¿Por qué necesitas que tu web sea https?

José Fernández Sánchez 05 noviembre de 2018

El pasado martes 16 de octubre se celebró en Madrid la quinta edición de Legal Managment Forum. Organizado por Wolter Kluwers e Inkietos, representa uno de los eventos de referencia para debatir sobre tendencias, innovación y digitalización en el sector legal, contó con la presencia de parte del equipo de + MoreThanLaw.

Que en los diez primeros minutos de evento ya hubieran sonado todos los términos de moda (digitalización, blockchain, inteligencia artificial, machine learning…), da una idea de por dónde iban los tiros de la jornada.
Sin embargo, conforme avanzaba el congreso, se fue evidenciando un tema cuando menos preocupante: si bien aparecía esporádicamente (e incluso hubo una ponencia específica sobre ella), la ciberseguridad no parecía estar ni entre los términos “molones”, ni en la mente de casi ninguno de los asistentes (y, por extensión, del sector).
De hecho, una de las intervenciones consistió en una encuesta en directo sobre las tendencias de la abogacía y cuáles serían los puntos clave sobre los que pivotarían los despachos dentro de 10 años y, sorprendentemente, la ciberseguridad quedó en cuarto lugar (de cinco), solamente por delante de la internacionalización.
Si a ello le añadimos el escaso interés mostrado por la ponencia sobre ciberseguridad del hacker ético Friki Clown, en la que incluso hizo una demo en directo de un ataque de phishing, el panorama no deja de ser ciertamente desolador.

Si todos somos conscientes (como parece que así es) de que el mundo es cada vez más digital, y que esa digitalización no hará más que crecer, incluso de manera exponencial a partir de la llegada del 5G, la ciberseguridad no debería ocupar otra plaza que no fuera la primera en orden de importancia. Máxime para un sector como el de la abogacía que tiene en la protección de la información de sus clientes una de sus principales obligaciones.

A pesar de ello (y seguramente como consecuencia de lo anterior) seguimos viendo cada día prácticas poco o nada recomendables en cuanto a uso responsable de la red y los dispositivos conectados, webs que no cumplen ninguna medida de protección respecto de los datos personales que capturan o dispositivos mal configurados. En una palabra, fugas de información por todas partes.

Si nos centramos en las webs, y dejando a un lado la protección de las mismas frente a ataques (de lo que hablaremos en otro post), si capturamos datos personales a través de ella tenemos la obligación de protegerlos. Es más, en el preceptivo Aviso Legal y en la Política de Privacidad que toda web (toda) tienen que tener, seguramente estarás diciendo algo parecido a que “te comprometes a adoptar todas las medidas técnicas y organizativas para la protección de los datos personales”. Pues si estás diciendo eso (que es lo que tienes que decir y hacer, por otra parte) y no tienes tu web en https, sencillamente estás mintiendo. No estás adoptando todas las medidas a tu alcance y estarás poniendo en riesgo los datos que captures en tus formularios.

Para que una web sea https (y no http) tiene que tener instalado un certificado SSL en el servidor. Los hay de varios tipos, con varios niveles de certificación, pero cualquiera de ellos, incluso, por supuesto, los gratuitos tipo Let’s Encrypt, cumplen a la perfección su función. Y su función no es, tal y como se piensa en ocasiones, proteger la web. Su función es encriptar los datos que intercambiamos a través del servidor.

Cuando tenemos un formulario de contacto en nuestra web, capturamos a través de él datos personales (lo normal, nombre y apellidos y dirección de correo electrónico), pero hay formularios extensísimos que capturan muchísimos más datos (la mayoría de las veces innecesariamente, pero esa es otra historia). Esos datos que nuestro visitante introduce en los campos del formulario son enviados al servidor en el momento que hace clic en enviar y nosotros los recibimos para almacenarlos y tratarlos.

Pues bien, si la web es http, esa transmisión se produce en texto plano. Es decir, si hemos introducido "Pepe Pérez", los datos se transmiten tal cual, y si alguien intercepta esa comunicación mediante un sniffer de red, verá los datos en texto plano (verá Pepe Pérez) sin ningún tipo de problema. Lo que significa que estamos poniendo en riesgo los datos personales de nuestros visitantes, de los que somos responsables, ante una eventual interceptación de esa comunicación.

Sin embargo, si la web es https gracias a tener instalado el certificado SSL, esa transmisión de datos será previamente encriptada. De ese modo, si se produjera esa interceptación de la comunicación, el atacante no tendría acceso a los datos transmitidos, ya que estarían encriptados sin posibilidad de que los pueda descifrar una persona ajena que no tenga la correspondiente clave.

De ahí la necesidad de que nuestras webs (todas, pero desde luego todas las que dispongan de algún formulario que capture datos) trabajen siempre, bajo SSL, en https. Y de ahí la importancia de que no introduzcamos nunca datos personales (y mucho menos de medios de pago electrónico) en webs que no sean https.

Hay sniffers de red al alcance de cualquiera, incluso de manera gratuita (WireShark, por ejemplo) y en tan sólo un par de clics podrían estar interceptando nuestras comunicaciones con tan solo estar conectados a nuestra misma WiFi.

Por si lo comentado hasta ahora no fuera suficiente motivo, recordar que la implementación de un certificado SSL en nuestra web, influye positivamente en nuestro posicionamiento (es un factor de SEO) y en la percepción de nuestra marca que tengan nuestros clientes.



Changemaker, tu momento ha llegado

Quizás no lo sepas, pero eres changemaker. Quizás en tu tarjeta de empresa figura otra c…

Leer post anterior
image

Abogado: eres tu marca - ESADE Alumni

Leer post siguiente
image