La seguridad en la web es un asunto capital para Google. Por eso, cuando su navegador Google Chrome detecta una web con formularios de pago o similares que no usan cifrado Socket Layer (SSL)/Transport Layer Security (TLS), las marca automáticamente como inseguras. Además, pronto planea marcar como inseguras a todas las páginas webs HTTP, forzando a que todo Internet adopte HTTPS por defecto. Sin duda, es una gran noticia para la seguridad de los usuarios, pero lo que es seguro por cumplir una serie de aspectos, no significa necesariamente que sea fiable.
Una web segura puede no ser fiable
WordFence, una firma de seguridad especializada en WordPress, ha descubierto que los certificados SSL que deberían asegurar la integridad y seguridad de las páginas web, se están utilizando en actividades de phishing simulando que nos encontramos en otra web. Lo que quieren decir es que, porque una web tenga un certificado válido, no quiere decir que sus intenciones sean buenas ni su actividad legal.
Sin embargo, Google Chrome (y otros navegadores) marcan las webs que cuenten con un certificado válido como seguras. Esto hace que los usuarios “se relajen” y confíen más en esa web cuando acceden, siendo algo totalmente involuntario al verla marcada con el icono verde, candado cerrados y demás.
Y lo cierto es que no lo son, no al menos todos. En los últimos tiempos hemos visto “problemas” con los certificados de Let’s Encrypt, usados para sitios phishing relacionados con PayPal o los de Symantec, entre otros. Según WordFence, las páginas web maliciosas que usan certificados válidos, tardan mucho más en ser detectadas por Chrome.
Por eso, debemos tener clara una cosa. Cuando Google Chrome etiquete una página web como segura, solo quiere decir que la información “viaja” cifrada entre nosotros y los servidores de la misma, pero no que debamos fiarnos de su actividad como muchos pueden llegar a creer.
