No es raro leer o escuchar recomendaciones sobre una navegación segura por internet. Mundo complejo y fascinante, y también lleno de peligros para quien no toma al menos un mínimo de precauciones. Sobre una de esas precauciones básicas vamos a hablar hoy.
En concreto, me refiero a la seguridad cuando introducimos datos. La mayoría tenemos claro que no hemos de poner datos bancarios o de tarjetas en páginas no seguras (sin https). Pero no nos resulta tan obvio cuando lo hacemos extensivo a cualquier dato de índole personal. Hablamos de datos de contacto, nombre, apellido, email, teléfono, etc. Muchas veces nos registramos para recibir un boletín, una información, un servicio, un obsequio… poniendo nuestros datos de contacto. O simplemente rellenamos un formulario de contacto para contactar con los de la web en la que estamos, o para preguntarles o pedirles algo. En estos casos no es tan habitual que miremos si dicha página es segura o no. ¡Pero deberíamos igualmente hacerlo!
El peligro: los datos viajan «en abierto» si el sitio no es https
Ocurre que, en caso de no ser una web segura, nuestros datos van a viajar «en abierto», siendo muy facilmente interceptables «por el camino». ¿Quién lo hace? gente que busca información de terceras personas para comerciar con ella, enviar spam, generar listas ilegales que luego venden, etc. Por ello deberíamos tener especial cuidado de comprobar la seguridad de las webs en las que vamos a introducir cualquier dato nuestro.
Cuando hablamos ser segura, en este caso nos referimos a que al menos ha de ser https en lugar de sólo http. Esto no garantiza tampoco una seguridad al 100%; pero al menos sabemos que los datos van a viajar cifrados y protegidos desde nuestro ordenador al servidor de destino. En el caso de páginas sólo http, esos datos viajan, como hemos dicho anteriormente, totalmente «en abierto». Es como en el ejemplo de los coches. Por supuesto que hay ladrones que saben abrir coches cerrados; pero no por eso dejamos de cerrar con llave. En nuestro caso, «cerrar con llave» sería el equivalente a que la web sea https.
¡Pero si hay muchísimos sitios sin https!
En este momento nos llevamos las manos a la cabeza. Pensamos, no sólo en las veces que hemos podido introducir datos en sitios sólo http, sino en la gran cantidad de formularios que se nos ofrecen sin ser https. Todavía muchos propietarios de sitios web no están mentalizados sobre la necesidad, hoy día, de ofrecer sitios https.
Siendo así las cosas, puede afectar igual a sitios grandes o pequeños. ¡Aunque sean sencillos blogs! Y no sólo los propietarios no están mentalizados. Tampoco muchos desarrolladores web prestan mayor atención a este tema, y no avisan a sus clientes sobre esta circunstancia.
Incluso algunos servicios que tienen cierta fama y prestigio, todavía no se ofrecen como https. Recientemente hemos encontrado uno de ellos: Mailrelay. Esta plataforma de e-mailing no implementa todavía de forma adecuada esta capa básica de seguridad. Por esta razón, actualmente no la recomendamos a nuestros clientes, en espera de que solucionen esta deficiencia (el servicio en sí es excelente).
Resumiendo, para una navegación segura por internet tendremos que (entre otras cosas):
- Si somos usuarios de internet, habremos de evitar introducir datos personales o sensibles en cualquier sitio web que no figure como https. Eso lo podemos ver facilmente en la cabecera del navegador, donde vemos el enlace de la página que estamos visitando.
- Si somos propietarios de una web que incluye algún tipo de formulario de contacto o de suscripción, además de las declaraciones legales sobre protección de datos que incluyamos, esa página habrá de estar publicada como https.
- Si somos desarrolladores web, tenemos la responsabilidad de plantear este requerimiento a nuestros clientes, y sólo publicar sitios https.
¿Difícil? ¿Caro? Hace no tanto tiempo, tener un certificado digital que haga https nuestro portal era muy caro, desde unos 70-80 € al año. Hoy día ya no, desde que existe el certificador gratuito LetsEncrypt, del que hemos hablado en esta otra entrada anterior del blog. Surgió precisamente para atender a esta necesidad que también los sitios pequeños tienen en este sentido. Por supuesto, para quienes puedan permitírselo, siguen estando los certificadores clásicos de pago. ¡Soluciones diversas para todos los bolsillos y todas las necesidades! Ya no hay excusa para tener un sitio web sin https, y así lo hemos de demandar todos los usuarios de internet.
Gracias y enhorabuena!!!!
Eres un crack
Josean