¿HTTPS protege los datos en tránsito?

HTTPS es la versión segura del protocolo troncal de Internet o Protocolo de transferencia de hipertexto (HTTP) que se utiliza para transportar datos entre un navegador web y un sitio web.

Las transacciones seguras en Internet son imperativas cuando los usuarios intercambian datos confidenciales en línea, como consultar sus cuentas bancarias o iniciar sesión en sus servicios de correo electrónico.

HTTPS afirma proteger nuestros datos confidenciales en tránsito, pero ¿realmente se mantiene fiel a su afirmación? ¿Cuál es la conexión entre HTTPS y TLS y cómo se puede verificar el certificado SSL de un sitio web?

¿Qué son los datos en tránsito?

Cuando escribe la dirección de un sitio web en su navegador y hace clic en Intro, suceden muchas cosas detrás de escena. Los datos en tránsito son la información en movimiento que pasa activamente de un lugar a otro, es decir, a través de Internet cuando intenta acceder a un sitio web.

En pocas palabras, cualquier dato que intente ir de una fuente a su destino son datos en tránsito.

Esto debe protegerse, ya que podría necesitar viajar de una red a otra o podría transferirse de un dispositivo de almacenamiento local a un almacenamiento en la nube, lo que lo hace vulnerable a las intercepciones en el camino.

¿Cómo ayuda HTTPS a proteger los datos en tránsito?

Las comunicaciones HTTP regulares envían todos los datos en texto sin formato, lo que los hace altamente vulnerables y accesibles para cualquiera que quiera interceptarlos, incluidos los ciberdelincuentes. Este es un gran problema, especialmente cuando se usa una red Wi-Fi pública.

HTTPS evita que los datos se difundan mientras están en movimiento y dificulta que cualquiera pueda verlos. Lo consigue cifrando el tráfico y protegiéndolo con un certificado SSL; incluso si los paquetes de datos son robados de alguna manera, serán difíciles de descifrar sin una clave de descifrado.

Pero es importante recordar esto: una conexión segura no siempre garantiza un sitio seguro. Los actores de amenazas han encontrado nuevas formas de usar HTTPS para sitios web maliciosos, lo que significa que aún podría estar accediendo a un sitio web basado en HTTPS que en realidad es inseguro.

Sin embargo, es mejor acceder siempre a un sitio web basado en HTTPS.

Relacionado: ¿Cómo funciona el cifrado? ¿El cifrado es realmente seguro?

La conexión entre TLS y HTTPS

TLS significa Transport Layer Security y es un protocolo criptográfico que ayuda a cifrar HTTPS y otros protocolos y servicios de correo electrónico. También es el predecesor del ahora obsoleto protocolo SSL (Secure Sockets Layer).

Al utilizar técnicas criptográficas, TLS garantiza tres cosas:

  1. Los datos no se manipulan una vez enviados.
  2. La comunicación se origina en fuentes genuinas, es decir, el sitio es lo que dice ser.
  3. Los datos privados están ocultos a miradas indiscretas.

Este protocolo protege las comunicaciones mediante el uso de lo que se conoce como una infraestructura de clave pública asimétrica . El proceso comienza con un protocolo de enlace TLS donde se realiza la autenticación y se generan las claves de sesión.

¿Qué es un certificado SSL?

Los certificados SSL obligan a los sitios web a realizar la transición de HTTP a HTTPS , lo que los hace más seguros.

Un certificado SSL reside en un archivo de datos alojado dentro del servidor de origen de un sitio web. Al mantener la clave pública y la identidad de un sitio web, hacen posible el cifrado TLS.

Cualquier dispositivo que intente llegar a un servidor de origen hará referencia a este archivo para obtener la clave pública y verificar la identidad del servidor. La clave privada, como su nombre lo indica, se mantiene segura y privada.

Cómo comprobar si un sitio tiene un certificado SSL

Los navegadores modernos han facilitado la búsqueda de certificados SSL. Para empezar, si la URL comienza con "HTTPS" en lugar de "HTTP", se asume que el sitio está protegido mediante un certificado SSL.

Un icono de candado que se muestra en un navegador web también indica que un sitio tiene una conexión segura con un certificado SSL.

Tomando Google Chrome como ejemplo, puede seguir unos pocos pasos para obtener información de certificado para un sitio web.

Paso 1: haga clic en el icono del candado en la barra de direcciones.

Paso 2: haga clic en "Certificado (válido)" en la ventana emergente.

Paso 3: Verifique las fechas de "Válido desde" para verificar que el certificado SSL esté actualizado.

¿HTTPS protege los datos en tránsito?

Para responder a la pregunta del millón de dólares: sí, HTTPS protege los datos en tránsito.

HTTPS sobre SSL / TLS está diseñado para proporcionar cifrado en tránsito. Dado que la comunicación entre un navegador y el servidor del sitio web (con un certificado seguro) tiene un formato encriptado, los paquetes de datos en tránsito no se pueden alterar ni leer incluso si son interceptados.

Sin embargo, una vez que sus datos han viajado a su destino y residen en el servidor del sitio web, HTTPS no puede protegerlos. Si bien HTTPS garantiza que nuestros datos en tránsito lleguen a su destino de manera segura, no es responsable de su almacenamiento seguro.

HTTPS: una pieza crucial del rompecabezas de la ciberseguridad

Si bien la presencia de HTTPS no ofrece cifrado completo de un extremo a otro ni protege un sitio contra vulnerabilidades, exploits o estafas de phishing, brinda seguridad para sus datos en tránsito y garantiza que el certificado haya sido emitido por una autoridad de certificación confiable.

Y esto en sí mismo es un elemento crucial en la gran ecuación de la ciberseguridad.