Desde el blog de Forcepoint Security Labs: HTTP como "No Seguro", a una semana de empezar

Por Carl Leonard, Analista Principal de Seguridad en Forcepoint

La web se está moviendo hacia la encripción predeterminada. La mayoría, si no es que todos, sus sitios web favoritos ya utilizan HTTPS para cifrar la comunicación entre ellos y su navegador. En mi reciente blog sobre este tema, expliqué de qué manera Google Chrome está cambiando la experiencia de los usuarios con el navegador para indicar cuando un usuario se encuentra con un sitio inseguro (que no es HTTPS). El equipo de desarrollo de Chrome anunció recientemente que le daría seguimiento a este asunto. A continuación, analizamos las implicaciones.

Marque esta fecha en su agenda: 24 de julio.

En febrero de 2018, los desarrolladores de Chrome anunciaron que Chrome 68 identificaría a todos los sitios HTTP como “No seguros”. En una semana, cuando se lance Chrome 68, el 24 de julio, podemos prever que los usuarios vean “No seguro” en la barra de dirección cuando naveguen a “cualquier” página habilitada con HTTP.

¿Qué podemos esperar después?

Ahora que la mayoría de los sitios web (populares) están habilitados con HTTPS, las alertas que recibe un usuario se han revisado.

En efecto, al inicio de julio de 2018, Google tenía ya HTTPS en 94% de sus servicios. Con Maps, News, Gmail y Drive bajo la mira, están intentando lograr encriptar el 100% de sus servicios.

Los desarrolladores de Chrome descubrieron que será más útil advertir a un usuario cuando esté realizando una acción que no sea segura y no emitir los mensajes de alerta cuando una página sea segura.

La siguiente tabla muestra cómo cambiarán los indicadores de seguridad del navegador Google Chrome:

En el blog Chromium de Google se puede encontrar el calendario completo que están buscando seguir.

¿Cuáles son las implicaciones?

En el primer blog en el que hablé de que Chrome estaba ajustando sus indicadores de seguridad, destaqué cómo se iba a convencer a los usuarios de dejar de utilizar páginas HTTP a favor de las páginas HTTPS. Este, por supuesto, es el objetivo de Google, al igual que alentar a los webmasters a migrar a HTTPS. Si bien Chrome 68 etiquetará todas las páginas HTTP como “No seguras”, creo que será la eventual funcionalidad del navegador de Google la que marque todas las páginas HTTP en rojo como “No seguras”, al mismo tiempo que se reducen los indicadores de seguridad de los sitios HTTPS, lo que cumplirá con sus objetivos. La anomalía de una página HTTP será bastante evidente para los usuarios finales.

Este cambio en el comportamiento y preferencias de los usuarios será importante.

A medida que las organizaciones vean un aumento de la proporción del tráfico HTTPS respecto a HTTP después de un aumento en la adopción del primero, les resultará difícil identificar el riesgo potencial que plantea el tráfico encriptado. Los datos transmitidos a través de canales seguros o las conexiones hechas a los servidores de comando y control seguirán sin ser inspeccionados debido a que las empresas no adoptan la tecnología para hacer dichas valoraciones. No lograr que dicho material sea detectado por el radar es algo inaceptable.

Usted puede consultar los calendarios de liberación y los lanzamientos en los blogs de Chrome.

Esté al pendiente de las actualizaciones a medida que la web se convierte en una web segura de forma predeterminada.

Acerca de Forcepoint
Forcepoint es una empresa mundial de seguridad cibernética centrada en los humanos. Transforma a las empresas digitales al adaptar la respuesta de seguridad a los riesgos planteados por los usuarios individuales y las máquinas. El sistema Human Point de Forcepoint brinda Protección Adaptable a los Riesgos para garantizar el uso confiable de datos y sistemas. Con sede en Austin, Texas, Forcepoint protege los puntos humanos en miles de clientes corporativos y gubernamentales de más de 150 países. www.forcepointblog.com