¿Circulan nuestros datos personales de forma segura por la Red?

https

Todos deberíamos hacernos la pregunta que da título a este post cuando nos registramos o hacemos login en cualquiera de las páginas que usamos a diario.

Es verdad que el uso del protocolo seguro HTTPS para el envío de información cifrada a través de la Red se ha extendido en los últimos años gracias a normativas que obligan su implementación (LSSI, LOPD, PCI DSS), así como a una mayor concienciación de los responsables de las webs y de los usuarios recelosos de proporcionar sus datos si no hay una garantía de privacidad y seguridad.

Pero, por desgracia, aún queda mucho camino por recorrer antes de que podamos decir que todos los sitios webs implementan mecanismos para proteger los datos del usuario.

Hemos analizado algunas webs de los medios de comunicación más populares en distintos países para comprobar cuáles implementan HTTPS en las páginas de login y registro. Con la siguiente tabla, que refleja nuestras conclusiones, podemos hacernos una idea del grado de concienciación en seguridad.

Nota: Los nombres de las webs que no implementan HTTPS se han ocultado para no dañar la imagen de las mismas, ya que ése no es el objetivo de este análisis.

Se puede observar cómo hay países en los que el uso de protocolos seguros para transmitir datos sensibles está muy extendido y tienen un porcentaje alto de implementación: USA, Reino Unido y Alemania. Hay otros en los que el uso de protocolos seguros brilla por su ausencia: Francia, Portugal y Brasil. Y en el caso de España, si no contamos las webs de PRISA, el uso de protocolos seguros es casi inexistente en las webs seleccionadas para la muestra

Ahora daré una serie de “trucos” para identificar si una página protege nuestros datos cuando circulan por la Red. Intentaré no utilizar términos demasiado técnicos.

Para saber si una página está cifrando las comunicaciones con nuestros datos personales podemos fijarnos en la URL (enlace que aparece en la parte superior del navegador) y si aparecen las siglas HTTPS, es que los datos viajan cifrados. Por ejemplo, en la página de registro de cincodias.com no hay lugar a dudas: aparece https://seguro.cincodias.com:

Hay otros casos en los que en la URL no aparece HTTPS y no nos deja claro si el acceso es seguro o no. Entonces, para despejar dudas podemos comprobar si los datos se envían cifrados (usando https) o no. Para ello podemos usar una sencilla aplicación de Firefox llamada TamperData, la cual  es un add-on del navegador y nos informa de las peticiones que hace nuestro navegador. Pongamos el ejemplo del registro de www.as.com:

Como no aparece HTTPS,  vamos a ejecutar TamperData y luego simularemos un registro para ver si realmente se envían los datos con un protocolo seguro o si por el contrario se hace a través de HTTP básico. Introducimos unos datos de prueba, le damos a registrar y buscamos en la ventana de TamperData el envío con los datos del registro (normalmente es un envío usando el método POST). Si se envía a una URL con HTTP significa que se está haciendo de forma insegura y si por el contrario se envía a alguna dirección con HTTPS, se está haciendo de forma segura.

Siguiendo con el ejemplo de AS vemos que los datos se envían a https://seguro.as.com  lo que quiere decir que se están enviando de forma correcta.

Los datos enviados a internet de forma insegura (sin HTTPS) son muy fáciles de interceptar por un hacker que esté bien posicionado en la red y por ello tenemos que ser conscientes de cómo se envían nuestros datos. Es una buena costumbre comprobar que las webs cuidan la privacidad y podemos exigir este derecho, que en España está regulado y es de obligado cumplimiento.

Miguel Ángel Torres

Responsable de Seguridad Lógica

PRISA Digital

Deja un comentario

MENU
Leer entrada anterior
folletines
El ebook reinventa los folletines por entregas

Tal era la curiosidad que despertaban los folletines por entregas en los diarios del siglo XIX que los lectores americanos...

Cerrar