Por qué al entrar a webs del Gobierno aparece que «la conexión no es privada»
Las instituciones españolas, por mucho que nos pese, no están todo lo actualizadas que deberían. Instalar el certificado digital sigue siendo una pesadilla en la actualidad, con multitud de errores y fallos de certificados que obligan incluso a usar navegadores antiguos y poco seguros. Además, si intentamos entrar en multitud de webs oficiales, aparece el error de que «la conexión no es privada«. ¿Por qué ocurre?
Google y las grandes empresas tecnológicas a nivel mundial han logrado que prácticamente todas las webs actuales utilicen HTTPS. Gracias a ello, las conexiones que hacemos con ellas están completamente cifradas, y nuestros datos transitan entre nuestros dispositivos y los servidores donde están alojadas las webs de manera segura.
No todas las webs del gobierno usan HTTPS
Que una web tenga HTTPS no significa que sea segura, ya que puede que esa web esté bajo control de un ciberdelincuente, y que los datos que le demos acaben en sus manos para llevar a cabo actividades ilícitas. No obstante, si una web no tiene HTTPS, entonces sí que podemos determinar que no es segura bajo ningún concepto.
Cuando una web es segura, en su URL encontramos que empieza con HTTPS. En la actualidad esto se ve más rápidamente si la página tiene un candado cerrado a la izquierda de la URL cuando la introducimos en la barra de direcciones del navegador. Si pinchamos, podemos ver si la conexión es segura, así como comprobar qué certificado usa la web.
Por desgracia, las webs institucionales tienen un largo camino por recorrer. Según afirma ha desvelado el proyecto #websegura de PucelaBits, sólo el 3% de las páginas webs institucionales españolas cumple con una configuración mínima correcta para evitar ataques. Para determinar si una web es o no segura, han usado el servicio de análisis de Mozilla Observatory, que ofrece notas desde A+ (la mejor) a F (la peor). Sólo las webs que reciban una calificación A o B son consideradas como seguras. El resto, tiene deficiencias de seguridad, y algunas incluso no tienen HTTPS, o tienen problemas con el certificado, el cual puede estar caducado o haber sido revocado, de ahí que aparezca el error.
Sólo un 3% de las 776 analizadas son seguras
Así, de las 776 páginas web de instituciones de España analizadas, sólo un 3% tenía una buena configuración de seguridad. Un ejemplo lo encontramos en la web del Ministerio de Industria, Comercio y Turismo, que, aunque usa certificado y tiene HTTPS en la web, hay contenidos de la misma que no se sirven mediante HTTPS.
Este puede ser el caso de algunas imágenes. Si analizamos el código fuente de la página, podemos ver que hay 103 enlaces con HTTPS, pero a cambio encontramos 41 resultados de HTTP, incluyendo enlaces a tweets. Por ello, es cuestión de arreglar esos enlaces, y así navegadores como Firefox no mostrarían la web como no segura.
Según apuntan desde Maldita, el Gobierno está trabajando para que todos los dominios del gobierno pasen a ser seguros y utilicen HTTPS de manera extendida. Para ello, no sólo hay que adquirir el certificado, sino que hay que adaptar los servicios que utilizan en cada web, y algunos pueden ser demasiado antiguos y no ser compatibles con cifrado o con los estándares de seguridad actuales. A su vez, no hay una fuente de certificados que se use de manera homogénea en todos los portales, ya que hay quienes usan certificados de la FNMT, de GlobalSign o DigiCert.