ssl seguridad

Esta última semana hubo tres noticias por parte de la gran G que me hubiera gustado tratar por separado, pero como sé que no voy a poder hacerlo, hago un picadito en este artículo hablando de pasada de las dos primeras, y centrando el tiro en la que me parece más importante.

A saber:

Google Passkeys ya está con nosotros

Llevamos años argumentando que el fin de las contraseñas estaba cerca… Pues bien, ahora ya podemos decir que, en efecto, tenemos un sistema funcionando que permite no depender del paradigma de contraseñas… y sin las desventajas esperables del resto de sistemas que han ido saliendo desde entonces.

Se trata de las passkeys, cuyo funcionamiento ya he explicado en más de una ocasión, y que tiene la principal ventaja de que hablamos de un estándar (no solo es compatible con según qué modelos y marcas, como pasa con los sistemas biométricos) y que prácticamente todos los grandes de la industria se han metido de lleno a apoyarlo. Entre ellos, Google, Apple y Microsoft. Ergo, funciona por defecto en las versiones modernas de Windows, Android, MacOS y navegadores como Safari, Edge y Chrome.

Pues bien, estos días Google ya lo ha habilitado en sus sistemas operativos y también en sus aplicaciones en la nube, por lo que cualquiera puede acceder al enlace oficial (ES) y activarlo a nivel de cuenta, ya sea desde el móvil o desde el ordenador.

A partir de entonces, podrá usar el sistema de llaveros de ese dispositivo como «contraseña» en todos aquellos servicios que dependan de Google.

Sin tener que recordar nada. Solo por tener acceso al dispositivo (requiere, eso sí, desbloqueo usando el sistema de desbloqueo que tengas habilitado en dicho dispositivo).

Es, no obstante, probable que ya lo hayas estado usando si tenías un móvil Android sincronizado con tu cuenta de GMail (lo más normal). Pero simplemente puedes cambiar para que a partir de ahora este sea el sistema principal de identificación en los servicios de Google.

Yo ya lo he hecho.

Check azul para el correo en GMail

Otro tema que estaba en el aire, y que estos días se ha anunciado su despliegue, por ahora solo para usuarios del ecosistema de pago de Google (Google Workspaces).

La idea que se busca ofreciendo un check de verificado en los correos es evitar las campañas de phishing. De esta manera, las empresas podrán verificarse ante Google con sus correos, y a partir de entonces los correos que envíen legítimamente ellos aparecerán con ese check azul ya tan típico en los perfiles verificados de las redes sociales.

El día de mañana, si te llega un correo de una empresa y no aparece como verificado, ya podría ser un indicio de que ese correo es fraudulento.

Para ello, como decía, por ahora solo pueden pedirlo aquellas empresas que usen la versión de pago de GMail, aunque con el tiempo será accesible para cualquier usuario.

Y para pedirlo, habrá que realizar dos trámites:

  • Habilitar el DMARC a nivel de dominio: Un tema al que ya le dediqué un tutorial en su día, y que requiere tener nociones de administración de sistemas.
  • Utilizar como imagen de perfil un logotipo certificado VMC: Para ello, primero la marca debe estar registrada en las oficinas de propiedad intelectual. Una manera a mi modo de ver brillante de externalizar la verificación para que solo las empresas legítimas (hasta cierto punto, todo hay que decirlo) puedan pedirlo.

El fin del candado de seguridad en las URLs

Sin embargo, de las tres noticias sobre seguridad que nos ha dejado estos días Google, esta, sin lugar a dudas, me parece la más importante de todas.

Google ha anunciado que Chrome próximamente dejará de mostrar el candado gris (EN) en todas las páginas que visitemos que tengan habilitado SSL.

Se cumple así el fin de un ciclo de cambios en la iconografía relacionada con las conexiones cifradas en Internet.

A saber:

  1. Antiguamente tener un SSL activo en una web no era obligatorio y no era accesible para cualquiera (había que pagar y cumplir una serie de requisitos), y por ello, para diferenciar aquellas conexiones a webs con SSL de aquellas que no tenían SSL activo, empezaron a poner la coletilla de «página segura», una traducción del inglés «Secure» que en español no deberíamos haber traducido como seguridad (para eso los gringos tienen «security»), identificándola como un candado cerrado.
  2. Llega Let’s Encrypt, y con él, la posibilidad de ofrecer conexiones cifradas de punto a punto autogestionadas y de forma gratuita (hasta entonces sí o sí había que pagar a un certificador entre 50 y 200 euros al año por tener el SSL). Eso, junto con la importancia que poco a poco ha ido teniendo la privacidad de las comunicaciones, ha hecho que un buen día las conexiones bajo HTTPs fueran consideradas como un criterio más de posicionamiento en Google. El candado entonces pasó a ser un candado verde.
  3. Pasa el tiempo, y en esta nueva fase, se empieza a penalizar aquellas webs que no tienen un SSL activo. De esta manera, de pronto el candadito verde pasa a ser candadito gris, y quien no tiene SSL activo, pasa a mostrar una alerta de «página no segura«. Este es el momento en el que estamos ahora mismo, y ha demostrado ocasionar severos problemas de concienciación entre la ciudadanía.

¿El porqué? Pues porque en todos estos vaivenes y cambios, con esa traducción inexacta de lo que es «secure» en español, hemos tergiversado el significado de lo que es tener o no activo un SSL en un servidor.

Antiguamente, cuando no existía Let’s Encrypt, en efecto para tener un SSL activo tenías que pasar por una certificadora, que en teoría, CERTIFICABA que la web a la que ibas a entrar era una página oficial. Una página legítima.

De esta manera, muchos asumíamos que el candado suponía no solo privacidad (cifrado de punto a punto), sino también seguridad (la página es legítima).

El problema es que al hacerse mainstream la necesidad de meter un SSL, y este democratizarse con servicios como Let’s Encrypt, esa entidad certificadora ya no es necesaria. Por tanto, cualquiera puede instalarse un SSL en una página, y por tanto, los malos empezaron a certificar sus páginas de fraudes con un SSL, llevándonos a la situación que llevamos arrastrando estos últimos años:

La mayoría de campañas de phishing llevan a páginas webs que en el navegador aparecen como «Seguras», porque tienen un SSL activo.

Cuando el SSL no certifica legitimidad, solo que las conexiones que hagamos con ese servidor van cifradas de punto a punto: «podemos perfectamente estar enviando de forma totalmente cifrada datos personales a cibercriminales».

Pues hoy en día, con el 95% de todas las conexiones en Internet cifradas (EN), Google ha movido ficha y pasa a la siguiente etapa.

HTTPS1

Una en la que han decidido cambiar el icono ya clásico del candadito, que todos asociamos con seguridad, a otro nuevo que viene con la idea de que asociemos con cifrado de punto a punto.

Este icono, para ser más exactos:

HTTPS2

De esta manera, se solventa, de un plumazo, el problema que llevamos arrastrando todos estos años con la señalética de las conexiones cifradas en Internet. Las webs a partir de que entre en vigor el cambio de icono mostrarán:

  • Si tienen SSL activo, este nuevo icono.
  • Y si no lo tienen, una alerta de página sin SSL.

Acabando así con la eterna disputa con el dichoso candado de marras.

Que te parecerá una tontería, pero créeme que va a tener un gran impacto en la forma en la que los usuarios sin conocimientos técnicos comprenden lo que es o no seguro en Internet…

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.