HTTPS cuando la publicidad de los medios lo hace inseguro

Hoy mismo, mientras conducía, escuché en la radio un anuncio de una entidad bancaria que repetía el mismo mantra de siempre: decía a los oyentes que, para evitar fraudes, deben verificar que la web sea segura y que pare hacerlo revisen que la url tenga delante HTTPS, sí con S repetían. Y aunque el consejo nace de una buena intención, la realidad técnica ha avanzado mucho más rápido que los guiones publicitarios.
Esa afirmación, que también vemos constantemente en campañas de televisión, es hoy una "media verdad" peligrosamente engañosa, que puede afectar sobre todo a los que menos entienden de redes, seguridad, etc
¿Qué significa realmente el HTTPS?
Para entender el error, debemos saber qué hace realmente ese protocolo. El HTTPS (HyperText Transfer Protocol Secure) garantiza dos cosas mediante el uso de TLS/SSL:
Cifrado: Los datos (tus claves o tarjeta) viajan ocultos desde tu dispositivo al servidor. Nadie puede "escuchar" la conexión en el camino, ( alguien conectado a tu red que intente robarte etc )
Integridad: La información no ha sido manipulada durante el trayecto.
Pero aquí está la trampa: El HTTPS garantiza que la comunicación es privada, pero no garantiza que el dueño de la web sea quien dice ser.
El "timador" también usa candado
Hace años, conseguir un certificado SSL era caro y complejo. Por eso, el candado era un distintivo de legitimidad. Hoy en día, cualquiera puede obtener un certificado gratuito y automático en segundos.
Esto incluye a los ciberdelincuentes. De hecho, la inmensa mayoría de las páginas de phishing (webs falsas) ya utilizan HTTPS.
El problema de los anuncios bancarios: Cuando el banco te dice en la radio "mira si la web es segura", el usuario medio busca el candado, de hecho el propio anuncio te dice que debes revisar el candado y así ha sido durante años el slogan. El estafador lo sabe, por eso crea una web como
tu-banco-seguro.com, le pone el candado, y el navegador le dará el visto bueno.
Resultado: Estás enviando tus claves de forma cifrada y "segura"... directamente al servidor del ladrón.
¿En qué debemos fijarnos realmente?
Si el candado ya no es una prueba de confianza total, debemos cambiar el chip. Aquí tienes tres reglas de oro:
La lupa en el dominio: No mires el candado, mira la dirección. Los atacantes usan nombres casi idénticos (cambian una
opor un0, o usan guiones innecesarios) no es lo mismo santander.com que saltander.com pero fijas antes en HTTPS y en que el logo es igual y la página es identica.El origen del enlace: Si llegas a una web a través de un SMS (smishing) o un correo urgente, sospecha siempre, por muy "segura" que el navegador diga que es la conexión.
El contenido, no el envoltorio: El HTTPS es solo el túnel. Si al final del túnel hay un pirata, el túnel no te va a salvar.
Es hora de que los bancos y los medios de comunicación actualicen su discurso. Decir que una web es segura solo por tener el icono del candado es como decir que un desconocido es de fiar solo porque te habla por un teléfono con buena cobertura. La nitidez de la llamada no garantiza la honestidad de quien habla.
No busques solo el candado; asegúrate de saber quién está al otro lado y recuerda, el candado verde no es un guardaespaldas, es solo parte de la seguridad.