En Google han celebrado el año pasado el Mes Nacional de Concientización sobre Seguridad Cibernética (NCSAM, por sus siglas en inglés) destacando todo lo relacionado al cifrado de un sitio web y, sobre todo, haciendo énfasis en algo que muchos propietarios de sitios web no se dan cuenta: una sola página que no está encriptada podría usarse para obtener acceso al resto del sitio web.
Se debe recordar que el Mes Nacional de Concientización sobre Seguridad Cibernética es un proyecto de la Alianza Nacional de Seguridad Cibernética (NCSA), en conjunto con el Alto Gobierno de los Estados Unidos, para concienciar sobre la privacidad en línea.
La NCSA es una organización sin fines de lucro fundada en 2001, de asociación público-privada, que trabaja con el Departamento de Seguridad Nacional (DHS), patrocinadores del sector privado (los fundadores incluyeron Symantec, Cisco Systems, Microsoft, SAIC, EMC, McAfee) y colaboradores sin fines de lucro.
La intención de la Alianza Nacional de Seguridad Cibernética, con el Mes Nacional de Concientización sobre Seguridad Cibernética (octubre), es promover la conciencia de seguridad cibernética para usuarios domésticos, pequeñas y medianas empresas; educación primaria y secundaria.
Precisamente, Ben Fried, vicepresidente, CIO y jefe de dominios en Google, ha publicado que se necesita el completo cifrado de un sitio web para evitar ser víctimas de actores perversos que pongan en riesgo la seguridad cibernética.
A su juicio, no se trata de un cifrado exclusivo para las páginas que recopilan números de tarjetas de crédito o información de inicio de sesión, sino que, incluso, las páginas de destino sin cifrar que redirigen a una página HTTPS pueden presentar riesgos.
“Una sola página desprotegida puede convertirse en una puerta trasera (backdoor) para que los malos actores espíen en el resto del sitio”.
Fried ha referido como ejemplo el envío de un mensaje secreto por correo, el cual se podría enviar en un sobre o en una postal. Si se envía en una postal, según su criterio, cualquiera que haya visto la postal en su camino hacia el destinatario podría leer el mensaje o incluso hacer cambios en lo que está escrito.
Entonces, ha puntualizado que el cifrado de un sitio web funciona como un sobre, protegiendo la información transmitida entre su sitio web y sus visitantes para que no se pueda espiar o cambiar.
“Es lo que mantiene a sus visitantes a salvo de los malos actores que pueden intentar alterar el contenido de su sitio, desviar el tráfico, espiar las redes Wi-Fi abiertas e inyectar malware o seguimiento”.
Proteger los sitios web
El ejecutivo ha dicho que se puede lograr el cifrado de un sitio web instalando un certificado SSL (Secure Sockets Layer), el cual asegura que los datos pasados entre un servidor web y un navegador permanezcan privados.
Además, ha recomendado el uso de un dominio de nivel superior que esté HSTS precargado. Explicó que la lista de precarga de HSTS le indica a los navegadores modernos qué sitios web solo deben cargar a través de una conexión cifrada.
“La forma más rápida de ingresar a esta lista es usar un dominio de nivel superior que ya esté en la lista de precarga de HSTS, como .app, .dev o .page. Cualquier sitio web en esas extensiones obtiene los beneficios de seguridad de la precarga de HSTS desde el primer día, por lo que todo lo que necesita hacer es instalar su certificado SSL”.
También ha comentado que el propietario del sitio web puede agregar individualmente a la lista de precarga de HSTS en hstspreload.org. El propietario debe tener en cuenta que esto puede ser un proceso lento porque la lista se integra manualmente en el navegador.
Eso, según su explicación, significa que las actualizaciones de la lista se realizan a medida que salen nuevas versiones del navegador, lo que puede demorar meses en aparecer en todos los navegadores.
“Más personas están creando sitios web que nunca antes, con el 48% de la población de Estados Unidos que planea crear uno. Para ayudar a facilitar un poco la creación de su sitio web seguro, nos hemos asociado con algunos de nuestros socios registradores que ofrecen certificados SSL gratuitos durante el mes de octubre”.
Igualmente se encuentran lanzando una serie de videos donde los creadores existentes comparten sus consejos para lanzar un sitio web, los cuales se pueden consultar en el portal para tal fin.
Decimosexto aniversario del NCSAM
El decimosexto NCSAM ha tenido un nuevo mensaje: “Asegúralo. Proteja las TI”. La idea es recordar a todos el papel que se juega en la seguridad cibernética en el hogar y en el lugar de trabajo para resguardar la privacidad en línea.
En un comunicado de prensa se ha enfatizado que el NCSAM es un esfuerzo de colaboración entre el Gobierno y la industria para garantizar que cada persona tenga los recursos que necesita para mantenerse a salvo y seguro en línea, al tiempo que aumente la resistencia de la nación contra las amenazas cibernéticas.
Kelvin Coleman, director ejecutivo de la Alianza Nacional de Seguridad Cibernética, dijo que se sintieron entusiasmados de lanzar el decimosexto año del NCSAM con un enfoque renovado en “Own IT. Asegúralo. Proteja las TI”.
“Este simple mensaje alienta a los consumidores a comprender los dispositivos y las aplicaciones que usan todos los días, proteger su perfil digital y resguardarlo al familiarizarse con la configuración de privacidad para ayudar a preservar su privacidad y limitar los delitos cibernéticos”.
Según Coleman, a medida que los ciberdelincuentes se vuelven más sofisticados, es importante recordar estos pocos métodos probados y verdaderos para proteger la privacidad en línea.