Utilizamos cookies propias y de terceros para mejorar nuestros servicios, mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información en nuestra política de cookies

×

REDALIA LABS

Investigación e innovación en seguridad online y aplicaciones en la nube para profesionales y empresas

Juntos, crecemos más

Diagnósticos globales

España mejora en HTTPS, pero la Validación Extendida es la asignatura pendiente

Analizamos el estado actual de la seguridad SSL de los sites más visitados en España y en los sectores más relevantes


Internet se ha convertido en una herramienta imprescindible en el día a día y la seguridad en su aliado indispensable. Tras el aviso de google el pasado año de mostrar como no seguros los sitios web que no contaran con un certificado SSL, https se convirtió en un protocolo obligatorio. Pero desde este aviso, ¿la situación ha cambiado o la seguridad sigue siendo un tema pendiente?

Situación actual

Por segundo año consecutivo analizamos la situación actual de seguridad web en España (estudio de 2017). Este estudio trata de analizar la evolución de la seguridad de los sitios web con mayor tráfico de España, además de analizar los sectores de mayor influencia online, el sector de los medios de comunicación tras el suspenso fulminante en el estudio de 2017, también analizamos los sites de ecommerce que generan más facturación en España y por último, el sector de bancario y de apuestas online, un sector muy sensible y que no puede permitirse quedar a la cola en las tendencias online.

En el estudio de 2017, casi el 50% de los sites más visitados eran inseguros. Ahora en 2018, la cifra mejora hasta un 76% (no EV + EV):

Situación de seguridad SSL y HTTPS en España

El estudio comienza por analizar el estado de HTTPS en los 50 sitios web más visitados en España (la mayoría son los mismos que el año anterior y entran 4 nuevos sites), los cuales se estima que generan aproximadamente el 25% del tráfico en el país. La siguiente tabla muestra el estado del HTTPS de los sites analizados:

  # Site HTTPS activo HTTPS sin errores EV
      2017 2018 2017 2018  
Google 1 Google.es
Youtube 2 Youtube.com
Google.com 3 Google.com
Facebook 4 Facebook.com
Facebook 5 Live.com
Amazon 6 Amazon.es
Yahoo 7 Yahoo.com
Twitter 8 Twitter.com
Instagram 9 Instagram.com
Wikipedia 10 Wikipedia.org
Marca 11 Marca.com
Elpais 12 Elpais.com ES (mejora)
milanuncios 13 milanuncios.com ES (mejora)
elmundo 14 elmundo.es ES
aliexpress 15 aliexpress.com
xvideos 16 xvideos.com (mejora)
as 17 as.com ES
msn 18 msn.com
ebay 19 ebay.es
whatsapp 20 whatsapp.com
linkedin 21 linkedin.com
idealista 22 idealista.com ES
wordpress 23 wordpress.com
elconfidencial 24 elconfidencial.com ES (mejora)
pornhub 25 pornhub.com (mejora)
pordede 26 pordede.com ES
bet365 27 bet365.es
pinterest 28 pinterest.com
lavanguardia 29 lavanguardia.com ES
abc 30 abc.es ES
booking 31 booking.com
tumblr 32 tumblr.com
mediamarkt 33 mediamarkt.es ES
forocoches 34 forocoches.com ES
wordreference 35 wordreference.com
divxtotal 36 divxtotal2.net ES
20minutos 37 20minutos.es ES
telecinco 38 telecinco.es ES
dropbox 39 dropbox.com
infojobs 40 infojobs.net ES (mejora)
eltiempo 41 eltiempo.es ES
tripadvisor 42 tripadvisor.es
elcorteingles 43 elcorteingles.es ES (empeora)
netflix 44 netflix.com
xnxx 45 xnxx.com
paypal 46 paypal.com
ok diario 47 okdiario.com - -
hola.com 48 hola.com - -
lacaixa 49 caixabank.es - -
reddit 50 reddit.com - -

50 de las webs más visitadas en España, último trimestre de 2017

En el top 10 siguen estando empresas punteras en el sector digital y tecnológico, éstas ya contaban con el protocolo https en sus sites. Algunas como elpais.com, milanuncios.com o xvideos.com han incorporado este protocolo y ya ofrecen una comunicación segura en su site.

Seguridad web y medios de comunicación no parecen buenos aliados

Tras el primer informe de Redalia sobre la seguridad web, algunos medios de comunicación como El País tomaron medidas y, como se puede ver en la tabla, desde entonces utilizan el protcolo https. La publicación del estudio fue un punto de inflexión para este medio que, haciendo referencia al informe elaborado por Redalia, comunicaron la incorporación del protocolo https a su web

  HTTPS activo HTTPS sin errores EV
Marca.com
Elpais.com
Elmundo.com
As.com
Elconfidencial.com
Lavanguardia.com
Abc.com
20minutos.com
Telecinco.es
Rtve.es
Okdiario.com

Son muy pocos los medios de comunicación que protegen a sus usuarios con una navegación segura. De los medios de prensa digital con más influencia en España y que generan gran parte del tráfico diario como Marca, El Mundo, ABC o incluso Radio Televisión Española, no incluyen un certificado de seguridad que proporcione un protocolo seguro para acceder a la web. Esto significa que la comunicación entre el usuario y la web no es segura y puede ser interceptada y modificada por terceros. Los únicos que han incorporado un certificado SSL desde el último informe realizado han sido El País, 20minutos.es, okdiario y elconfidencial.com

El 66% de las tiendas online que más venden en España no cuentan con la "barra verde"

Según datos de E-commerce Europe, España se sitúa en la 4ª posición en el ranking de ventas online dentro de la Unión Europea. Por detrás de Reino Unido, Alemania y Francia. El perfil del usuario online español es de personas entre 25 y 49 años que viven en ciudades de tamaño medio o grandes. Los sectores más demandados son moda (48%), tecnología (36%), material deportivo, productos de alimentación y cosméticos o belleza (16%). Analizamos los 15 ecommerce que más venden en España

  HTTPS activo HTTPS sin errores EV
Amazon.es
Aliexpress.com
Mediamarkt.es
Elcorteingles.es
Zara.com
Pccomponentes.com
Vente-privee.com
Apple.com
Carrefour.es
Zalando.com
Mercadona.es
Decathlon.es
Privalia.com
Asos.com
Ebay.es

Estas webs, de forma general cumplen con el estándar de seguridad HTTPS, aunque pueden incorporar algunas mejoras, páginas como Amazon, Media Markt o Zara no inlcuyen la Validación EV (barra verde). Esta validación asegura que la entidad de certificación correspondiente ha comprobado que la empresa es operativa y real, además de haber contactado con la empresa para certificar que todo es correcto y legal. También hemos podido comprobar que El Corte Inglés no tiene activado el protocolo por defecto en sus portales y Asos no cuenta con seguridad HTTPS.

Apuestas y bancos

Cuando el dinero entra en juego, la seguridad es clave. Este sector está al día en lo que respecta al mundo digital, en las páginas de apuestas online, la seguridad se ha convertido en un factor vital. El 85% de los sites analizados cumplen los requisitos de seguridad, aunque son muy pocos los que cuentan con un certificado EV o certificado de Validación Extendida. La seguridad que transmiten este tipo de certificados son de mayor reputación frente a la Validación de Dominio o Validación Estándar, que muestran simplemente un candado.

  HTTPS activo HTTPS sin errores EV
Bancosantander.es
Caixabank.es
Bbva.es
Ing.es
Bwin.es
Codere.es
Williamhill.es
Bet365.es
Labruixador.es
Hispaloto.es
Lotopia.com
Loteriasyapuestas.es
Loteriamanolita.com

En el caso de bancos y apuestas, nos preocupa que William Hill y La Bruixa D'or no tengan HTTPS por defecto. En el lado opuesto, vemos que sí lo hacen bien y destacan tanto ING como Hispaloto al tener un EV.

¿Qué aporta el EV y por qué insistimos tanto?

Imaginemos una web falsa montada para engañar a los clientes de un negocio (phising), que consigue un nombre de dominio similar y que incluso consigue obtener un certificado SSL de validación de dominio, lo cual puede ser factible ya que en los certificados SSL con validación de dominio las entidades certificadoras a priori sólo validan que el propietario del dominio es quien realmente está solicitando ese certificado SSL. Sin embargo, esto con un certificado EV no ocurre ya que se comprueba de forma manual y humana que la empresa que está detrás del dominio es quien solicita el certificado SSL

Por ello es recomendable que todos los sites que realicen comercio electrónico utilicen un certificado EV que demuestre su autenticidad. Si un usuario no ve esa barra verde, desconfiaría

Los certificados de Validación Extendida (EV) hacen que la seguridad de una web sea visible de forma rápida, transmitiendo seguridad a los usuarios. Estos certificados mejoran las tasas de conversión, se crearon específicamente para aumentar la confianza de los clientes en el comercio electrónico. Este tipo de certificados tienen un proceso de verificación riguroso y son facilmente identificables en los navegadores con la barra de direcciones verde, característica exclusiva de EV. Son por excelencia los certificados que mayor seguridad transmiten.

Los certificados EV incorporan algunas de las normas más altas de seguridad de identidad, verifica que la empresa está legalmente constituida y la propiedad del dominio por parte de la misma.

Algunos ejemplos de EV

Conclusiones

El top 10 está al día en lo que respecta a seguridad web, pero sigue siendo un tema pendiente. Son muy pocos los sitios web que han migrado a HTTPS desde el aviso de Google, y los que utilizan este protocolo lo hacen con un certificado de dominio, la solución más sencilla para securizar la información, pero no la que más garantías y seguridad transmiten al usuario.

Sólo el 34% de los ecommerce que más facturan en España pueden presumir de "barra verde", estos sites apuestan por una seguridad visible, factor esencial para transmitar confianza a los usuarios y que puede influir de manera positiva a la hora de realizar una compra.

Suspenso fulminante en Validación Extendida para el sector bancario y de apuestas online. Sólo dos sites de los 13 analizados han optado por certificados EV que utilizan el mayor nivel de autenticación.

En general, podemos concluir el estudio diciendo que el 66% de las páginas analizadas cuentan con un certificado de seguridad estándar, que proporciona una conexión segura entre el usuario y la web, pero son muy pocas las que han optado por el una seguridad superior, sólo el 8% de las webs más visitadas en España.

Más información:

  1. Estado de SSL en España en el año 2017
  2. Qué es un certificado SSL
  3. El protocolo SSL
  4. Obtener un certificado SSL
  5. Chrome 56 Beta: “Not Secure”
  6. API Deprecations and Removals in Chrome 56

Esta página fue modificada por última vez el 30 ene 2017 a las 10:53

Obtener SSL

Grandes descuentos