Hablar sobre seguridad de los medios públicos y masivos como internet puede tornarse en una enorme discusión sobre medidas y riesgos que analizar y neutralizar, pero desde el punto de vista de aquellos que tienen un sitio web, es importante hablar de recursos como los certificados de seguridad.
Las amenazas informáticas son una realidad y el riesgo se incrementa a medida que lo conectamos todo a internet, incluso los electrodomésticos del hogar siguen esta tendencia con el conocido internet de las cosas o IoT por sus siglas en inglés. Pero estos riesgos pueden minimizarse a un punto bastante estable tomando las decisiones y medidas correctas.
¿Qué son los certificados digitales?
Son recursos que permiten validar la identidad de un ente a través de una firma digital. Este elemento agrupa un conjunto de información, el cual no puede ser modificado sin denotar una edición intencional.
Se trata de un recurso diferente al protocolo de seguridad que se establezca para asegurar el transporte de los datos a través de un canal seguro. Aunque se los suele vincular, por lo que es muy usual ver el término: Certificado SSL. En realidad, se implementa un protocolo de cifrado denominado Seguridad de la Capa de Transporte o TLS, el sucesor del SSL que ha quedado obsoleto.
Entonces, este certificado SSL denota la presencia de un protocolo de seguridad, que existe y protege las conexiones del sitio con los visitantes para que los atacantes no intercepten los datos que viajan. Este elemento lo firma digitalmente un ente con autoridad que verifica la identidad del propietario del sitio web, por lo que los atacantes no pueden montar un sitio falso.
¿Por qué son importantes?
La importancia de que los datos viajen seguros depende de la naturaleza de estos datos y del sitio web en sí. Para sitios de comercio electrónico, donde el visitante es un cliente que ingresará sus datos bancarios o de tarjetas de crédito, es importante asegurar la privacidad de los mismos, puesto que somos responsables si algo sale mal al respecto.
También puede suceder que los usuarios ingresen datos personales de carácter sensible, los cuales debemos almacenar en un lugar seguro. Es muy relevante el hecho de que existen negocios millonarios donde los datos personales son el elemento del éxito económico, como Facebook por ejemplo.
Si nuestro sitio no requiere ninguna de esta información de los usuarios, aún así existe un factor que te hará optar por adquirir este recurso de seguridad. Se trata nada más y nada menos que de la confianza y la profesionalidad. La realidad del comportamiento de los visitantes es que han aprendido a dudar y a seguir las indicaciones que se les da en materia de seguridad cibernética.
Los navegadores web son en parte responsables, por ejemplo, si tomamos en cuenta la decisión de Google de ubicar la leyenda: “no seguro” en su navegador Chrome a todos los sitios que no poseen un certificado. Además, los motores de búsqueda están priorizando los sitios web que disponen de este elemento por encima de los que no, por lo que la seguridad también es una política de las empresas y gigantes de internet.
¿Cómo puedo adquirir uno?
Lo más recomendable en cuestiones de sencillez operativa es que lo contrates con tu mismo proveedor de hosting, el cual será prácticamente de instalación automática. Pero no debes pensar que ellos tienen el monopolio de los certificados SSL por ser tu proveedor actual, sino que puedes adquirirlo con un proveedor de hosting confiable con mayores estándares de seguridad.
Al obtenerlo con un tercero, puedes instalarlo sin grandes dificultades con la información que te brinde el proveedor del certificado y estará listo para mostrar la leyenda de “sitio seguro” junto al candado verde que mejorará la imagen y confianza del sitio entero.
¿Qué hacer si no aparece la leyenda de sitio seguro?
Si ya has adquirido e instalado el certificado, entonces puede deberse a muchas causas, pero son bastante razonables y pueden ser solucionadas fácilmente. Primero, hay que entender que, a partir de ahora el protocolo de navegación HTTP es reemplazado por el de navegación segura: HTTPS, por lo tanto, todos los enlaces dentro del sitio deben cambiarse por HTTPS para poder usar los beneficios de la seguridad recientemente implementada.
También puede suceder con otros recursos externos vinculados a nuestro sitio como pueden ser imágenes, vídeos o elementos multimedia en general, para lo cual tendrás que hacer el mismo cambio. Si administras tu sitio con WordPress te tengo buenas noticias, y es que existen plugins de WP que puedes utilizar para cambiar estos enlaces de forma automatizada.
¿Existen certificados gratuitos?
La respuesta es un sí rotundo, pero como todo lo gratuito tiene alguna desventaja que considerar. De parte de la Linux Foundation, la cual mantiene y soporta el sistema operativo Linux, existe una organización (Let’s Encrypt) que genera certificados de manera gratuita con renovación automática. De esta forma, puedes acceder a este recurso sin tener que pagar importe alguno.
Las ventajas son obvias con respecto a cuestiones económicas y no representa disminución alguna de calidad en materia de seguridad. La desventaja es que estos certificados se generan de manera automática, por lo que no existe una verificación de identidad real como sucede con los demás proveedores. De esta forma, los datos viajan protegidos, pero no nos protege contra los sitios web de suplantación de identidad con intenciones maliciosas de fraude.
Otro problema puede aparecer con la falta de garantías y asistencia técnica del servicio, ya que al ser gratuito, la organización no brindará ayuda en caso de que tengas algún problema con la instalación y uso del mismo.
Una vez comprendido este contexto y los conceptos centrados en este recurso de ciberseguridad, podrás tomar mejores decisiones como propietario o administrador de un sitio web. Este debe estar siempre al día y vigente contra las amenazas de la red, ya que el respeto por los datos y la seguridad de los visitantes es un compromiso que te posicionará en una apariencia de profesionalidad genuina, con auténticos beneficios en el ámbito del posicionamiento web y en la imagen corporativa de tu empresa o negocio.
Autor:
Última actualización:
De acuerdo con lo dispuesto en el Reglamento (UE) 2016/679 de 27 de abril de 2016, consiento que mis datos sean tratados bajo la responsabilidad de Oscar Gascón Arjol para recibir respuesta a consultas. publicación de comentarios del blog y que las conserve mientras haya un interés mutuo para ello. Me doy por informado que tengo derecho a revocar este consentimiento en cualquier momento y a ejercer los de acceso, rectificación, portabilidad y supresión de mis datos y los de limitación y oposición al tratamiento dirigiéndome por email a me@oscargascon.es. También estoy informado de que puedo reclamar ante la autoridad de control a www.agpd.es.