La seguridad en internet está presente casi todos los días en los medios de comunicación con noticias, mayormente negativas, relacionadas con fallos de seguridad, ataques a empresas y robos masivos de información. La seguridad depende de muchísimos factores y todos, desde los usuarios hasta las empresas, pasando por fabricantes de hardware y software, debemos asumir nuestra responsabilidad. Dentro del amplio mundo de la seguridad en internet me voy a centrar en la necesidad de tener un sitio web seguro y los beneficios que aporta.
Todos hemos visto 'http' al principio de las direcciones de sitios web. Indica al navegador que se utilice el protocolo 'HTTP' para comunicarse con el sitio web. La información que intercambian el navegador y el sitio web cuando se comunican por 'HTTP' no está cifrada y cualquiera que pueda interceptar esa comunicación podrá espiar o incluso modificar la información transmitida.
Como solución a este problema de seguridad surgió el protocolo 'HTTPS', donde la 'S' hace referencia a la seguridad. Cuando la dirección de un sitio web empieza por 'https' el navegador y el sitio web negocian el cifrado de la información que van a intercambiar, de forma que sólo ambas partes puedan leer la información y evitando al mismo tiempo que la información pueda ser modificada en tránsito.
Beneficios
¿Tu empresa tiene un sitio web que no es seguro? Este es el momento de cambiar esa situación. Esto son algunos de los beneficios y consideraciones que se deben tener en cuenta.
Protección de información sensible
Si tu sitio web recopila u ofrece información sensible de tus usuarios o clientes debes protegerla. Si la comunicación no está cifrada cualquier persona que pueda interceptar esa comunicación podrá obtener la información transmitida. Se debe tener en cuenta que muchos usuarios, de forma incorrecta, utilizan canales de comunicación poco seguros, como por ejemplo las redes WiFi públicas, que les dejan a merced de cualquiera que pueda escuchar las comunicaciones. Si el sitio web es seguro la información será transmitida de forma cifrada, a salvo de terceros.
Protección de accesos autenticados
Si tu sitio web, intranet o extranet requiere que los usuarios, clientes o empleados se autentiquen para acceder a un área privada es muy importante que el sitio web sea seguro. De esa manera se podrá evitar que el usuario y contraseña transmitidos sean obtenidos por otras personas que intercepten la comunicación. Es cierto que utilizar un doble factor de autenticación también ayudará, pero no debe considerarse como una alternativa a un sitio web seguro.
Compromiso con la seguridad y los usuarios
Por todo lo dicho en los puntos anteriores, tener un sitio web seguro es una muestra del compromiso que adquiere la empresa propietaria del sitio web con sus usuarios. Ofrecer un sitio web seguro es decirle a los usuarios: nos importáis, valoramos la seguridad, valoramos vuestra privacidad y cuidamos de vuestra información.
Posicionamiento en buscadores
La valoración de la seguridad está al alza y viene de lejos. Ya en agosto de 2014 Google anunció que iba a empezar a considerar el uso de HTTPS de cara a posicionar mejor a los sitios web en las páginas de resultados de su buscador. En diciembre de 2015 Google anunció que iba a indexar de forma preferente las páginas seguras de un sitio web. Es decir, si un sitio web ofrece la misma página de forma segura y no segura (por 'http' y por 'https') Google indexará preferentemente la versión segura. Existe un proyecto denominado MOZCAST que analiza los resultados que aparecen en las páginas de resultados del buscador de Google. En su página 'Google SERP feature map' (donde SERP significa 'Search Engine Result Pages') se puede ver que las páginas de sitios web seguras alcanzan ya el 80% de los resultados y su tendencia es al alza. Que un sitio web sea seguro no es un factor determinante para su posicionamiento, pero cada vez va a tener más peso. Tenlo en cuenta.
¿Quieres o debes rediseñar, optimizar o actualizar tu sitio web?
Averigua a través de este cuestionario cuál es la mejor solución para ti
Navegadores apostando por la seguridad
Mozilla ha anunciado que la versión 59 de Firefox (la actual es la 58) mostrará como inseguros todos los sitios web que no utilicen HTTPS. Actualmente Firefox ya muestra una advertencia en los campos para autenticarse en un sitio web si este no es HTTPS. El navegador Chrome hace algo similar. Cuando se presenta un formulario de autenticación en un sitio web que no utiliza HTTPS, a la izquierda de la barra de direcciones se muestra el mensaje 'No es seguro'. Además, Chrome marcará como inseguros los sitios web que no utilicen HTTPS en la versión 68 (la actual es la 65), que se espera para julio de 2018. Otros navegadores van en la misma línea. El objetivo es dejar claro al usuario que está desprotegido en el envío de información entre su navegador y el sitio web. Esta es una razón más que nos debe animar a que nuestra empresa tenga un sitio web seguro.
El internet de las cosas
Cada vez nos encontramos en el mercado con todo tipo de equipos electrónicos (frigoríficos, televisores, termostatos, equipamiento deportivo y médico, juguetes, etc.) que están conectados a internet. Es el Internet de las cosas (del inglés: Internet of Things). ¿Tu empresa vende o tiene pensado vender equipamiento que se conecta a internet, directamente o a través de una aplicación móvil? En muchas ocasiones esos equipos transmiten información personal y privada a los servidores de sus respectivos fabricantes utilizando tecnología web. La comunicación con estos sitios web también debe hacerse a través de HTTPS. Debemos hacer el Internet de las cosas seguro.
La iniciativa Let's Encrypt
Por si no había quedado claro en los puntos anteriores lo resumiré en una frase: el mundo de internet se ha volcado en la implantación de sitios web seguros y en la desaparición de HTTP. Una iniciativa más en este sentido es Let's Encrypt. Está impulsada por Internet Security Research Group (ISRG) y tiene por objetivo facilitar la transición de sitios web no seguros a sitios web seguros ofreciendo certificados digitales de servidor de forma gratuita. Para que un sitio web pueda ser seguro hay que instalar en su servidor web un certificado emitido por una entidad certificadora que garantice la autenticidad del certificado. Existen muchas entidades certificadoras que emiten certificados y cobran por ese servicio. Para que el coste de los certificados no sea una barrera (a pesar de que a partir de unos 45 € anuales se puede conseguir uno) Let's Encrypt emite certificados de forma gratuita, eliminado la barrera económica. Debe quedar claro que existen varios tipos de certificados y que este gratuito puede no ser válido para una empresa, como lo explicamos en nuestro artículo "HTTPS: sitios web seguros".
Sitio web seguro de calidad
Se puede tener un sitio web seguro de muchas maneras y con diferentes tecnologías. SSL Labs tiene un sitio web que nos permite comprobar la calidad de la seguridad HTTPS de un sitio web de forma gratuita. El resultado de sus pruebas es bastante técnico y va dirigido a los técnicos de sistemas de un sitio web. Tiene un gran valor porque si chequeamos nuestro sitio web seguro quizás podamos encontrar que utiliza tecnologías obsoletas, está mal configurado o quizás descubramos que podríamos aumentar la seguridad con algunos cambios. Si queremos ofrecer un sitio web seguro, hagámoslo bien.
En resumen, internet se encamina hacia la seguridad y tu empresa debe estar ahí. Es una cuestión de atender, considerar y cuidar adecuadamente las comunicaciones con tus usuarios y su información personal. Adicionalmente tu sitio web estará mejor valorado por los buscadores.
Comentarios
No hay comentarios