Joven hacker sonriendo

¿Sí era la página a la que quería ingresar?

HTML (HyperText Markup Language) se basa en el lenguaje SGML (Standard Generalized Markup Language) y es el formato de los documentos de la World Wide Web, su origen fue como intercambiador de documentos científicos y técnicos, con la creación de los links se facilitó su intercambio, las compañías fueron creando navegadores -El software necesario para interpretar un documento en HTML-.

Con el afán de abarcar el terreno lo más rápido posible los desarrolladores de navegadores dieron inicio a la denominada “Guerra de los navegadores” lo; cual fue un beneficio para el consumidor final, consistía en ver que navegador implementaba más características en comparación a su competidor, también! empezaron a inventar elementos HTML que solo fueran reconocidas por sus propios navegadores, como ejemplo están <marquee>desplazamiento de texto</marquee>! que inicialmente solo funcionaba para Internet Explorer o <blink>texto intermitente</blink> que solo funciona con navegadores basados en Gecko, un lado! negativo de esta “guerra” fue que HTML se empezó a fragmentar y los programadores se daban cuenta que sus páginas se veían bien en un navegador pero! en otro algunos elementos no funcionaban y así nace la W3C (World Wide Web Consortium) la cual buscaba estandarizar HTML. En 1990 varias! recomendaciones fueron publicadas por W3C las cuales fueron referentes para los programadores web, así nació HTML 2.0 en 1995, HTML 3.2 en 1997! HTML 4.01 en 1999 y HTML5 en 2008. (Para validar si su página web esta estandarizada puede revisar aqui).

HTML no permite definir la apariencia de una pagina, aunque se utiliza tambien como un leguaje de presentacion. Los archivos de navegador se visualizan en un navegador web. La presentacion de la pagina es muy dependiente del navegador ya que el mismo documento no produce el mismo resultado en la pantalla si se visualiza con un browser o con otro, en pocas palabras, HTML se limita a describir la estructura y el contenido de un documento, y no el formato de su pagina ni su apariencia.

footnote
Figura 1.
[Imagen tomada de W3]

El peligro de no revisar

La mayoría de robos a cuentas ya sean de Facebook o peor de cuentas bancarias ocurren por no fijarse en la dirección a la que se requiere entrar.

facebook
Figura 2. Dos facebook

La mayoría de ataques que se centran en robos de cuentas se basan en el afán del usuario, como podemos ver en la figura las paginas son exactamente las mismas, la única diferencia visible se encuentra en la URL, la original tiene la dirección normal de Facebook, la falsa al no estar alojada en un servidor tiene la dirección local, pero, ¿Qué pasaría si estuviera alojada en un servidor? La respuesta a esta pregunta es, el atacante se centra en ubicar direcciones web con un nombre similar a la página a atacar, un ejemplo podría ser “\www.facebookk.com\” -Es de recordar que Facebook re-direcciona algunas páginas al original para evitar este tipo de ataque como con \www.facebok.com\- pero entonces, ¿Cómo podemos estar seguros que la pagina que entre es la verdadera página? La mayoría de páginas que requieren un inicio de sesión tienen un protocolo HTTPS.

http
Figura 3. HTTP vs. HTTPS
https
Figura 4. HTTP vs. HTTPS

¿Qué es HTTP y HTTPS?

HTTP (Hyper Text Transport Protocol) es el protocolo encargado de definir el intercambio que llevan a cabo distintos equipos que conforman una red, en otras palabras, el protocolo encargado de asegurarse de que los datos lleguen bien, este protocolo es del tipo petición-respuesta lo que quiere decir que debe haber un cliente que solicite información y un servidor que le responda.

Diferencia HTTP y HTTPS

diferencia
Figura 5. Diferencia en HTTP y HTTPS
[Imagen tomada de WordPress]

El protocolo HTTPS (Hypertext Transfer Protocol Secure), se basa en la combinación de dos protocolos el HTTPS y el SSL/TLS (Secure Sockets Layer/Transport Layer Security)! esta es la manera más segura de acceder a los contenidos en Internet, porque todo dato ingresado va cifrado, lo que garantiza que la información solo! será visible entre el cliente y el servidor.

paypal
Figura 6. HTTPS PayPal
gmail
Figura 7. HTTPS Gmail

Como podemos ver en los ejemplos, HTTPS es fundamental para cualquier actividad que haga uso de datos personales, como cuentas bancarias, contraseñas, números de tarjetas de crédito etc… para que este sistema funcione se debe aplicar el esquema de certificado, que debe estar debidamente firmado por una autoridad.

Una de las desventajas que posee HTTPS es su velocidad ya que es reducida a comparación de una conexión HTTP, esto se debe al cifrado y descifrado que se tiene que hacer con los datos ya que genera un mayor consumo de banda y por ende una mayor lentitud, pero este inconveniente no debe opacar la seguridad que nos ofrece HTTPS ya que es un método de verificación fiable frente a un usuario final.

¿Qué es un certificado SSL?

La función de un certificado SSL es darle la seguridad a un visitante de una página web, una forma de decirle que el sitio es auténtico, real y seguro para ingresar datos personales. SSL es un protocolo de seguridad que se encarga de que los datos ingresado viajen de manera segura, la transmisión de datos entre un cliente y un servidor es cifrada. Que los datos vayan cifrados quiere decir que se emplean algunos algoritmos y un sistema de claves que solo conocen el servidor y el cliente, en ese momento nos podemos asegurar que nadie tiene acceso a la información que viaja en ese canal. En pocas palabras la tecnología detrás de un SSL es la transmisión segura de información a través de la red, y así confirmar que están irreconocibles de personas no deseadas. Para poder implementar este tipo de certificado el servidor debe tener soporte SSL.

Como se pudo observar para poder evitar esta vulnerabilidad solo se debe ser cuidadoso al momento de digitar una página web, siempre revisar su protocolo -si es HTTP o HTTPS-, los navegadores son una gran ayuda ya que tienen esta información a la mano para que sea más fácil para el usuario reconocer si está en una página autentica o no, una forma para estar seguro de la autenticidad de la página es ingresando la dirección IP de la página en vez de la dirección, por ejemplo, la dirección IP de Facebook es 31.13.65.36

facebook-ip
Figura 8. Entrando por IP

Foto del autor

Francisco Bernal Baquero

Ingeniero Electrónico.

Programador en Python y Ruby, siempre dispuesto a aprender.


Relacionado





Haz un comentario