España suspende en seguridad web HTTPS
Administración pública, medios de comunicación y partidos políticos, entre los casos más destacados por su falta de protección
En los últimos años, los principales consorcios internacionales que determinan los caminos que debe seguir Internet, han hecho esfuerzos enormes para que la red sea cada vez un sitio más seguro. Sin ir más lejos, en marzo del pasado año, en Alemania tuvo lugar el World Hosting Days (WHD), en el que se puso de manifiesto que en un plazo de un año se debía iniciar la migración masiva hacia la seguridad total de todos los sitios web del mundo. Ese día ha llegado, y aquellos sitios web que no hayan migrado aún, deberán migrar hacia la web segura si no quieren ser penalizados por buscadores, navegadores y por supuesto usuarios.
Situación actual
El equipo de Redalia ha realizado un estudio de la situación actual (principios de 2017), y en España casi el 50 % de los sitios más visitados son inseguros o tienen una configuración incorrecta de su seguridad web.
El estudio comienza por analizar el estado de HTTPS en los 50 sitios web más visitados en España, los cuales se estima que generan aproximadamente el 25% del tráfico en el país. La siguiente tabla muestra el estado del HTTPS de los sites analizados:
| # | Site | HTTPS activo | HTTPS predeterminado | HTTPS sin errores | |
|---|---|---|---|---|---|
 |
1 | Google.es | ✔ | ✔ | ✔ |
 |
2 | Youtube.com | ✔ | ✔ | ✔ |
|
3 | Google.com | ✔ | ✔ | ✔ |
 |
4 | Facebook.com | ✔ | ✔ | ✔ |
 |
5 | Live.com | ✔ | ✔ | ✔ |
 |
6 | Amazon.es | ✔ | ✔ | ✔ |
 |
7 | Yahoo.com | ✔ | ✔ | ✔ |
 |
8 | Twitter.com | ✔ | ✔ | ✔ |
 |
9 | Instagram.com | ✔ | ✔ | ✔ |
 |
10 | Wikipedia.org | ✔ | ✔ | ✔ |
 |
11 | Marca.com | ✘ | ✘ | ✘ |
 |
12 | Elpais.com  Actualizado 04/07/2017 |
✔ | ✔ | ✔ |
 |
13 | milanuncios.com |
✘ | ✘ | ✘ |
 |
14 | elmundo.es |
✘ | ✘ | ✘ |
 |
15 | aliexpress.com | ✔ | ✔ | ✔ |
 |
16 | xvideos.com | ✘ | ✘ | ✘ |
 |
17 | as.com |
✘ | ✘ | ✘ |
 |
18 | msn.com | ✔ | ✘ | ✔ |
 |
19 | ebay.es | ✔ | ✘ | ✔ |
 |
20 | xhamster.com | ✔ | ✔ | ✔ |
 |
21 | whatsapp.com | ✔ | ✔ | ✔ |
 |
22 | linkedin.com | ✔ | ✔ | ✔ |
 |
23 | idealista.com |
✔ | ✔ | ✔ |
 |
24 | wordpress.com | ✔ | ✔ | ✔ |
 |
25 | elconfidencial.com |
✘ | ✘ | ✘ |
 |
26 | pornhub.com | ✘ | ✘ | ✘ |
 |
27 | pordede.com |
✘ | ✘ | ✘ |
 |
28 | bet365.es | ✔ | ✔ | ✔ |
|
29 | googleadservices.com | ✔ | ✔ | ✔ |
 |
30 | mejortorrent.com |
✘ | ✘ | ✘ |
 |
31 | pinterest.com | ✔ | ✔ | ✔ |
 |
32 | lavanguardia.com |
✘ | ✘ | ✘ |
 |
33 | abc.es |
✘ | ✘ | ✘ |
 |
34 | elitetorrent.net |
✔ | ✘ | ✘ |
 |
35 | booking.com | ✔ | ✔ | ✔ |
 |
36 | tumblr.com | ✔ | ✔ | ✔ |
 |
37 | mediamarkt.es |
✔ | ✘ | ✔ |
 |
38 | forocoches.com |
✔ | ✘ | ✔ |
 |
39 | wordreference.com | ✘ | ✘ | ✘ |
|
40 | divxtotal.com |
✘ | ✘ | ✘ |
 |
41 | 20minutos.es |
✘ | ✘ | ✘ |
 |
42 | telecinco.es |
✘ | ✘ | ✘ |
 |
43 | dropbox.com | ✔ | ✔ | ✔ |
 |
44 | infojobs.net |
✔ | ✘ | ✘ |
 |
45 | eltiempo.es |
✔ | ✔ | ✔ |
 |
46 | tripadvisor.es | ✔ | ✔ | ✔ |
 |
47 | elcorteingles.es |
✔ | ✘ | ✔ |
 |
48 | netflix.com | ✔ | ✔ | ✔ |
|
49 | xnxx.com | ✘ | ✘ | ✘ |
 |
50 | paypal.com | ✔ | ✔ | ✔ |
| 51 | canarias7.es Añadido el 04/07/2017 |
✔ | ✔ | ✔ |
Posición en el último trimestre de 2016. Fuente: Webempresa
Podemos extraer varias conclusiones de esta tabla:
- El top 10 cumple: podemos observar como el top 10 cumple con los protocolos de seguridad necesarios. Este hecho, podría no ser casual, ya que al ser empresas tecnológicas punteras, y que se encuentran a la vanguardia de la tecnología, el hecho de disponer de un protocolo seguro también les ayuda a estar en la cabeza del tráfico web.
- Redes sociales: las principales redes sociales, han trabajado de manera correcta este aspecto y cumplen con los estándares. Es el caso de Facebook, Twitter, Instagram, Whatsapp, Linkedin y Pinterest.
- Sites de ecommerce: en lo que respecta a los sitios webs de comercio, se puede concluir que, de forma general, cumplen con el estándar de seguridad HTTPS, aunque disponen de algunas mejoras, como ocurre en las webs de El Corte Inglés, Mediamarkt o eBay, que no tienen activado el protocolo por defecto en sus portales.
- Medios españoles: por último, tal vez la conclusión más preocupante sea la del estado de los medios de comunicación españoles. Y es que, como podemos observar en la tabla, ninguno de ellos cumple con el protocolo de seguridad web (a fecha de enero 2017)
Existen áreas concretas que requieren invertir un mayor esfuerzo que otras. En el siguiente gráfico se puede ver un desglose en función del sector, sobre la configuración de seguridad de sus sitios web:
Los medios de comunicación españoles suspenden de manera fulminante
Tanto prensa generalista como prensa deportiva suspenden de manera aplastante en este estudio sobre seguridad web SSL. Ninguno de los principales medios de comunicación tiene siquiera instalado un certificado SSL que proporcione la encriptación necesaria.
De los 25 medios de prensa digital más influyentes de España, entre los que se encuentran medios como El Mundo, El País, Marca, ABC e incluso la Radio Televisión Pública Española, ni uno solo tiene instalado un certificado de seguridad que proporcione un protocolo seguro para acceder a web. Esto significa que cuando una persona accede a su sitio, la comunicación puede ser interceptada y modificada por terceras personas. Teniendo en cuenta que todos tienen secciones de registro de usuarios, en los que se recopilan contraseñas, todos serán etiquetados como inseguros por parte los navegadores a partir de este mes de enero.
Los partidos políticos emergentes aprueban, los partidos tradicionales suspenden
Otro ámbito que nos inquieta y por ello hemos analizado, es el estado de las webs de los partidos políticos de España. A nivel nacional, los partidos políticos emergentes en los últimos años (Podemos y Ciudadanos) se han mostrado siempre más al día en lo que respecta al mundo digital. Tal vez ese hecho haya producido un mayor empeño por cuidar su imagen en Internet. Ambos poseen certificados de seguridad para que sus sitios web sean seguros. En el caso de Ciudadanos, incluso poseen un certificado de validación extendida (que es el tipo de certificación SSL más alta) para aportar un grado más de confianza a sus usuarios.
Sin embargo, hablando de los partidos tradicionales a nivel nacional (PP y PSOE), ambos suspenden. Ninguno de sus sitios web a nivel nacional, dispone de certificado de seguridad. Es imprescindible que trabajen para cambiar esta situación.
Las administraciones públicas, la gran tarea pendiente
En el caso de las administraciones públicas, la seguridad web siempre ha sido una tarea pendiente.
El principal problema que ha aparecido normalmente al acceder a sitios web de administraciones, es que habitualmente aportan certificados autofirmados, o firmados por la FNMT, que al no ser entidades autorizadas y reconocidas a nivel mundial para este propósito, quedan marcadas como inseguras.
Pero hay muchos casos más preocupantes, en los que ni siquiera tienen un certificado aunque sea autofirmado. Es el caso de los sitios web del Ministerio de Justicia, de la Radio Televisión Pública o Junta de Andalucía, entre otros muchos.
¿Cómo nos afecta que un sitio web no sea seguro?
Cuando accedemos a sitios web, e interactuamos con ellos, estamos estableciendo una comunicación en ambas direcciones. Si esa tarea se realiza sin seguridad web, esto es, sin encriptación, cualquier persona con acceso al canal de comunicación podría obtener la información transmitida e incluso modificarla a su antojo. Se puede pensar que este hecho no es grave, si lo que estamos haciendo es visitar un catálogo de moda, acceder a fotos del último partido de nuestro equipo de fútbol o consultar el tiempo que hace en nuestra ciudad. Pero imaginemos el alcance que podría tener que alguien tuviera acceso a nuestra información personal (DNI, domicilio, teléfono, etc.), a fotos de nuestros hijos o a nuestra información bancaria...
¿Cómo podemos saber que un sitio web es seguro?
En este sentido debemos aclarar que en este estudio, nos referiremos como sitio seguro, a aquél que realice un cifrado de la comunicación que establece con sus visitantes. Existen multitud de puntos adicionales que pueden poner en jaque la seguridad de un sitio web a los que no nos referiremos en este estudio.
La comunicación con un sitio web será segura si, cuando un usuario accede, este site inicia un protocolo de encriptación de la información transmitida en ambos sentidos (es decir, envía información encriptada y sólo acepta información encriptada), la información que una persona consulta en el sitio y los datos que éste introduzca en el mismo; por lo que un tercero nunca podría tener acceso, ni modificar la información que una persona esté consultando en un sitio, ni a los datos que éste introduzca en el mismo.
Esta encriptación, en el caso de los sitios web, se realiza mediante el protocolo SSL, a través de la utilización de certificados de seguridad SSL que hacen que un sitio sea accesible mediante el protocolo https en lugar del protocolo http. Así que siempre que accedamos a una página web, y en su dirección veamos la “S” junto al http (por ejemplo https://www.google.com), podemos confiar en que la comunicación con ese site es segura. En algunos casos es más visible, por ejemplo cuando accedemos a la página de nuestro banco, ya que el navegador nos muestra una barra verde muy llamativa con el nombre del banco. Este hecho se produce por el tipo de certificado que tienen, este tipo de webs tratan información sensible, por ello cuentan con un certificado SSL de Validación Extendida (EV) que garantiza la máxima seguridad en la conexión con la web (en el que la empresa certificadora verifica los datos de la compañía que hay detrás del sitio web).
Más consejos para saber cuándo un sitio es seguro
¿Por qué se ha convertido en un asunto de tanta relevancia ahora?
Desde enero de 2017, el navegador Google Chrome indica de una manera explícita, los sitios web que no sean seguros y que recopilen contraseñas o datos bancarios. Y a lo largo de los siguientes meses, lo hará con todos los sitios web sin excepción. Por lo tanto, es de esperar que los demás navegadores sigan sus pasos.
Conclusiones generales
La seguridad SSL es una tarea pendiente de manera global en toda la web, pero en particular España aún tiene que avanzar mucho si no quiere quedarse atrás en este gran salto que la WWW está dando desde que empezara 2017. De los 50 sitios más visitados en España (los cuales se estima que generen un 25% del tráfico), casi un 50% no tiene una configuración de su seguridad SSL correcta. Es más, un 34% de estos sitios no tienen ningún tipo de seguridad SSL.
La seguridad en las conexiones web ha dejado de ser algo opcional para convertirse en algo obligatorio desde 2017. Los medios de comunicación deben afrontar este hecho y migrar hacia la web segura, antes de que sus sitios web queden obsoletos.
Seguidos de los medios de comunicación, los sitios web para adultos también se encuentran más rezagados en el tema de la seguridad. Además el grupo más heterogéneo de los servicios de Internet (foros, sitios de el tiempo, blogs, sitios de temáticas concretas, páginas personales, etc.) debe pegar un fuerte empujón.
Por último, extraemos que las administraciones públicas deben realizar un fuerte esfuerzo para adaptarse a esta migración masiva hacia la web segura, instalando en sus sitios web, certificados de seguridad emitidos por entidades autorizadas y reconocidas a nivel mundial, para contribuir desde la responsabilidad que se les supone a hacer de Internet un sitio más seguro.
Más información:
- Qué es un certificado SSL
- El protocolo SSL
- Obtener un certificado SSL
- Chrome 56 Beta: “Not Secure”
- API Deprecations and Removals in Chrome 56
Esta página fue modificada por última vez el 20 ene 2017 a las 12:08 04 jul 2017 a las 17:29.
Grandes descuentos