1 of 20
2 of 20
3 of 20
4 of 20
5 of 20
6 of 20
7 of 20
8 of 20
9 of 20
10 of 20
11 of 20
12 of 20
13 of 20
14 of 20
15 of 20
16 of 20
17 of 20
18 of 20
19 of 20
20 of 20

site

doc

blog

success stories

Blog

¿Qué es HTTPS y cómo funciona?

¿Quién nunca ha tenido miedo de poner los datos de su tarjeta de crédito en un sitio web? Me ha pasado y me imagino que tú también te has sentido así. Sin duda, pensar en esto es algo muy común en nuestras vidas, ya que actualmente casi todo se puede hacer en el mundo virtual, situación que se hizo aún más evidente durante la pandemia de COVID-19.

Nuestra dependencia al mundo virtual, sin embargo, tiene un lado oscuro: los cibercriminales que se aprovechan de Internet para robar nuestros datos y, si tienen éxito, también nuestro dinero. Por esta razón, es importante prestar atención a los sitios web que visitamos y a la seguridad que nos ofrecen. Una forma sencilla de hacerlo es comprobar si el acrónimo HTTPS aparece en la dirección del sitio web.

HTTPS es mucho más que un acrónimo y es extremadamente importante para tener un acceso seguro a Internet. Por lo tanto, en esta publicación explicaremos qué es HTTPS y cómo funciona.

¿Qué es HTTPS?

HTTPS es el acrónimo de Hypertext Transfer Protocol Secure (protocolo de transferencia de hipertexto seguro, en español). Como puedes ver, la diferencia respecto a HTTP es un asunto de seguridad. Esto significa que la función básica del protocolo HTTPS es proporcionar un canal seguro para la transmisión de información entre el usuario y el servidor o entre servidores, asegurándose de que los datos no sean interceptados e interpretados por hackers. En otras palabras, HTTPS es la versión segura del protocolo HTTP.

El origen de HTTPS

La transmisión de datos comienza con el protocolo HTTP, pero HTTP no tiene una forma de proteger esos datos de la interpretación de terceros. Hacer una compra o una transacción bancaria en línea con el uso de este protocolo puede ser bastante peligroso, ya que una conexión, que no está protegida, con este tipo de información es una carnada fácil para los criminales.

Al ver esta situación como una brecha y también como una oportunidad, Netscape Communications Corporation creó un protocolo de seguridad en 1994 para transmitir datos de tarjetas de crédito de forma segura durante una conexión de red. Es así como nació HTTPS.

HTTPS: un asunto de seguridad

Seguramente ya has notado que antes de la dirección del sitio web, al inicio de la barra de tu navegador, a veces aparece un candado cerrado. Este candado muestra que el navegador tiene un certificado de seguridad, lo que significa que tus datos están protegidos.

¿Qué es HTTPS y cómo funciona?

Principios básicos de seguridad de HTTPS

El protocolo HTTPS está basado en tres principios básicos de seguridad:

  • Confidencialidad: consiste en garantizar que los datos transmitidos son accesados y vistos solo por quienes están autorizados.
  • Integridad: certifica que los datos que han sido transmitidos permanecen en su versión original, completos y sin ser modificados a través de la jornada, desde el inicio al final de la conexión.
  • Autenticidad: certifica que cualquier agente que solicita acceso a información protegida es quien realmente asegura ser.

¿Cómo funciona HTTPS?

De forma simple, el protocolo HTTPS encripta los datos, así esa comunicación es segura. Para implementar el cifrado y aplicar otros factores de seguridad, existen dos protocolos: SSL (Secure Sockets Layer) y TLS (Transport Layer Security).

A continuación se encuentran algunos elementos importantes del paquete de seguridad del protocolo HTTPS.

Cifrado

El cifrado o encriptación es la técnica de escribir mensajes en código y también un elemento clave de la seguridad del protocolo HTTPS. Evita que el texto transmitido durante el proceso de comunicación esté en su forma pura y lo transforma en una combinación de caracteres aleatorios, que no permite la lectura de datos si la transmisión es interceptada por un tercero.

Hay dos tipos de cifrado, que varían de acuerdo al tipo de llave usado: cifrado simétrico y cifrado asimétrico.

Cifrado simétrico

En el cifrado simétrico, se usan dos llaves idénticas, tanto para cifrar como para descifrar el mensaje. Estas llaves idénticas también son conocidas como llaves de sesión.

Usemos una analogía. Es como si el remitente (cliente) y el destinatario (servidor) intercambiaran una carta, el texto estuviera escrito en un idioma diferente y solo ellos dos saben cómo traducirlo. Si alguien más tiene acceso a este mensaje y quiere leerlo, no podrá entender nada. Solo verá letras, números y símbolos en una combinación ilegible.

Con este método, el remitente debe compartir la llave con el receptor, así este puede interpretar el mensaje. Sin embargo, esto se convierte en una debilidad, ya que el destinatario necesita que el dueño le entregue la llave para poder descifrarlo. Esto podría hacerse en persona, pero podría ser complicado si se encuentran lejos si es por e-mail o por mensajes en línea, lo cual también puede ser riesgoso porque la llave podría ser interceptada. Aunque esta es una opción para datos más simples y menos críticos, compartir llaves con cifrado simétrico es riesgoso. En cambio, los datos confidenciales deben intercambiarse en un canal seguro.

Cifrado asimétrico

A diferencia del método anterior, el cifrado asimétrico (también conocido como criptografía de llave pública) usa un par único de llaves diferentes, uno público y otro privado, que son totalmente independientes el uno del otro. Este cambio eliminó la vulnerabilidad respecto a compartir el secreto para decodificar.

Como su nombre lo dice, la llave pública está disponible para todo el mundo, así que cualquiera puede tener acceso. La llave privada es exclusivamente para un usuario o institución y debe estar oculta. Para entender mejor este concepto, imagina que la llave pública es tu actual número de cuenta de banco, que cualquiera puede saber. La llave privada es la contraseña que usas para realizar transacciones en tu cuenta bancaria,y esa información solo la tienes como dueño.

Pero, ¿cómo se realiza el cifrado, incluso cuando las llaves son diferentes? Lo que sucede es que para cifrar los datos con una clave, ya sea pública o privada, solo es posible descifrarlos con la otra clave del par. Es decir, lo que una encripta, la otra lo desencripta.

Cuando se usa una llave pública para encriptar el mensaje original y una privada para desencriptar, la intención es garantizar la confidencialidad del mensaje, ya que solo el destinatario puede interpretar la información. Por el contrario, cuando el cifrado es hecho con la llave privada y se descifra con la pública, la intención es garantizar la autenticidad, ya que nadie más que el dueño tiene acceso. Un ejemplo de esto es una firma digital.

Para resumir, así como el cifrado asimétrico es más seguro, el cifrado simétrico es más rápido. Pueden inclusive ser usadas juntas, en una combinación llamada cifrado híbrido.

Protocolo SSL

En la década de los 90, Netscape Communications Corporation creó el protocolo SSL (Secure Sockets Layer) como un certificado estándar de seguridad web. SSL adopta un protocolo de reconocimiento de seguridad para establecer una comunicación segura entre clientes y servidores.

Respecto a su arquitectura, SSL es una capa del protocolo de red que se encuentra entre la aplicación y la capa de transporte, como se muestra a continuación.

Protocolo SSL

Con el protocolo SSL, el cliente y el servidor tienen algoritmos que serán usados en el cifrado y las llaves de seguridad de la sesión definidas. A partir de esto, el cliente es capaz de autenticar el servidor y este puede solicitar el certificado del cliente.

Con este protocolo, la información solicitud-respuesta intercambiada durante la comunicación al usar HTTPS (por ejemplo, detalles bancarios, contraseñas y nombres de usuario en una autorización de acceso y el sitio web que se visitará) es cifrada y descifrada por SSL. Solo las dos partes involucradas en el intercambio de mensajes pueden interpretarlos. Por lo tanto, incluso si un hacker intercepta la información, será imposible interpretarla o modificarla.

La información que el certificado SSL verifica es:

  • el usuario, institución o dispositivo al que se emitió el certificado;
  • las fechas de emisión y de vencimiento;
  • el nombre de dominio;
  • los subdominios asociados, y
  • la llave pública.

En otras palabras, si el navegador está habilitado por el protocolo SSL y el servidor tiene un certificado de seguridad digital, podrán comunicarse de forma segura al usar SSL. Si esto no aplica, el intercambio de información no está protegido. Incluso si quieres acceder a un sitio web que no tiene este certificado, Google Chrome te muestra un aviso de alerta con el siguiente mensaje: “tu conexión no es privada”.

El protocolo SSL tuvo las siguientes versiones:

  • SSL 1.0: la versión original de 1994 tenía diversas vulnerabilidades y problemas de seguridad, por ello no fue presentada al público;
  • SSL 2.0: esta versión fue lanzada en 1995 y tenía algunas mejoras respecto a su predecesora, pero aún con algunas fallas, y
  • SSL 3.0: la versión de 1996 fue mejorada con la reformulación de la arquitectura del protocolo, al permitir actualizaciones y revisiones de seguridad.

A pesar de todos los cambios, la última versión del protocolo SSL aún tenía vulnerabilidades. Además, no tenía la capacidad requerida para manejar un aumento masivo de tráfico ni la creciente demanda de seguridad de datos.

Protocolo TLS

TLS (Transport Layer Security) es simplemente el sucesor de SSL, pero más seguro y actualizado. Su función es también garantizar la seguridad –la privacidad, la integridad y la autenticidad de los datos– durante la comunicación en la red.

El cambio de nomenclatura de SSL a TLS se implementó para no asociarse al protocolo TLS con Netscape, creador de SSL. El protocolo TLS también ha tenido diferentes versiones: TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008), y TLS 1.3 (2018), que es la más reciente.

El protocolo TLS opera entre las capas de aplicación y transporte, además tiene dos capas: el protocolo de registro y los protocolos de handshaking.

Protocolo TLS

TLS usa el protocolo de registro para encapsular mensajes desde los protocolos de aplicación, como HTTP, FTP (File Transfer Protocol) y SMTP (Simple Mail Transfer Protocol), por lo cual es ampliamente utilizado en navegadores, correos electrónicos, mensajes de texto y voz sobre IP (VoIP). Básicamente, el protocolo de registro actúa en las operaciones necesarias para garantizar la seguridad de la conexión.

El protocolo de handshake actúa en la negociación de los parámetros de seguridad. Negocia los algoritmos que serán usados en el cifrado y las llaves criptográficas antes de la transmisión o recepción de los datos por un protocolo de aplicación. Además, permite la autenticación entre un cliente y el servidor.

Diferencias entre SSL y TLS

La principal diferencia entre SSL y TLS está relacionada con el handshake y su velocidad en cada protocolo. El handshake típico de SSL implica varios viajes ida y vuelta mientras que se producen la autenticación y el intercambio de llaves, lo que agrega latencia a las conexiones.

En el caso de TLS, el handshake es más rápido, ya que cada nueva actualización se enfoca en reducir la latencia. En su última versión, el handshake es hecho con un solo viaje ida y vuelta. Una de las cosas que permite este cambio es la reducción del número de grupos de cifrado que admite, de cuatro a dos algoritmos.

¿Por qué usar HTTPS?

Las principales razones para usar el protocolo HTTPS son:

  • Más seguridad

El protocolo HTTPS garantiza confidencialidad, autenticidad e integridad de los datos.

  • Mayor credibilidad

Si tienes una empresa, debes ser extremadamente cuidadoso sobre la seguridad de tu sitio web, porque esto se refleja en la confianza que le tienen tus clientes y, a su vez, en la credibilidad de tu marca. Tener un dominio con HTTPS demuestra a tus clientes que está preocupado por su seguridad tanto como por la tuya.

  • Mejor ranking en Google

Otra razón importante para adoptar el uso de HTTPS es que es uno de los factores que Google considera al momento de calificar al sitio web y mostrarlo en los resultados de una búsqueda.

¿Cómo proteger tu sitio web?

Internet nos ofrece muchos beneficios. Sin embargo, estar conectado también es un riesgo, ya que nos convertimos en posibles blancos de muchos crímenes en línea. La intercepción y robo de datos durante la transmisión de información es una de las peores cosas que nos pueden suceder, pues esto puede conllevar pérdidas económicas sustanciales.

Aunque tenemos que lidiar diariamente con este escenario inseguro, es posible prepararse contra ciberataques y preservar la seguridad de tu sitio web, así como la de tus clientes. Edge Firewall de Azion, nuestro paquete de seguridad con DDoS Protection, Network Layer Protection y Web Application Firewall, puede ofrecer esta protección.

Web Application Firewall de Azion

Nuestro Web Application Firewall (WAF) opera específicamente en el proceso de intercambio de información durante el protocolo HTTPS. Una de las acciones que lleva a cabo es comparar cada solicitud HTTP/HTTPS con un conjunto de reglas de bloqueo altamente personalizables. Luego, la solicitud recibe una puntuación de acuerdo con una metodología de puntajes (scoring) basada en requisitos. Según la puntuación que se obtenga, nuestros servidores edge liberarán o bloquearán la solicitud directamente antes de que una amenaza pueda llegar a tu aplicación web.

Aquí en Azion, creemos que la ciberseguridad es un elemento crucial para el éxito de una empresa. Entonces, si deseas proteger el sitio web de tu empresa y a tus usuarios con la ciberseguridad más avanzada, conoce nuestros productos y servicios o conversa con nuestro equipo de ventas.

HTTPS: una revolución

La evolución tecnológica ha llevado al mundo virtual, especialmente debido a los teléfonos inteligentes y al IoT, muchas actividades que se realizaban en persona hasta hace relativamente poco tiempo. Una de ellas, y que cada vez gana más adeptos, es la realización de transacciones en línea, como compras o transacciones bancarias. Esa es exactamente la razón por la que la ciberseguridad es un problema crítico, tanto para los usuarios comunes como para los propietarios de empresas, y requiere toda nuestra atención, porque una filtración de datos puede conducir literalmente a una catástrofe.

Por tanto, uno de los mayores beneficios del protocolo HTTPS es que ha permitido que todas estas acciones se realicen de forma más segura, al aumentar la confianza que el usuario y las empresas tienen en Internet. Este es probablemente uno de los principales factores que han causado el crecimiento y la popularización de Internet y del comercio electrónico.

Más que un sinónimo de seguridad en la red y un hito tecnológico, HTTPS también puede considerarse una pieza importante de las relaciones sociales, ya que el comportamiento moderno (y prácticamente todo en nuestra vida) depende, sin dudas, de esta herramienta de comunicación llamada Internet.