Durante 2023 diremos por fin adiós a una de las frases más dañinas para la ciberseguridad que se han repetido durante los últimos 30 años: “Si el navegador muestra un candado es que la página es segura”. Esto no es cierto. Jamás lo ha sido. Por muchas razones. Una de ella es pura lógica operativa del ser humano: se debe alertar del peligro, no de lo que es correcto. De lo contrario, lo que se ha conseguido es inventar la alarma de Homer (una alarma que sonaba todo el tiempo mientras todo iba bien y se apagaba cuando realmente existía un peligro). Pero lo importante es que a partir de este año el navegador web Chrome pasará a destacar las páginas inseguras y las supuestamente seguras se darán por hecho, pero sin necesidad de ‘candadito’.

El ‘candadito’ en el navegador tiene dos funciones fundamentalmente. Una es indicar que la información en tránsito está cifrada y esta se cumple siempre. Alguien con acceso a la red no podría leerla, solo el otro servidor con el que se comunica el navegador. La otra es la de autenticar al servidor, y siempre hemos confundido el autenticar con confiar en él.

Al pinchar en el ‘candadito’ se puede comprobar de quién es el certificado y, por tanto, quién está detrás del servidor y el servicio. Pero nadie garantiza nada sobre sus intenciones. Si el servidor suplanta a otra empresa con un certificado falso, desde luego el ‘candadito’ de por sí no aporta seguridad. El usuario ahora tendría que comprobar no solo el candado, sino cuál es el certificado habitual de su banco o tienda online favorita y compararlos cada día que entra en su página. Es como si confiásemos en alguien por disponer de DNI, sin necesidad de mirarlo nunca ni comprobar si lo han cambiado y ni si la persona que nos lo enseña es el de la fotografía. Y eso es insostenible y una de las grandes razones por las que el hecho de “disponer de ‘candadito’” no servía para nada sin analizar el certificado.

En 2016, el ‘candadito’ fue rediseñado después de un estudio que confirmaba que nadie lo entendía. En 2021 solo el 11% de los usuarios conocían el verdadero significado del candado en el navegador, otorgándole una falsa sensación de seguridad. Hasta el FBI alerta de que el candado no indica seguridad ni confianza alguna en la web. Así que ya no habrá ‘candadito’. Bien. Pero esto tampoco solucionará el problema.

Cómo hemos llegado hasta aquí

En una internet primigenia de los 90, disponer de un certificado web (un ‘candadito’ en el navegador) era caro y extraño. Se premiaba a quien se había molestado en pagar por uno, otorgando un “estatus” que daba confianza al usuario. Pero luego el certificado en las webs se popularizó. Ya no significaba nada fuera de lo común. ¿Qué se hizo entonces en los 2000? Poner a la venta certificados más caros para distinguirlos de los normales.

Los navegadores ya no tenían solo un ‘candadito’, sino toda la barra de navegación en verde. No funcionó. Después de eso se impulsó el “HTTPS everywhere”. Todos tendrían ‘candadito’ y las páginas que no lo usasen serían penalizadas en las búsquedas y cada vez de forma más evidente, alertadas como inseguras en el navegador. Con esta estrategia hemos pasado por varias fases, desde “no candado” hasta aspa roja o señal de peligro para páginas sin HTTPS. El último paso ha sido que el candado desaparece.

Y si todo tiene ‘candadito’, ¿cómo distinguimos las páginas seguras de las no seguras? Muy sencillo: no podemos. La evolución en los navegadores pasa entonces por desvincular el símbolo del ‘candadito’ de la seguridad. O sea, reemplazarlo por una imagen neutra que no implique confianza y que invite a ser “clicado” para que las opciones de la web (y su certificado) sea consultado.

Así se enfatiza que lo normal es que la página vaya cifrada y autenticada, penalizando a las webs que no lo están. Ahora bien, volvemos al problema de siempre: ¿Te puedes fiar que una web cifrada y autenticada no vaya a robarte la tarjeta de crédito o a no enviarte la compra una vez has pagado? No. Y eso no lo soluciona ningún ‘candadito’ ni símbolo alguno. Pero al menos dejaremos de dar por hecho que tenerlo, lo garantiza.