la barra de herramientas para desarrolladores, luego seleccionando la opción preferida de la selección «Lado del muelle».
En la descripción general del panel de seguridad, hay tres secciones de información: Certificado, Conexión y Recursos. Estos cubren los detalles del certificado HTTPS, el cifrado utilizado para asegurar la conexión y los detalles si los recursos se sirvieron de manera insegura, respectivamente.
Certificados
La sección de certificado indica qué autoridad de certificación emitió el certificado HTTPS, si es válido y confiable, y le permite ver el certificado. Además de verificar que el sitio web al que se está conectando es administrado por la persona propietaria de la URL, el certificado no afecta directamente la seguridad de su conexión.
Consejo: los certificados HTTPS funcionan en un sistema de cadena de confianza. Se cree que numerosas autoridades de certificación raíz emiten certificados a los propietarios de sitios web, después de demostrar que son propietarios del sitio web. Este sistema está diseñado para evitar que los piratas informáticos generen certificados para sitios web que no son de su propiedad, ya que estos certificados no tendrán la cadena de confianza para regresar a una autoridad de certificación raíz.
Conexión
La sección «Conexión» describe en detalle el protocolo de cifrado, el algoritmo de intercambio de claves y el algoritmo de cifrado utilizado para cifrar los datos. El algoritmo de cifrado idealmente debería decir «TLS 1.2» o «TLS 1.3». TLS, o Transport Level Security, es el estándar para negociar configuraciones de cifrado.
Las versiones 1.3 y 1.2 de TLS son los estándares actuales y se consideran seguras. TLS 1.0 y 1.1 están en proceso de ser obsoletos y tienen algunas debilidades conocidas, aunque todavía son adecuadas desde el punto de vista de la seguridad.
Sugerencia: Desaprobado significa que se ha desaconsejado su uso y se están tomando medidas para eliminar el soporte.
Los predecesores de TLS fueron SSLv3 y SSLv2. Casi en ninguna parte ya se admite ninguna de estas opciones, ya que han quedado obsoletas por considerarse inseguras desde 2015 y 2011, respectivamente.
El siguiente valor es el algoritmo de intercambio de claves. Se utiliza para negociar de forma segura la clave de cifrado para su uso con el algoritmo de cifrado. Hay demasiados para nombrarlos, pero generalmente se basan en un protocolo de acuerdo clave llamado «Curva elíptica Diffe-Hellman Efímera» o ECDHE. No es posible determinar la clave de cifrado acordada sin utilizar un software de monitoreo de red de terceros y una configuración deliberadamente debilitada. No admitir explícitamente el acceso a esta información en el navegador significa que no se puede comprometer accidentalmente.
El valor final en la sección Conexión es el conjunto de cifrado que se utiliza para cifrar la conexión. De nuevo, hay demasiados para nombrarlos. Los cifrados generalmente tienen nombres de varias partes que pueden describir el algoritmo de cifrado utilizado, la fuerza del cifrado en bits y el modo utilizado.
En el ejemplo de AES-128-GCM como se muestra en la captura de pantalla anterior, el algoritmo de cifrado es AES o Estándar de cifrado avanzado, la fuerza es de 128 bits y se utiliza el modo de contador de Galois.
Consejo: 128 o 256 bits son los niveles más comunes de seguridad criptográfica. Significa que hay 128 o 256 bits de aleatoriedad que componen la clave de cifrado utilizada. Son 2 ^ 128 combinaciones posibles, o dos multiplicadas por sí mismas 128 veces. Como ocurre con todas las exponenciales, los números se vuelven muy grandes, muy rápido. El número de posibles combinaciones de claves de 256 bits es aproximadamente igual a algunas estimaciones de bajo nivel del número de átomos en el universo observable. Es inimaginablemente difícil adivinar una clave de cifrado correctamente, incluso con múltiples supercomputadoras y siglos de tiempo.
Recursos
La sección de recursos muestra todos los recursos de la página, como imágenes, scripts y hojas de estilo, que no se han cargado a través de una conexión segura. Si algunos activos se cargaron de forma insegura, esta sección se resaltará en rojo y proporcionará un enlace para mostrar el elemento o elementos específicos en el panel de red.
Idealmente, todos los activos deben cargarse de forma segura, ya que un pirata informático podría modificar cualquier activo inseguro sin su conocimiento.
Más información
Puede ver más información sobre cada dominio y subdominio que se ha subido utilizando la columna izquierda del panel. Estas páginas muestran más o menos la misma información que la descripción general, aunque se muestra la información de transparencia del certificado y algunos detalles adicionales de los certificados.
Consejo: La transparencia de certificados es un protocolo que se utiliza para contrarrestar algunos abusos históricos del proceso de emisión de certificados. Ahora es una parte obligatoria de todos los certificados recién emitidos y se utiliza para verificar aún más que el certificado es legítimo.
Ver la fuente le permite examinar cada uno de los dominios y subdominios que han cargado el contenido en la página, para que pueda revisar sus configuraciones de seguridad específicas.
