Existen dos tipos principales de mensajes HTTP: solicitudes y respuestas. Las peticiones HTTP son aquellas generadas por el propio navegador de un usuario cuando éste interactúa con los elementos de una página web, como, por ejemplo, si un usuario hace clic en un hipervínculo. 

Estas solicitudes se dirigen a un servidor y éste generará una respuesta. Tanto las peticiones y respuestas HTTP se envían mediante texto plano. 

El problema de este tipo de protocolo es que, cualquier usuario que monitorice la conexión de una red puede llegar a leer e interpretar esos textos planos. Esto se convierte en un serio problema cuando los usuarios envían datos sensibles mediante un sitio web. Estos datos sensibles pueden ser desde contraseñas, números de tarjetas de crédito o cualquier otro dato introducido en un formulario web. 

Mediante la ejecución del protocolo HTTP, un usuario malicioso puede leer el texto de la solicitud o la respuesta y saber exactamente qué información está pidiendo, enviando o recibiendo alguien, e incluso llegar a manipular dicha información. 

Sin embargo, existe una alternativa mucho más segura i es el protocolo HTTPS. Las siglas corresponden a Hypertext Transfer Protocol Secure. 

Este protocolo utiliza, a su vez, el protocolo TLS para poder cifrar las peticiones y respuestas HTTP, de modo que en lugar de texto planto, un atacante visualizaría una serie de caracteres aparentemente aleatorios. 

Además, el protocolo TLS utiliza una tecnología llamada cifrado de clave pública, la cual se comparte con los usuarios mediante certificado SSL del servidor. Dichos certificados están firmados criptográficamente por una Autoridad de Certificación (CA). Cada navegador dispone de un listado de CA’s en las que confía implícitamente. Por tanto, cualquier certificado firmado por una CA de la lista de confianza recibe un candado en la barra de direcciones del navegador, demostrando que es de “confianza”. 

Por tanto, todas las peticiones y respuestas HTTP se encriptan entonces con estas claves de sesión, de modo que cualquiera que intercepte las comunicaciones sólo puede ver una cadena de caracteres aleatoria. 

Además de cifrar la comunicación, el protocolo HTTPS se utiliza par autenticar a las dos partes que se comunican. Al igual que un documento de identidad confirma la identidad de una persona, una clave privada confirma la identidad del servidor. Por tanto, cuando un cliente abre un canal con un servidor de origen, como, por ejemplo, cuando un usuario navega por un sitio web, el hecho de poseer la clave privada coincidente con la clave pública en el certificado SSL de un sitio web demuestra que el servidor es realmente el anfitrión legítimo del sitio web. 

Esto es de gran ayuda ya que ayuda a bloquear una serie de ataques cibernéticos que son posibles cuando no existe dicha autenticación, como, por ejemplo, los ataque Man-in-the-middle, los secuestros del DNS o la suplantación de un dominio. 

Concluyendo, el protocolo HTTPS tiene muchas ventajas, tanto de rendimiento como, sobre todo, de seguridad. Todos los navegadores y plataformas recomiendan encarecidamente a los usuarios que confíen sólo en aquellos sitios webs que implementen HTTPS, ya que se trata una medida efectiva que puede ayudar a mitigar amenazas y ataques. 

Incentivando al uso del protocolo HTTPS tenemos a la plataforma OneTrust, líder en gestión de privacidad y Compliance. 

La plataforma ha comunicado que, a partir de sus próximas versiones, cualquier flujo de trabajo de integración que utilice credenciales de tipo HTTP, así como cualquier acción que use llamadas HTTP, no serán soportadas. Como resultado, OneTrust bloqueará cualquier solicitud que contenga el protocolo de credenciales HTTP, deteniendo las llamadas de terceros que den lugar a redireccionamientos. 

En OptimumTIC podemos ayudarte a implementar medidas de seguridad para proteger tu organización. Por un lado, somos partners de las mejores herramientas del mercado de implementación de VPN y Firewalls, como son Palo Alto y Fortinet. Por otro lado, ofrecemos soluciones personalizadas para la formación y concienciación de equipos, para ello contamos con una de las mejores herramientas como es PSAT de Proofpoint. Además, somos partners del software líder en mercado en materia de privacidad y Compliance, OneTrust.  Por último, llevamos a cabo auditorías integrales, realizadas por expertos en cada ámbito que se analiza.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com