HTTPS: qué significa y por qué es im­po­r­ta­n­te

Todo el mundo se beneficia de la increíble variedad de páginas web que hay en Internet: en­co­n­tra­mos ocio, in­fo­r­ma­ción, in­s­pi­ra­ción y servicios en ca­n­ti­da­des apa­re­n­te­me­n­te ili­mi­ta­das. Por desgracia, no todas las páginas son benignas: como en el mundo analógico, hay em­pre­sa­rios con dobles in­te­n­cio­nes, de­li­n­cue­n­cia y crimen or­ga­ni­za­do. De esta manera, por ejemplo, un usuario de la banca en línea puede ser engañado por una página web frau­du­le­n­ta para obtener los datos de acceso a sus cuentas, o alguien puede instalar un punto de acceso wifi público para espiar la co­mu­ni­ca­ción entre dos o más personas.

A principio, todo el tráfico de datos de Internet se ge­s­tio­na­ba abie­r­ta­me­n­te, en texto plano y fácil de piratear. El protocolo HTTP media la co­mu­ni­ca­ción entre el cliente (navegador) y el servidor web sin cifrar, lo que facilita las ac­ti­vi­da­des cri­mi­na­les, como el espionaje de metadatos o los ataques man-in-the-middle.

El protocolo HTTPS se de­sa­rro­lló para que la na­ve­ga­ción web sea más segura. Te contamos en qué consiste y cómo funciona.

HTTPS son las siglas de Hypertext Transfer Protocol Secure (en español, protocolo seguro de tra­n­s­fe­re­n­cia de hi­pe­r­te­x­to). En cierto sentido, el protocolo de tra­n­s­fe­re­n­cia es el lenguaje en el que el cliente web ―ge­ne­ra­l­me­n­te el navegador― y el servidor web se comunican entre sí. HTTPS es una versión del protocolo de tra­n­s­fe­re­n­cia que utiliza un cifrado seguro para la co­mu­ni­ca­ción.

HTTPS cumple las si­guie­n­tes dos funciones:

La co­mu­ni­ca­ción entre el cliente web y el servidor web está cifrada. Mediante este sistema, se evita que un tercero no au­to­ri­za­do tenga acceso los datos, por ejemplo, ob­se­r­va­n­do el tráfico de la red wifi.

El servidor web se autentica enviando un ce­r­ti­fi­ca­do al navegador justo al comienzo de la tra­n­s­mi­sión de datos, que garantiza la fia­bi­li­dad del dominio. Esta medida ayuda a combatir el fraude por parte de páginas web falsas.

¿En qué se di­fe­re­n­cian HTTP y HTTPS? La respuesta es simple, té­c­ni­ca­me­n­te no se di­fe­re­n­cian en nada. El protocolo en sí, es decir, la sintaxis, es idéntica en ambas variantes.

Sin embargo, HTTPS utiliza un protocolo de tra­n­s­mi­sión especial, de­no­mi­na­do SSL/TLS. No es el protocolo en sí el que ofrece más seguridad, sino el tipo de tra­n­s­fe­re­n­cia. Para que lo entiendas mejor, considera la siguiente analogía:

• Dos personas están hablando por teléfono.
• Utilizan un lenguaje común para co­mu­ni­car­se: HTTP.
• La conexión te­le­fó­ni­ca a través de la cual se realiza la llamada no está cifrada en el caso de HTTP. Con HTTPS, la co­mu­ni­ca­ción está protegida frente a terceros.

La siguiente tabla resume las di­fe­re­n­cias más im­po­r­ta­n­tes desde la pe­r­s­pe­c­ti­va del usuario:

De­pe­n­die­n­do del navegador y la co­n­fi­gu­ra­ción de seguridad, el software incluso se negará a abrir las páginas web no seguras o mostrará una ad­ve­r­te­n­cia en su lugar.

No es HTTP en sí mismo el re­s­po­n­sa­ble de la seguridad, sino el protocolo de tra­n­s­fe­re­n­cia su­b­ya­ce­n­te. ¿Cuál es la di­fe­re­n­cia?

El protocolo HTTP solo regula cómo debe es­tru­c­tu­rar­se el contenido que el navegador y el servidor web in­te­r­ca­m­bian entre sí. El protocolo de tra­n­s­fe­re­n­cia, en cambio, indica cómo se tra­n­s­fie­ren los flujos de datos entre los or­de­na­do­res. Por ejemplo, asegura que no se pierdan paquetes de datos. El protocolo de tra­n­s­fe­re­n­cia estándar, que también es el que utiliza HTTP, es TCP o Tra­n­s­mi­s­sion Control Protocol (protocolo de control de tra­n­s­mi­sión).

Existe una extensión de este protocolo de tra­n­s­fe­re­n­cia que cifra los flujos de datos: se denomina TLS (an­te­rio­r­me­n­te, SSL). Todos los datos que se tra­n­s­mi­tan mediante este protocolo se cifran de tal manera que solo el de­s­ti­na­ta­rio real (el navegador o el servidor web) pueden acceder al contenido tra­n­s­fe­ri­do.

Cuando un URL empieza con https://, el navegador añade au­to­má­ti­ca­me­n­te el número de puerto 443. Este número le indica al ordenador receptor que debe co­mu­ni­car­se a través de TLS/SSL.

La capacidad de los hackers para espiar y manipular páginas web no deja de aumentar. Por ello, es im­po­r­ta­n­te cifrar los flujos de datos, es­pe­cia­l­me­n­te en las redes de libre acceso, como los puntos de conexión wifi pública.

HTTPS es el nuevo estándar. Como ya hemos me­n­cio­na­do, las páginas web que no tienen el ce­r­ti­fi­ca­do son de­s­ta­ca­das ne­ga­ti­va­me­n­te o blo­quea­das por los na­ve­ga­do­res actuales. Además, es probable que HTTPS tenga un efecto positivo en el po­si­cio­na­mie­n­to en Google, aun cuando Google todavía no lo ha re­co­no­ci­do ex­pre­sa­me­n­te.

En Europa, el Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD) estipula que las páginas web deben ma­n­te­ne­r­se ac­tua­li­za­das en términos de seguridad, por lo que todas deberían estar en HTTPS.