Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete

Las webs españolas inseguras que pronto serán señaladas por Google

La compañía va a indicar con un aspa roja aquellas webs en las que detecte que existe algún tipo de problema con el certificado de seguridad, y las que considere que no cumplan con los requisitos mínimos

El 'https' indica que una web es segura.

Google muestra actualmente con un icono de un candado en color verde seguido de HTTPS aquellas URLs seguras que utilizan certificados TLS (seguridad de la capa de transporte) o SSL (capa de conexión segura). Las que no lo hacen, sencillamente, aparecen con un folio en blanco, que viene a decir que la conexión entre el usuario y el servidor no es privada.

Ahora, en un afán por promover los sitios cifrados, el gigante de internet pretende señalar con un aspa roja no sólo aquellas webs en las que detecte que existe algún tipo de problema con el certificado de seguridad, sino con el resto que considere que no cumplan con los requisitos mínimos.

La californiana no está sola. La campaña Encrypt All The Things busca erradicar de una vez por todas el tradicional protocolo HTTP y lleva tiempo presionando a empresas y organizaciones para que cifren sus datos. Mozilla y Apple también han dado pasos en este sentido, e incluso el gobierno de Estados Unidos, el cual ha manifestado su intención de que antes de que acabe este año todos los sitios web .gov incluyan por defecto el protocolo seguro.

La lista de páginas webs en España que no cumplen con el mínimo exigido en cuanto al cifrado de datos se refiere es sorprendentemente extensa

El objetivo es mostrar con mayor claridad a los internautas que HTTP no es suficiente para proteger sus datos y que, en consecuencia, todo el mundo viaje por la web a través de un canal seguro.

A día de hoy, España está en las antípodas de cumplir esta objetivo.

España suspende en protección de datos

Desde la Administración Pública hasta los principales partidos políticos, pasando por empresas, pequeños comercios e incluso los más prestigiosos despachos de abogados. La lista de páginas webs dentro de nuestras fronteras que no cumplen con el mínimo exigido en cuanto al cifrado de datos se refiere es sorprendentemente extensa. Un ejemplo lo tenemos en la web del Ministerio de Justicia, cuya home principal y la correspondiente a Atención al Ciudadano directamente prescinden del HTTPS, pudiendo incluir el usuario su nombre, apellidos e incluso email mediante un protocolo inseguro. Ocurre lo mismo en la página de Cita Previa del Portal de Salud o el de Atención al Ciudadano, ambas de la Comunidad de Madrid, por poner algunos ejemplos.

Los partidos políticos tampoco se salvan. PP, PSOE y Podemos no utilizan protocolos seguros; la web de Ciudadanos es la única de los cuatro partidos más votados en las últimas elecciones que utiliza un sistema de cifrado considerado seguro para comunicarse con los ciudadanos y afiliados.

Según ha explicado a EL PAÍS el abogado y socio del despacho Abanlex Pablo Fernández Burgueño "los datos que el usuario transmite a través de las páginas que empiezan por HTTP se envían por un conducto no cifrado. Eso significa que un ciberdelincuente podría sustraerlos o modificarlos. Las páginas que empiezan por HTTPS sin embargo, son más seguras. Pero esto no quiere decir que lo sean del todo".

La S del HTTPS, explica el experto, indica que existe activo un sistema de cifrado que hace que los datos que se envían vayan cifrados desde el ordenador hasta el servidor de la empresa. Pero dentro de esta hay varios tipos en función del sistema de cifrado que se utilice. "Actualmente, el único considerado seguro es el SSL TLS 1.2. Todas las versiones anteriores están obsoletas y, por lo tanto, son inseguras", añade.

Esto es lo que ocurre por ejemplo con webs como la de Cita Previa de la Comunidad de Madrid, que utiliza una versión obsoleta de HTTPS, algunos hospitales como el de San Rafael, comercios, grandes despachos de abogados e incluso, paradójicamente, la Agencia Española de Protección de Datos (AEPD).

Ocurre por ejemplo con webs como la de Cita Previa de la Comunidad de Madrid, algunos hospitales como el de San Rafael, comercios, grandes despachos de abogados e incluso, paradójicamente, la Agencia Española de Protección de Datos (AEPD)

La web de la AEPD utiliza un certificado SSL obsoleto. En concreto, la versión TLS 1.0. El sitio SSLLabs sin ir más lejos, página web dedicada en cuerpo y alma a clasificar las páginas en función de su seguridad, le ha otorgado la peor nota (F). Siendo la A+ la más alta.

En España también existen multitud de páginas que sí cumplen con unos mínimos de seguridad. Este es el caso de webs como la de la Agencia Tributaria, cuya sede electrónica utiliza el protocolo seguro, el Cuerpo Nacional de Policía y, en general, los bancos y grandes superficies.

¿Qué riesgos conlleva navegar por estas webs?

El protocolo HTTPS se encarga de encriptar los datos intercambiados entre el usuario y el servidor web para que, pongamos por caso, un ciberdelincuente que se encuentre compartiendo la misma red pública en una cafetería o un gobierno represivo no puedan sustraer información sensible.

Este protocolo también garantiza que el usuario se encuentra en la página web que cree estar, y no en otra ficticia cuyo propósito sea el de suplantar su identidad. Una utilidad bastante práctica ya que existen muchos ejemplos de ataques de phishing utilizando páginas web falsas como por ejemplo la de Correos, Starbucks o el mismísimo WhatsApp.

¿Qué implica no tenerlo? Según Josep Albors, director de Comunicación y Laboratorio de Eset, "que la información circule descubierta y pueda ser sustraída por cualquier ciberdelincuente. Los usuarios tienen que mentalizarse de que el protocolo HTTP es inseguro y un peligro real para la web en general".

La razón por la que muchas webs no hayan incorporado este protocolo no es económica, porque además de no ser caro existen iniciativas como Let's Encrypt que lo ofrecen de forma gratuita.

Google no ha aclarado cuándo incorporará el aspa roja para denunciar a aquellas webs que no utilizan HTTPS por defecto, pero según el medio Motherboard lo hará "pronto". Exactamente igual a como ya hizo con su servicio de correo electrónico.

Más información