Desde hace muchos, muchos meses, Google aboga por apretar las tuercas a los sitios web que no se pasen al protocolo https, más seguro que el anterior estándar http. Ahora aplica una nueva medida a través de Chrome, su navegador, para dejar todavía más claro cuándo una página ofrece una conexión cifrada y cuándo no.
Chrome para Android marcará como inseguros los sitios con http
Chrome es el navegador web más utilizado del mundo. Disponible en todas las plataformas, esto le sirve a Google como herramienta para implantar sus propias ideas respecto a cómo deberían funcionar los sitios web. Así, en el caso que nos ocupa hoy, Google Chrome es una herramienta para incentivar el trasvase desde el antiguo protocolo http al nuevo y más seguro https.
Los motivos de Google para ello son lógicos: https cifra la comunicación entre el navegador y el servidor y proporciona una experiencia mejor en el día a día de la navegación web. Impide que terceros puedan espiar fácilmente los datos que envías o recibes (por ejemplo, contraseñas o información de formularios) y reduce el riesgo de ataques de intermediario.
Sin embargo, realizar el cambio requiere invertir recursos en ello, así que no todas las compañías lo han hecho. Para incentivarlo, Google marcará los sitios http como no seguros de forma visible en la barra de direcciones de Chrome. De este modo, cabe la posibilidad de que muchos usuarios se decidan a no navegar por una página si sienten que es insegura, por lo que se anima a que las empresas hagan la actualización.
Además de la etiqueta de «No es seguro», Chrome muestra diferentes advertencias de seguridad cuando detecta que una web puede ser peligrosa. Si un sitio está asociado a phishing, malware, software no deseado o intentos de ingeniería social, el navegador presenta una pantalla roja con el mensaje «Sitio peligroso». Este tipo de sitios se incluyen en las listas de Navegación segura de Google, un sistema que mantiene una base de datos actualizada de páginas potencialmente dañinas para el usuario.
En los ajustes de Chrome, la opción de Navegación segura está activada por defecto, y se puede aumentar el nivel a Navegación segura mejorada, que permite una detección más rápida y en tiempo casi real de amenazas nuevas. Aunque existe la opción de desactivar esta protección, Google no lo recomienda y solo debería hacerse si se comprenden plenamente los riesgos.
Los sitios web con https serán el estándar
En el ejemplo de la imagen podéis comprobar cómo va a ser el cambio en la interfaz de Chrome para mostrar los sitios web. Además, los sitios https también serán modificados, dado que se dejará atrás el actual Es seguro de color verde con el que se indicaba el uso del nuevo protocolo. La hoja de ruta de Chrome contempla que HTTPS sea la norma y que solo se resalten de forma negativa las conexiones inseguras.
HTTPS debería ser el estándar, y así es como pretenden mostrarlo en Chrome. La idea es acabar perdiendo también el candado y que, si no ves ningún aviso, eso signifique que navegas seguro. A partir de ahí, hablamos de una hoja de ruta que solo especifica la pérdida del color verde para la indicación de sitios seguros, por lo que todavía no existen fechas totalmente cerradas para todos los cambios visuales.
Lo que sí que está claro es el tremendo poder que tiene Google con su navegador. La enorme base de usuarios y usuarias de la que dispone le permite a la Gran G realizar esta clase de movimientos que, por suerte, van enfocados a mejorar la seguridad del día a día, pero que en otros casos podría ser muy preocupante.
Desde la perspectiva del propietario de una web, esto tiene varias implicaciones claras. Por un lado, la confianza del usuario: un aviso de «No es seguro» o «Sitio peligroso» puede ahuyentar a gran parte de tus visitas, incluso aunque el contenido de la página no sea malicioso. Por otro, el posicionamiento SEO: Google ha reconocido que el uso de HTTPS es una señal de ranking y, en igualdad de condiciones, las páginas con certificado SSL tienden a posicionar mejor que las que solo usan http.
Además, si un sitio utiliza HTTP y, al mismo tiempo, aloja contenidos maliciosos (por ejemplo, descargas infectadas o scripts inyectados por un troyano para Android), Chrome no solo lo marcará como inseguro por el protocolo, sino que podrá mostrar advertencias adicionales incitando a no continuar o a no descargar archivos señalados como «peligrosos». Incluso cuando el usuario insiste en seguir adelante, el navegador vuelve a recordar que esa acción no es recomendable.
Por último, conviene recordar que un candado no lo es todo. Que una web use HTTPS significa que la conexión está cifrada, pero no garantiza que el sitio sea honesto o esté bien protegido a otros niveles. Del mismo modo, todavía existen webs en http que cuidan ciertos aspectos de su seguridad interna, aunque la falta de cifrado siga siendo una debilidad importante. Google intenta equilibrar estos matices con sus avisos, pero, a día de hoy, la advertencia visible en Chrome es la herramienta más clara para impulsar un Internet más seguro para todos.
Todo este conjunto de cambios en Chrome, unido a la presión que ejercen el resto de navegadores y las autoridades de certificación, hace que migrar de http a https deje de ser una opción y se convierta en una necesidad básica tanto para proteger los datos de los usuarios como para mantener la visibilidad y la credibilidad de cualquier proyecto online.
