CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Llegan las advertencias sobre sitios HTTP 'no seguros' que prometió Chrome

Toma nota si ves la advertencia, pero no te asustes si no la ves.

A slide from a Google I/O talk where the company's engineers urged website operators to encrypt website connections with HTTPS.

Una diapositiva de una charla de Google I/O donde los ingenieros de la empresa instaron a los operadores de sitios Web a encriptar las conexiones de sitios Web con HTTPS.

Stephen Shankland/CNET

Hace tres años y medio, Google predijo que llegaría el día en que Chrome nos advertiría sobre los riesgos de seguridad de usar la tecnología HTTP seminal de la Web para entregar páginas Web a tu navegador.

Pues ese día ha llegado y es hoy mismo.

La versión más reciente del navegador web de Google, Chrome 68, da un nuevo protagonismo a un amplio esfuerzo para reducir los riesgos de vigilancia, alteración y seguridad en la Web al mostrar una advertencia "no segura" para cualquier sitio web HTTP. En cambio, Google quiere que los operadores de sitios Web usen HTTPS, lo que agrega cifrado a la conexión entre tu navegador y la computadora que aloja un sitio Web.

HTTPS bloquea una serie de problemas, como "inyectar" anuncios, hacer que tu navegador ejecute software para extraer la criptomoneda de otra persona o enviarlo a sitios Web falsos para robar tus contraseñas.

Google anunció la advertencia de seguridad largamente planificada en una entrada de blog el martes. "Esto hace que sea más fácil saber si tu información personal es segura a medida que navegas por la Web, ya sea que estés revisando tu cuenta bancaria o comprando boletos para un concierto", dijo Emily Schechter, gerente de productos de seguridad de Chrome.

La advertencia de "no seguro" no indica que has sido pirateado, solo que no estás tan protegido si alguien intenta hacerlo.

HTTPS ahora es muy común

HTTPS una vez fue poco frecuente, y servía para proteger inicios de sesión y transacciones de comercio electrónico. Pero ahora es común: protege el 85 por ciento del tráfico de Chrome de las computadoras personales y el 76 por ciento en Android, dijo Schechter. La mayoría de los grandes sitios que seguro usas a diario (Facebook, Yahoo, Google, Twitter, YouTube, Reddit) llevan mucho tiempo ofreciendo HTTPS.

Pero no es universal. Solo cinco sextos de los 100 mejores sitios Web lo emplean de forma predeterminada, y no es difícil encontrar sitios como ESPN que te envíen a una conexión HTTP no cifrada, incluso si escribes específicamente https://www.espn.com en la barra de direcciones de tu navegador.

Chrome está cambiando la forma en que gestiona los sitios Web cargados con HTTP, que no cifra los datos. La antigua manera mostrada en la parte superior se reemplaza con una advertencia "no segura". En el fondo está la advertencia que muestra Chrome si haces clic en el icono de información.

Stephen Shankland/CNET

Chrome es el navegador más popular, pues representa el 59 por ciento del uso de sitios Web, según la firma de análisis StatCounter. Es por eso que sus elecciones tienen mucho peso.

Proteger las comunicaciones del sitio Web con HTTPS solía ser más difícil, en parte porque costaba dinero. Pero un esfuerzo patrocinado por Google, Mozilla, Facebook y otros llamados Let's Encrypt ha permitido obtener el certificado necesario. Todavía toma trabajo actualizar un sitio web a HTTPS.

Próxima fase en los planes para implementar HTTPS

La postura de Google contra HTTP y a favor del cambio de HTTPS ha sido gradual. Comenzó con advertencias cuando HTTP se usaba en páginas Web donde podías compartir información confidencial como contraseñas y números de tarjetas de crédito. La advertencia de hoy, que se muestra en texto negro en el lado izquierdo de la barra de direcciones de Chrome, es para cualquier sitio web HTTP.

Sin embargo, el cambio que llega el martes con Chrome 68 no es el último. Chrome 69 (que llegará en septiembre) cambiará de la etiqueta "segura" de palabra verde de los sitios web HTTPS a un negro menos obvio. Chrome 70 en octubre cambiará la advertencia "no segura" a palabras rojas más notorias. Y una versión posterior eliminará la etiqueta "segura" para los sitios web HTTPS, lo que refleja la creencia de Google de que el cifrado HTTPS debe ser la norma, no algo que deba verificarse.

"Nuestro objetivo final es que el estado predeterminado no marcado sea seguro", dijo Schechter.