Publicado por & archivado en Seguridad.

La autodenominada “Security Princess”, responsable de la política de seguridad de Google, ha decidido que era buena idea mostrar una advertencia apocalíptica en Google Chrome cada vez que un usuario visite una web con protocolo http, es decir, una web sin conexión cifrada, diciendo que la web no es segura.

Por ponernos en antecedentes, para el que no entienda que significa esto, una breve explicación.

Todos los servidores web del mundo utilizan el protocolo HTTP (Hypertext Transfer Protocol), en español “protocolo de transferencia de hipertexto”. Para que nos entendamos, hipertexto se refiere a lo que todos conocemos como “páginas web”.

Opcionalmente el hipertexto se puede enviar de forma segura, en cuyo caso, en vez de HTTP se llama HTTPS (añadiéndole al final la S de “seguro”).

Lo de “seguro” consiste en añadir un certificado al servidor web que, mediante técnicas de criptografía, hace que los datos enviados entre el navegador del usuario y el servidor web, estén cifrados. De esta forma se supone que alguien que estuviera espiando las comunicaciones no podría descifrar el contenido de lo enviado o recibido.

El uso de certificados SSL/TLS es en general buena idea porque añade confidencialidad a nuestras comunicaciones, pero si no se ha generalizado más su uso es principalmente porque la mayoría de los datos que descargamos de la web son públicos, por lo que no aporta nada que la comunicación sea cifrada. Por ejemplo, si estamos leyendo las noticias en nuestro diario favorito y alguien intercepta la comunicación y espía lo que estamos descargando, verá las mismas noticias que cualquiera podría cargar de la misma web.

Es cierto que espiando la comunicación se podría saber que noticia está leyendo en concreto el usuario, por lo que se podría obtener algún tipo de información sobre los intereses de la persona, pero esto, es algo que ya hacen empresas como Google o Facebook en nuestras propias narices, sin necesidad de interceptar ninguna comunicación (que por cierto es ilegal y está duramente penado).

Cuando lo que vamos a hacer es acceder a servicios que solicitan información personal o credenciales lo normal es ya que las comunicaciones estén cifradas, por ejemplo, cuando accedemos a la banca online o vamos a hacer una compra en una tienda en la web. En esos casos es cuando aparece el famoso “candado” indicando que la comunicación es segura.

Llegados a este punto, más de uno se preguntará por qué no cifrarlo todo como propone Parisa Tabriz ¿Qué tendríamos que perder con ello?

Pues el motivo es claro y evidente, cifrar los datos no sale gratis (y no es sólo dinero).

Estos son algunos inconvenientes de cifrar los datos.

  1. Los certificados SSL hay que pagarlos anualmente. Si bien es cierto que actualmente se pueden conseguir certificados gratuitos, como el “Comodo Trial SSL” o el cada vez más popular “Lets Encrypt“, estos certificados no son válidos para todo el mundo ya que no soportan “wildcard” ni “san”, que hablando en lengua vernácula, significa que no sirven si se quieren usar para varios subdominios o para varios dominios a la vez si estos comparten el mismo código, algo que es necesario en determinadas circunstancias.
     
  2. Para instalarlos hacen falta conocimientos avanzados. En cuanto a la instalación, si se usan los certificados de “Lets Encrypt” es posible encontrar proveedores que tienen automatizada su instalación, si no, habrá que hacerlo manualmente cada 3 meses, lo que sin duda terminará al primer despiste en certificados caducados, que es aun peor que no tenerlo instalado (de cara a las advertencias). En cualquier caso supone una gestión adicional que el usuario tiene que hacer.
     
  3. Producen complicaciones técnicas en algunas webs. En algunas webs, especialmente si tienen unos años, forzar la carga con HTTPS puede ser muy problemático de cara a la programación, por lo que podría suponer costes elevados en algunos casos y sobre todo, aunque se tuviera la voluntad de hacerlo, la implantación podría llevar meses, durante los cuales los usuarios seguirían viendo advertencias apocalípticas de su navegador.
     
  4. Ralentizan las comunicaciones. El cifrado impide la compresión en muchos casos y aumenta el tamaño de los datos, por lo que se tarda más en enviar la información. Esto no es apreciable hoy en día para los que vivimos en países donde Internet funciona bien. Por ejemplo, en España tener una conexión de 300MBits simétricos es algo habitual y en ese caso no hay diferencia apreciable, pero en otros países las conexiones pueden ser de unos pocos Kbits, haciendo más lenta la carga. Esto también produce un aumento de coste en los accesos desde móviles, ya que normalmente se paga por el caudal de datos consumido.
     
  5. Algunos usuarios no tiene acceso al puerto 443. Esto no es lo habitual hoy en día, pero aun hay mucha gente que no puede acceder a Internet usando el puerto 443 que es necesario para utilizar el HTTPS, si forzamos la carga de las páginas en modo seguro (no permitiendo la carga con HTTP), habrá usuarios que no puedan acceder las páginas.
     

 

En cuanto a la forma en que Google pretende obligar a los usuarios, esto es lo que opino.

  1. La medida es inútil y contraproducente. Todos conocemos el cuento del lobo, que pertenece al acervo popular porque destaca una característica del ser humano, si dices que viene el lobo todo el mundo irá a ayudarte, pero si es mentira y te dedicas a repetirlo, el día que venga de verdad el lobo nadie te hará caso. Así que sí… Sí que se trata de asustar a todo el mundo y de hacerlo en vano, y cuando la gente vea que el 90% de las webs aparecen como inseguras, sencillamente va a ignorar el aviso, haciéndolo completamente inútil, y no sólo eso, porque una vez que “inseguro” sea lo normal, los usuarios ignorarán cualquier advertencia diciendo que una web es insegura.
     
    Este error ya lo cometió Microsoft al intentar hacer más seguro Windows, una pantalla aparecía cada dos por tres con advertencias de seguridad, como si los usuarios fueran a leerlas todas. Al final el resultado es que la gente pulsa “Aceptar” a todo lo que le sale sin mirarlo. Cualquiera con un poco de cerebro se da cuenta de esto, pero aun así Microsoft cometió el error y ahora Google viene detrás a repetirlo.
     
  2. Es mentira que las webs HTTP sean inseguras. Se trata de confundir a los usuarios, en mi opinión de forma malintencionada, para que crean que corren algún riesgo por cargar páginas web, creando una alarma innecesaria. Esto es un uso falaz de la información, las webs sin cifrar no son peligrosas de por si, para que lo fueran alguien tendría que haber interceptado las comunicaciones para ver el contenido de lo que se transmite y tendrían que robarte datos confidenciales importantes, por ejemplo los datos de tu tarjeta de crédito, pero como decía, las páginas que piden datos sensibles, ya están cifradas hoy en día.
     
  3. Crean una falsa sensación de seguridad.  Como contraste al decir que todas las páginas HTTP son inseguras, se crea la sensación de que las páginas HTTPS son seguras. Esto no es cierto y será aprovechado sin duda por los delincuentes, ya que cualquiera puede registrar un dominio parecido al de algún banco o comercio importante, instalarle un certificado gratuito y hacer creer a los que acceden que el sitio es seguro sólo porque las comunicaciones están cifradas, lo que no impide que nos estafen, roben o instalen un virus o troyano.
     
  4. Muchos usuarios no están preparados para entender esto. Los que acostumbramos a tratar con usuarios sabemos que muchos de ellos, y no vamos a entrar en el tópico de los más jóvenes o más viejos porque esto afecta a personas de cualquier edad, son incapaces de entender que significa esto del SSL.

     

    A menudo me encuentro con usuarios que llaman “Google” al navegador y no saben si usan Internet Explorer, Chrome, Firefox, o qué. Tampoco saben que es una URL y cuando les dictas una por teléfono, en vez de ponerla en la barra de direcciones la escriben en el buscador de Google. ¿De verdad alguien cree que estos usuarios van a entender que es lo que pasa?
     

    Les explicas las cosas y al día siguiente vuelven a hacer lo mismo, por un motivo importante, les importa un comino, y la verdad, lo respeto, porque no todos tenemos por que tener interés por las mismas cosas.
     

    Todo profesional de las tecnologías de la información conoce este problema, y en Google lo conocen muy bien porque ellos salieron a la calle a preguntarle a los usuarios que era un navegador cuando estaban lanzando Chrome.
     

    ¿Que navegador usas? La mayoría respondía “Google”. Sólo el 8% de los usuarios sabe lo que es un navegador decía al final del vídeo…
     
     


     

  5. Todo esto huele a chamusquina. No me creo que detrás de esta medida haya ninguna buena intención, ni me creo el intento de apelar a los sentimientos (falacia patética), que Parisa Tabriz ha usado para vendernos esta medida, diciendo que en su país de origen espiaban a la gente y que esto salva vidas, ¡oh que triste historia!

     

    A estas alturas ya nos conocemos todas las técnicas de manipulación y al menos algunos no nos hemos caído de un guindo. Los certificados son un negocio multimillonario del que también ganan los que tienen navegadores, porque son estos los que en última instancia dan por buenos los certificados de raíz, mostrando como inseguro todo lo que ellos no decidan que es seguro, bajo su único y absoluto criterio.
     

    El creador de Ubuntu GNU/Linux, Mark Shuttleworth, se hizo millonario cuando VeriSign (entonces el mayor emisor de certificados SSL del mundo), le pagó 575 millones de USD por Thawte, una empresa que había montado en el garaje de su casa en Sudáfrica y que era la principal competidora de VeriSign por aquel entonces.
     

    Y es que aun hoy hay certificados que cuestan miles de EUR al año, y lo que te dan a cambio de todo ese dinero es una cadena de texto de poco más de 2000 caracteres que se obtiene con un algoritmo que hoy en día puede generar hasta un niño con un ordenador.
     

    Si de verdad quisieran que todo estuviera cifrado permitirían que los certificados autofirmados (generados por uno mismo en su ordenador), pudieran usarse en las páginas web sin mostrar un error en el que dicen que alguien quiere robarte (que es lo que pasa ahora), y el colmo es que esto mismo ocurre incluso con certificados como los emitidos por la Fábrica Nacional de Moneda y Timbre de España, con la excusa de que los gobiernos pueden manipular los certificados para espiar (mediante una técnica llamada Man-in-the-middle).
     

    Así que los españoles que tenemos que usar las webs de la administración pública, como Hacienda o la Seguridad Social, tenemos que instalar manualmente los certificados de raíz de la FNMT para que el navegador deje de mostrar errores diciendo que alguien nos quiere espiar y robar.
     

    Todo esto, ante las numerosas sospechas de que el gobierno de EEUU ya tiene acceso a los certificados de raíz emitidos en su país (es decir, casi todos los que no dan error en los navegadores).
     

    Ahora nos llegan los certificados “gratuitos” de “Lets Encrypt” auspiciado por grandes corporaciones de EEUU y todo listo, ya podemos fiarnos ¿No?
     

    No quisiera seguir la máxima de piensa mal y acertarás, pero, unos certificados que no verifican más que, quien los ha solicitado tiene acceso a un dominio, no certifican nada de nada porque un dominio lo puede registrar cualquiera sin identificación de ninguna clase, por lo que el proceso de verificación está viciado de origen.
     

    De hecho, la excusa de cobrar por los certificados inicialmente era que había que verificar la identidad de la persona que los solicitaba, por tanto, ahora que las comprobaciones no sirven para nada, el impedir el uso de certificados autofirmados es un claro indicador de que no quieren tanto que todo esté cifrado, como de tener controlado el proceso de emisión de los certificados.
     

Concluyendo, si alguien me pregunta si debería instalar un certificado SSL en su dominio, la respuesta es que probablemente sí, porque no es muy caro y tiene muchas ventajas, pero en cuanto a las formas de matonismo por las que esto trata de imponerse no estoy de acuerdo en absoluto, las cosas se consiguen mejor mediante métodos didácticos, no engañando y presionando a los usuarios porque tengas un interés particular en conseguir un objetivo.

Deja un comentario

Tu dirección de correo electrónico no será publicada.