El futuro Chrome identificará a las páginas sin certificado de seguridad

En un artículo de su blog sobre seguridad Google ha compartido sus planes futuros de identificar de forma explícita a las páginas en HTTP en su navegador. Con este objetivo, la versión 56 de Chrome, prevista para enero de 2017, verá su barra de direcciones levemente modificada con el aviso “Not secure” (no segura), que identificará a direcciones URL de páginas sin certificado de seguridad. Está previsto que las primeras webs afectadas sean aquellas que transfieren datos bancarios y de registro con el protocolo HTTP (sin cifrado). A continuación examinamos los siguientes pasos previstos hasta su completa implantación y evaluamos sus consecuencias para propietarios de páginas web y usuarios.

Si Chrome 56 aparece a principios de 2017 tal y como está planeado, el sello “Not secure” afectará al principio a las direcciones de aquellas páginas que utilizan el protocolo de transferencia HTTP para trasmitir datos de pago y contraseñas. Hasta ahora, el navegador no identificaba de forma explícita a las páginas que no protegían las transferencias de datos con un certificado TLS y SSL. Lo único que las identifica hasta ahora es la falta del símbolo verde que, en cambio, sí aparece a la izquierda de la barra de direcciones en el caso de páginas protegidas. Este indicador tan neutral pasa desapercibido para la mayoría de usuarios de Internet, como ha demostrado un estudio llevado a cabo en conjunto por Google y por la Universidad de California.

Las futuras versiones de Chrome traerán consigo una ampliación continuada de los tipos de avisos de seguridad. En una posible segunda etapa, el sello “Not secure” identificaría a las páginas HTTP en el modo privado (incógnito), modo usado sobre todo por aquellos usuarios con grandes preocupaciones en torno a la seguridad en la web. Según la información disponible en su blog, Google también estaría pensando, no obstante, en una identificación general de todas las páginas sin certificado, también en el modo estándar. Con toda probabilidad, se utilizaría para ello el triángulo rojo que ya sirve para marcar las páginas HTTPS mal configuradas.

Ya en agosto de 2014, Google anunció que el cifrado de la transmisión de datos con SSL o TLS también sería relevante a la hora de evaluar las páginas en el marco de la seguridad general de la web. De esta manera se quería motivar a los propietarios de páginas web para que se ocuparan de la certificación de su proyecto. Teniendo en cuenta que hoy el cambio a HTTPS es mucho más económico y sencillo, es fácil de entender por qué en los dos últimos años ha aumentado el número de webs protegidas con certificado. Ahora, la nueva ofensiva de Google supone poner en marcha la fase decisiva, difícil de esquivar hasta para los administradores de las páginas más ambiciosas y es que alrededor de dos tercios de los usuarios a nivel mundial utilizan Chrome para navegar, una tendencia en aumento según datos estadísticos de w3schools.

Cuando los usuarios visitan una página web, por lo general no se limitan a leer un artículo. La denominada huella digital no es solamente el resultado del rastreo mediante cookies y herramientas de seguimiento. Cada vez con más frecuencia, el usuario proporciona sus datos de forma totalmente consciente en sus aportaciones en las redes sociales y en foros o cuando el uso de una página requiere registrarse, ya sea para recibir un boletín o porque está vinculado a una cuenta de usuario. En muchos casos se requiere introducir la dirección de correo electrónico, pero en otros se revela información más sensible.

Por defecto, el navegador entrega esta información (contraseñas, datos de usuario, bancarios o postales) a la base de datos en el servidor utilizando el protocolo de transferencia de hipertexto o HTTP, un protocolo que ha sido de gran utilidad hasta ahora desde los inicios de la web, pero que no permite cifrar la información que transporta. Esto significa que todos los paquetes de datos que se envían desde el navegador al servidor web con una conexión HTTP y que, en este camino, son susceptibles de ser “espiados”, figuran en texto plano. Los cibercriminales pueden de esta manera acceder sin problemas a datos de registro de una cuenta de correo, a una cuenta de banca online o a la dirección privada del usuario. Aplicando un certificado SSL/TLS, los propietarios de páginas web garantizan el trasporte cifrado de la información y su protección ante terceros.

Como la gran mayoría de la comunidad de usuarios de Internet no parece haber reconocido aún el significado de la certificación SSL/TLS para proyectos en la web, Google se propone, con Chrome 56, entrar en la siguiente ronda de explicaciones. Con la renovación completa de su sistema de identificación, Google quiere sensibilizar a más usuarios en relación con la transferencia cifrada de datos y obligar a actuar a administradores y propietarios web con una laxa conciencia en cuanto a seguridad hasta ahora. Los cambios programados dejan intuir que se logrará el objetivo, haciendo que los usuarios dejen de acceder a páginas marcadas con este identificador.

Google podría también tener más en cuenta en el futuro el factor de ranking HTTPS en la evaluación de las páginas. Mientras que los usuarios de Chrome obtienen un elemento adicional de seguridad, los propietarios de páginas web ya no tendrán que evaluar si el certificado de seguridad es necesario o no. Los administradores web no deberían esperar a la actualización de comienzos de 2017 para cambiar a HTTPS, sino que, como pasa a menudo, cuanto antes, mejor.