Diferencias entre HTTP y HTTPS: seguridad en la web

La diferencia entre HTTP y HTTPS es un cambio sutil en la barra de direcciones del navegador para el usuario medio de Internet, pero vital para la seguridad de sus datos. A continuación, repasaremos qué es HTTP, las diferencias entre HTTP y HTTPS, cómo se utilizan hoy en día y sus usos futuros.

¿Qué es HTTP?

Todos los enlaces URL que comienzan por HTTP utilizan un protocolo básico denominado «protocolo de transferencia de hipertexto». Este estándar de protocolo de red es el que permite a los navegadores web y a los servidores comunicarse mediante el intercambio de datos siguiendo una conexión TCP (Protocolo de Control de Transmisión).

HTTP es lo que se denomina «un sistema sin estado», lo que significa que permite la conexión bajo demanda y no requiere ningún tipo de conexión constante. Cuando un usuario hace clic en un enlace, su sistema envía una solicitud de conexión a un servidor. Tan pronto como el servidor responde, los datos se muestran al usuario en su navegador web. La velocidad de esta conexión viene determinada por la conexión entre el servidor y el sistema.

HTTP es también un «protocolo de capa de aplicación», lo que significa que se centra en preservar la claridad de la información que viaja a través de sus conexiones. Esto lo convierte en una forma fiable de conectarse a los servidores, pero abre la puerta a que actores malintencionados intercepten los datos, lo que les permite leerlos y modificarlos durante la transferencia. Esto se denomina «ataque man-in-the-middle» y requiere una forma segura de comunicarse a través de Internet. Ahí es donde entra en juego el protocolo HTTPS.

HTTP frente a HTTPS: ¿por qué es importante?

El protocolo HTTPS es una extensión del HTTP. En pocas palabras, HTTPS es HTTP con cifrado. Son las siglas de «Hypertext Transfer Protocol Secure» (protocolo seguro de transferencia de hipertexto) y la principal diferencia es que se ejecuta utilizando certificados de Transport Layer Security (TLS) y Secure Sockets Layer (SSL). Se creó específicamente para contrarrestar las vulnerabilidades de los ataques Man-in-the-Middle a los que se enfrenta HTTP. HTTPS tiene varias ventajas para quienes lo utilizan. Añade un nivel de seguridad a la transferencia de datos entre un sistema y un servidor mediante un cifrado completo. Además, el proceso SSL/TLS utiliza certificados SSL para añadir un nivel de autenticación, lo que permite a los navegadores web modernos identificar el servidor web con el que se está contactando.

Los certificados SSL identifican los servidores a los navegadores web de los visitantes y son emitidos por autoridades de certificación (CA) de confianza, como Sectigo. Para recibir un certificado, se debe demostrar, como mínimo, que se controla el nombre de dominio vinculado al servidor. A continuación, las CA emiten certificados digitales que protegen el servidor basándose en la infraestructura de clave pública (PKI), el estándar de referencia para la autenticación y el cifrado.

Todo ello impide que los piratas informáticos accedan a los datos confidenciales que se transfieren entre una página web y un navegador.

Cómo funciona HTTPS

Sin HTTPS, cualquier dato que introduzca en el sitio (como su nombre de usuario/contraseña, datos de su tarjeta de crédito o bancarios, cualquier otro dato enviado a través de un formulario, etc.) se envía como texto sin cifrar y, por lo tanto, es susceptible de ser interceptado o espiado. Por este motivo, siempre debe comprobar que un sitio utiliza HTTPS antes de introducir cualquier información, especialmente si se trata de un sitio de comercio electrónico o si va a introducir cualquier tipo de información financiera.

A nivel práctico, para el usuario medio, no hay mucha diferencia cuando se actualiza una conexión de HTTP a HTTPS. La única diferencia real es que en la barra de direcciones del navegador aparecerá un candado, lo que indica que se trata de una conexión HTTPS segura.

¿HTTPS significa que un sitio web es seguro?

HTTPS significa que la identidad del servidor ha sido autenticada y que existe una conexión segura con cifrado de datos en cualquier información transferida. Es imprescindible para cualquier sitio web u organización que se preocupe por la ciberseguridad, pero es solo una parte de un marco más amplio que hace que un sitio web sea seguro. HTTPS no funciona como un cortafuegos que impide que se envíe código malicioso de uno a otro, sino que proporciona una conexión cifrada entre una fuente autenticada y el usuario. Los desarrolladores toman muchas más medidas para garantizar la seguridad de sus usuarios.

¿Cuál es más rápido?

En la mayoría de los casos, HTTP siempre será más rápido que HTTPS. Una de las desventajas de añadir seguridad adicional al proceso es que lleva más tiempo de principio a fin. HTTP no requiere certificados SSL, lo que significa que se elimina el paso de validación adicional que garantiza una conexión segura. Las solicitudes no requieren identidad, autenticación ni cifrado, lo que significa que, debido a su diseño de sistema sin estado, los datos se envían tan pronto como se recibe la solicitud.

Por el contrario, las conexiones HTTPS requieren un protocolo de enlace SSL antes de entregar cualquier dato. Sin embargo, este paso añade muy poco tiempo a los procesos de comunicación. Aunque el retraso es insignificante y probablemente no sea percibido por el usuario, puede verse afectado por varios factores, como el almacenamiento en caché del navegador.

El uso actual de HTTPS

El HTTPS se ha convertido en algo omnipresente en la ciberseguridad actual. La mayoría de los desarrolladores lo utilizan en todos los sitios web, independientemente del nivel de seguridad que requieran. Esto no solo se debe a las buenas prácticas, sino que ha sido impuesto por muchos de los navegadores y sistemas operativos más importantes del mundo. Contar con HTTPS es una forma sencilla de proteger los datos de sus clientes sin trasladarles ninguna tarea. Muchos desarrolladores están encantados de implementarlo, ya que comprenden los riesgos de seguridad asociados a la versión menos segura.

Google, SEO y HTTPS

Google ha sido una de las voces más activas en favor del cambio total a HTTPS. Considera que todos los usuarios deben poder esperar un cierto nivel de seguridad cada vez que visitan un sitio web.

En 2014, Google anunció por primera vez que HTTPS sería un factor de clasificación en los resultados de búsqueda orgánicos, convirtiéndolo en una medida de SEO (optimización de motores de búsqueda). Las organizaciones que han cambiado a HTTPS han obtenido sistemáticamente mejores clasificaciones SEO y generan más visitas a sus páginas desde los motores de búsqueda que aquellas que no lo han hecho.

En julio de 2018, Google Chrome cambió su interfaz de usuario en un paso más para obligar a los desarrolladores a cambiar. Empezó a marcar todos los sitios HTTP como no seguros. Este símbolo rojo brillante da la impresión de que el sitio no es seguro para el usuario. Además, rellena automáticamente https:// en la barra de direcciones por defecto, lo que obliga a los sitios web a ofrecer la versión más segura de su sitio si es posible.

Pronto lanzarán lo que denominan una «opción HTTPS primero» que obliga a los sitios web a mostrar su versión HTTPS y a mostrar una alerta a página completa cuando HTTPS no está disponible. Por ahora, se presenta como una configuración para los usuarios más preocupados por la seguridad, pero, con el tiempo, la organización está pensando en convertirla en la opción predeterminada.

HTTPS en el futuro

Los sitios web HTTPS ya están aquí. Es probable que cualquier sitio con información confidencial haya cambiado hace años del HTTP simple y que todos los demás hayan ido evolucionando con el tiempo. Con el tiempo, la presión de los navegadores obligará a todos los sitios a cambiar y se resistirán incluso a mostrar sitios que no sean HTTPS. Sin embargo, no espere que HTTPS sea la respuesta definitiva a los protocolos de transferencia de datos en línea. Hoy en día, HTTPS está por encima de HTTP, pero algún día puede que se mejore o se sustituya por otro protocolo. La ciberseguridad siempre evoluciona y avanza a medida que surgen nuevos problemas de seguridad de los datos o se descubren limitaciones.

Entradas asociadas:

¿Qué es un certificado SSL y cómo funciona?

¿Qué es el PKI? Guía completa sobre infraestructura de clave pública