vagacode

Seguridad oh seguridad ¡cuántos pecados se cometen en tu nombre!

Siempre se dice que una persona preocupada por su seguridad no dejaría la puerta de su casa abierta de par en par; lo que no se dice es que ninguna persona se consideraría normal si tapiase las puertas y ventanas y se negase a salir al exterior. No hay la menor duda que entre uno y otro extremo hay un sinfín de alternativas pero, nos quieren hacer creer que no; nos quieren hacer creer que alguien está más capacitado que nosotros para definir eso y ese alguien debe protegernos de ... nosotros mismos.

En internet pasa lo mismo, las nuevas versiones de los navegadores han comenzado a implementar un sistema de alertas que, para quien esté enterado de su significado, es algo molesto pero, para el resto de los mortales, puede tornarse en un problema serio porque lo único que hará será generar dudas.

Todos hemos aprendido que las direcciones web comienzan con un protocolo clásico: http; durante años y años nos hemos acostumbrado a usarlo, a tipear erróneamente y a preguntarnos ¿por qué había que escribir eso una y otra vez si total, era un dato constante?

Pero, años atrás comenzó a aparecer un nuevo modelo de protocolo, el https o protocolo seguro de transferencia de hipertexto que se supone que es un sistema más seguro y que comenzaron a implementar las entidades bancarias, tarjetas de crédito y sitios donde se hacían transacciones comerciales pero con el correr del tiempo también lo hicieron las redes sociales, los servidores de correo y hasta el mismo Google y todos sus servicios.

Como los navegadores dejaron de mostrar el protocolo de las páginas en la barra de direcciones suelen agregar un ícono (un candado o cualquier otro símbolo) para identificarlas. Y si, no cabe duda que el protocolo, el https hace que la página sea más segura ya que, en principio, la información se envía cifrada y no podrá ser interceptada porque se incluye un certificado de seguridad (SSL) etc etc etc.

¿A que viene toda esta palabrería?

Las últimas versiones de los navegadores han ido un poco más allá de la alerta clásica, ahora, avisan a los usuarios de manera más drástica cuando en la página se solicita ingresar una contraseña. Por ejemplo, en Chrome se muestra un texto No es seguro y comentan que dentro de poco, incluirán una cruz roja para que nadie se haga el distraido (no dicen si habrá sirenas ululando pero no lo descartaría.

Firefox da un paso más y su advertencia se extiende al mismo formulario:

¿Qué quiere decir esto? ¿Obligarán a todas las páginas a ser de tipo https y desaparecerá el otro protocolo? Parece una idea un poco exagerada por no decir imposible ya que la inmensa mayoría de los sitios web funcionan con el protocolo http y los famosos certificados son bastante costosos (aunque hay algunos gratuitos) y relativamente complicados de insertar porque aún no hay un estandard absoluto y varían sustancialmente.

Pero, más allá de lo técnico, hay algo que me parece mucho más importante, la seguridad no es la ausencia de riesgo sino la confianza o falta de confianza en algo o alguien. Por lo tanto, como cualquier sensación es relativa y nunca es absoluta.

En diciembre del 2016 nos enteramos que Yahoo anunciaba que le habían robado más de mil millones de datos de sus cuentas aún cuando usaba el protocolo https. Más aún, a principios de marzo de este año, Yahoo volvío a informar que le habían hurtado los datos de otras 32 millones de cuentas usando cookies falsificadas.

Otra serie de noticias de estos días hablan de millones de cuentas de Yahoo y Gmail (nombres de usuario, direcciones de correo electrónico y contraseñas) que han salido a la venta, robadas de Last.fm, Adobe, MySpace y Tumblr entre los años 2010 y 2016.

Es decir, hay un agujero de seguridad que nada tiene que ver con los protocolos y esas advertencias de los navegadores sólo son una cortina de humo que nos distrae del problema fundamental; los datos de los sitios pueden ser robados muy sencillamente, basta tener alguien dentro de la empresa, dispuesto a hacerlo por un puñado de dolares y listo.

¿Acaso esas mismas empresas no venden los datos recopilados para hacer estudios de mercadotecnia, enviarnos publicidad o llamarnos por teléfono para ofrecernos algo que jamás pensamos comprar?

Que nadie se engañe. No existe ni existirá una internet segura en un mundo donde nada es seguro.

En fin, sea como sea, por lo menos, los usuarios de Chrome y Firefox podrían deshabilitar esas alertas aunque, claro, no es recomendable:

En Firefox escribir about:config en la barra de direcciones, aceptar las consecuencias de esta osadía y primero, buscar:
security.insecure_field_warning.contextual.enabled y establecer su valor como false
luego, buscar:
signon.autofillForms.http y establecer su valor como true

En Chrome escribir chrome://flags buscar:
Marcar conexiones de origen que no seguras como no seguras
y seleccionar:
Marcar siempre HTTP como neutro

Y entonces ¿qué es lo recomendable? Sencillo: usar el sentido común ... algo que no se vende en Amazon.