HTTPS: ¿qué significa y por qué es importante para tu seguridad?

Hagamos un ejercicio: si ahora miras nuestra URL (https://blog.nu.com.co/) verás que la antecede un candado gris cerrado (🔒) seguido de las siglas “https”. Buena señal, ¡estás en una web segura!

Lo recomendable es que sea siempre así cuando estás usando internet, ya que indica que estás navegando en una página web con HTTPS y tu información está protegida. 

¿Cómo funciona? Vayamos por partes.

HTTPS significa Protocolo seguro de transferencia de hipertexto (en inglés, HTTPS significa Hypertext Transfer Protocol Secure). El protocolo es un conjunto de normas, reglas y procedimientos utilizados para la transmisión de datos, el cual es conocido sólo por el emisor y el receptor.

El HTTPS fue creado por la empresa Netscape Communications en 1994 para su navegador Netscape Navigator. Se trata de un sistema basado en el protocolo HTTP.

El añadido de la S indica que este nuevo protocolo procura la transferencia segura de datos de hipertexto debido al modo en que funciona (encriptado). En pocas palabras: el HTTPS es la versión segura del HTTP.

Lee: “¿Qué son datos personales y cómo ofrecemos ciberseguridad en Nu?”

¿Qué es el HTTP (sin la S)?

El Protocolo de transferencia de hipertexto (por sus siglas en inglés HTTP: Hypertext Transfer Protocol) es el protocolo de comunicación que posibilita las transferencias de información mediante archivos en la World Wide Web (WWW).

Las WWW es lo que solemos llamar “la web”, que es la red informática mundial, un sistema que funciona a través de internet por el que, justamente, se pueden transmitir datos por medio del HTTP, que es el principal protocolo que se usa para enviar datos entre un navegador (como Chrome, Mozilla Firefox, Safari, etc) y un sitio web.

Mediante el HTTP se logra mostrar prácticamente toda la web. Es un elemento esencial sin el cual no podríamos utilizar la web tal como lo hacemos.

El inconveniente es que la información que viaja a través de HTTP no es privada y puede ser vista y robada, por lo que en una web HTTP (¡sin S y sin candado!) no deben transmitirse datos sensibles (tarjetas de crédito o información confidencial).

El protocolo HTTPS es un sistema que utiliza un cifrado más adecuado para el tráfico de información sensible que el protocolo HTTP. Lo que hace es encriptar los datos y de esta manera garantizar una transmisión de datos segura.

Así, el protocolo HTTPS, detalla la web Cloudflare, se conoce como Transport Layer Security (TLS), aunque antes se conocía como Secure Sockets Layer (SSL).

“HTTPS utiliza el certificado de un proveedor externo para asegurar y proteger una conexión y así verificar que el sitio sea legítimo. Este certificado de seguridad se conoce como certificado SSL”, señala el blog de Semrush.

“Esto crea una conexión segura y cifrada entre un navegador y un servidor, y protege la capa de comunicación entre ambos”, continúa el artículo de Semrush.

HTTPS, en resumen: 

En síntesis, el protocolo de comunicación HTTPS es cifrado mediante TLS/SSL. Con este sistema se busca que la información sensible del usuario (contraseñas, información bancaria y otros datos personales) no pueda ser útil en caso de que un atacante (hacker) logre interceptar la transferencia de datos, ya que en caso de obtener esos datos lo único a lo que tendrá acceso será a un caudal de caracteres indescifrables.

“Una analogía del funcionamiento de HTTPS sería enviar objetos valiosos en una caja fuerte indestructible que se abre con una combinación de números. Sólo quienes envían y reciben la caja saben la combinación, y si los atacantes la atraparan en el camino, no podrán abrirla”, explica el blog de Ahrefs.

Sin entrar en tantos detalles técnicos, lo más importante es saber que: 

1. Una web con HTTP (sin la S) es insegura y está muy expuesta a ataques (hackeo) que posibilitan al hacker tener acceso a contraseñas, cuentas bancarias, información confidencial y cuentas de usuario personales. 
2. Por su parte, el HTTPS fue creado para evitar esos ataques y es más seguro.

Al ingresar a un sitio que usa HTTPS es necesario un certificado que demuestre la identidad del sitio web a los navegadores (como Chrome, Mozilla Firefox, Safari, etc).

“Para que puedas navegar por la Web de forma segura, Chrome exige a los sitios web que usen certificados emitidos por organizaciones de confianza”, indica Google, detallando el mecanismo que también utilizan otros navegadores para que la transmisión de datos sea confiable.

Desde enero de 2017, Chrome comenzó a marcar las páginas HTTP (¡sin la S!) que recopilan contraseñas o tarjetas de crédito como no seguras. “Esto es parte de un plan a largo plazo para marcar todos los sitios HTTP como no seguros”, anunció Google en su momento.

Desde entonces, la mayor parte de las web que manejan información sensible migraron de HTTP a HTTPS.

HTTPS ilustrado

De modo más coloquial, diríamos que la diferencia elemental entre HTTP y HTTPS es la manera en la que viajan nuestros datos mientras usamos una web.

• Si alguien intercepta nuestra navegación en un sitio con HTTP, puede ver y leer la información (nuestros datos resultan accesibles para quien intercepte la comunicación).
• Mientras que si alguien intercepta una navegación en un sitio con el protocolo HTTPS no podrá leer la información (nuestros datos) ya que estará encriptada, es decir, cifrada.
• O sea, con HTTPS los datos viajan de manera segura y resultan ilegibles si son robados (el mensaje que se puede llegar a ver es un montón de letras y números mezclados).
• Mientras que en un sitio con HTTP, el que intercepta (hackea) puede acceder a los datos de la tarjeta de crédito, en una web con HTTPS el intruso se encontrará con un serie de caracteres aleatorios de este estilo: ITM0IRyiEhVpa6VnKyExMiEgN1ve+royW=

Ya sabemos que si a la URL la antecede el símbolo del candado (🔒), esto indica que es un sitio seguro y que los datos que envías o recibes mediante este sitio son privados.

De todos modos, siempre hay que ser prudente con nuestra información privada y, a su vez, debes asegurarte de que estás en el sitio web que quieres visitar. Es decir, que puede ser un sitio seguro, pero ser un sitio distinto del que realmente pensamos que es. Hay que asegurarse de estar en la URL correcta.

Chrome: ¿y si no aparece el candado? 

¿Qué sucede? ¿Podemos utilizar el sitio? Independientemente del navegador que utilices, la advertencia es la misma: no conviene dar información sensible a estos sitios e incluso no conviene directamente utilizarlos.

En el caso de Chrome (el navegador de Google), además del candado, hay dos símbolos distintos que señalan hasta qué punto considera: 

• si es seguro utilizar un sitio, 
• si posee certificado de seguridad, 
• si confía en ese certificado, y 
• si ha establecido una conexión privada con el sitio.

Estos son los dos símbolos y su significado en Chrome:

Información o No es seguro: “El sitio no usa una conexión privada. Es posible que otro usuario pueda revisar o cambiar la información que envíes o recibas a través de este sitio”, dice Google. 

⚠ No es seguro o Es peligroso: Google recomienda no introducir información personal ni privada en esta página web. “Si es posible, no utilices este sitio”, aconseja.

En caso de que algún sitio de confianza no utilice HTTPS e igual quieras confiar, hay maneras de configurar tu navegador para que de todos modos te muestre contenido que no considera seguro. 

Aquí tienes más información al respecto.

La banca digital, los sitios de compras o cualquier sitio que utilice cuentas de usuarios con contraseñas, o bien donde se introduzcan datos de tarjetas de crédito o débito u otros medios de pago, deben ofrecer una conexión HTTPS (¡con S y con candado!).

Lo mismo aplica para redes sociales, cuentas de correo electrónico o cualquier otra web que maneja datos sensibles (personales o financieros), a fin de evitar un daño personal en caso de que esta información sea robada.

Indiferentemente del navegador que se utilice, no es necesario instalar ningún software o programa adicional para reconocer si un sitio es seguro. Basta con que la URL comience con HTTPS (¡con la S!) y tenga el candado (🔒).

Lee además: ¿Con qué frecuencia necesitas cambiar tu contraseña?

Colombia tenía aproximadamente 35,2 millones de usuarios de internet en 2021, según Statista, que proyecta para 2027 que la cantidad de usuarios que se conectarán a la Web alcanzará los 37,7 millones.

Si estás leyendo este artículo, es porque eres uno de estos millones y lo mejor es que tomes los mayores recaudos al navegar por la web, sobre todo cuando se trata de hacer compras u otra operación en línea que incluya datos sensibles, a fin de evitar ser víctima de una estafa o un fraude.

Lo bueno es que ahora ya sabes que hay un primer paso fundamental y simple para reconocer que la web en la que estás es segura: debes verificar que tiene el candado (🔒) y comience con HTTPS (con la S), tal como hace la web de nuestro blog: https://blog.nu.com.co/. 

Un dato más 

Si haces clic en el ícono del candado ubicado en la barra de direcciones o URL, podrás informarte sobre los detalles de privacidad y los permisos del sitio web.

Si el sitio no es seguro (solo HTTP, sin la S), a veces ofrece la opción de realizar una conexión segura o no segura al momento de acceder. Lo aconsejable es utilizar una conexión segura, en caso de ser posible, para garantizar que la información que envíe esté protegida.

Recuerda: debes evitar ingresar cualquier información personal, financiera o sensible en sitios que no sean seguros o sean peligrosos.

Al fin de cuentas, se trata de tu información personal y de tu propia tranquilidad.

Fuentes con información sobre HTTPS:

• Google

• Semrush

• Cloudflare

• Ahrefs

Lee también: SOS Nu: una guía sobre cómo actuar en caso de estafas, robos y otras emergencias

Este contenido es parte de la misión de Nu Colombia de dar a las personas control sobre sus vidas financieras. ¿Todavía no estás familiarizado con Nu? Conoce más sobre nuestros productos y nuestra historia haciendo clic en el botón Quiero mi Tarjeta Nu.