¿Sientes que al ver el candado al lado de la URL en tu navegador estás más seguro? ¿Realmente era necesario imponer el cifrado TLS en toda la web y marcar cualquier web que no sea servida vía https como insegura? ¿Se justifica condenar al ostracismo a una web como esta por no acatar la nueva normalidad del HTTPS Everywhere?
Si usas Chrome, seguramente hace tiempo que no ves el candado. Porque, de hecho, Google lo retiró ya en 2023. La razón es la siguiente: el candado únicamente significa que la comunicación está cifrada. En una web del HTTPS Everywhere donde ya prácticamente todas están cifradas, y donde cualquiera puede conseguir un certificado, el candado es inútil.
Mucha gente se siente tranquila erróneamente al considerar que el candado es sinónimo de legitimidad. Pero esto es engañoso, dado que una web clon creada para un ataque de phishing puede correr sobre https. Es decir, el candado no significa que no te vayan a engañar. Igualmente tienes que mirar la URL para asegurarte de que estás accediendo a la web legítima de tu banco, Amazon o Paypal.
El cifrado garantiza que nadie vaya a alterar la transmisión e inyectarte algo que no debería estar ahí. Por ejemplo, tu proveedor de Internet podría tratar de meterte anuncios en las páginas que ves, o un ataque Man In The Middle podría convencerte de que estás en la web de tu banco cuando estás en una falsa que él ha creado para robarte tus datos de acceso o tu tarjeta de crédito.
En la práctica un buen bloqueador de anuncios como uBlock Origin puede pararle los pies a los intentos de inyectarte script de rastreo o publicidad por parte de tu ISP. Y dado que los anuncios están por todas partes, eso es algo que ya debiera formar parte de tu vida.
En escenarios donde hay una servicio que requiere identificación, parece que se justifica perfectamente el requisito del cifrado. Aunque sea para que las credenciales no se transmitan en texto plano. Pero ¿quién se esforzaría por alterar el texto del artículo que estás leyendo ahora? ¿Con qué propósito? ¿Realmente para leer un blog personal insignificante merece la pena todo el jaleo del cifrado y los certificados? Mi valoración es que el overhead, la dificultad técnica añadida, no lo justifica. Simplemente el beneficio que obtienes no compensa el esfuerzo adicional.
A menos, claro, que consideres ceder a la presión de agentes como Google que básicamente te relegan a la página 50 de los resultados de búsqueda si no "compras" su falsaria "seguridad por defecto". Esto ha hecho que la gente en masa se haya sumado a la moda estúpida del HTTPS Everywhere. Porque si no pagas el peaje, simplemente desapareces. Y si alguien se topa por accidente con tu web, su navegador ya se encarga de mostrarle avisos de peligro: "cuidado, vas a entrar en un sitio subversivo".
Técnicamente el escalón del cifrado SSL/TLS añade una serie de complejidades e ineficiencias, que tradicionalmente solo se aceptaban si había buenas razones para ello. Hoy día si no lo aceptas eres un paria. Mi afirmación de que usar https para leer este artículo es un despropósito técnico es impecable. No hay ninguna justificación para ello. La única, acatar la presión de los matones de turno como Google.
Aunque puedas conseguir certificados gratuitos, el peaje sigue siendo tener que renovarlos cada 90 días. Eso supone un coste burocrático innecesario.
Ayer repasaba unas clases de Java que escribí en el año 1999 que permitían enviar y recibir emails usando únicamente texto plano y sockets y los protocolos clásicos ESMTP y POP3. Si tuviera que ponerlas a funcionar ahora sería una pesadilla, porque el email se ha ido envolviendo en capas y capas de cosas innecesarias también en nombre de una falsa seguridad. Cosas como ARC o DKIM puede que te suenen o no, pero forman parte del estándar actual si quieres que tus correos sean aceptados por los servidores de Google o Microsoft. El protocolo también se ha cifrado y ahora puede que requiera el empleo de STARTTLS por defecto.
Una de las últimas adquisiciones del "ecosistema" del email es el abanderado de la interoperabilidad de la web 2.0: OAuth2. Para meter este alien en los clientes de correo, se ha tenido que incrustar un navegador en tu cliente tradicional. Siendo el navegador una de las partes más complejas y engordadas que posiblemente tengamos todos en nuestros ordenadores, esto es un despropósito total.
OAuth nació para dar acceso a terceros a tus datos de Twitter o Google sin tener que facilitarles tus credenciales de esos servicios. En ese escenario tenía sentido. Para loguearte en tu cuenta de correo electrónico en una transmisión que ya va cifrada, es perfectamente seguro confiar en tu cliente de correo.
Curiosamente la "interoperabilidad" de la web 2.0 que justificó la aparición del OAuth está próxima a desaparecer por completo de los anales de la historia de la web, debido a la tendencia a que todo evolucione hacia los jardines vallados. Pero el OAuth seguirá ahí en tu ineficiente applicationsaurus de cliente de correo electrónico.
En realidad no se trata de mejorar tu seguridad, sino de que las Big IT tengan la llave en su poder para encerrarte dentro de sus dominios.
Esto no se trata de nuestra seguridad en absoluto. Están imponiéndose barreras para reducir la posibilidad de que alguien con menos poder, un agente nuevo, haga algo mejor que les haga la competencia y les fuerce a ceder terreno en su carrera por el rastreo, vigilancia y telemetría del usado: tú y yo. Por esa razón intentan poner trabas a la innovación por medio de promesas vanas de seguridad artificiosa. Y lo peor es que mucha gente, incluso perfiles técnicos, les ha comprado totalmente el marco ficticio que han construido. En realidad es un canto de sirenas. Salvo que nosotros no hemos tomado la precaución, de Odiseo, de que nos amarren al mástil para no volvernos locos y tirarnos al mar. Somos incautos mal preparados en el proceloso mar de una web cada vez más hostil y más panóptica.
El cifrado TLS oculta la transmisión pero, para que la comunicación sea posible, se necesitan la IP de destino y de origen, lo que permite que conozcan tus movimientos. Además, como algunos servidores alojan varios dominios, el dominio debe ir también en texto plano visible en el campo SNI del saludo inicial TLS. Posiblemente no puedan saber que estás haciendo una transferencia, pero saben que visitaste tu banco.
Esta semana seis intentos de phishing lograron llegar a mi bandeja de entrada de Gmail, a pesar de toda la "seguridad". Todas esas capas que han ido añadiendo en los últimos 26 años. Lo único que nos separa del caos es un cerebro despierto. Cualquiera que piense que su escudo es San Google, está perdido.