Es importante cifrar los datos en Internet para que nadie pueda verlos. Para eso es fundamental la adopción del HTTPS, que no es más que HTTP normal sobre SSL/TLS. Estos SSL/TLS o Secure Sockets Layer/Transmission Layer Security son dos protocolos especialmente creados para enviar paquetes cifrados a través de la red.
El pasado mes de septiembre, Google anunció que a partir del 2017 empezaría a etiquetar como inseguras algunas de las páginas que no utilizasen HTTPS. Parisa Tabriz, jefa de seguridad de Chrome, ha explicado en una entrevista en Wired por qué han decidido tomar esta dirección tan agresiva y por qué para ella es casi algo personal.
Google ha decidido invertir su estrategia de advertencias, y en vez de avisar únicamente de cuándo una web está cifrada con HTTPS, va a empezar a avisar cuando una página no lo hace, y lo va a hacer etiquetando como inseguras las páginas sin HTTPS. El aviso aparecerá en la barra de direcciones para que se vea bien.
El primer paso se dará en enero del 2017 con el lanzamiento de Chrome 56, que etiquetará como inseguras las páginas que gestionen contraseñas o tarjetas de crédito que no utilicen HTTPS. Más adelante se ampliarán los avisos etiquetando a las páginas con descargas o las que estén en HTTP simple cuando se utilice el modo incógnito.
Haciendo que la web parezca aterradora
"La gente dice que no podemos hacer que la mitad de la web parezca aterradora, porque los usuarios tendrán miedo de ella", dice Tabriz. "Pero para nosotros, es un problema de tratar de ser honestos con los usuarios. Sin HTTPS, un usuario o servicio web no puede tener ninguna expectativa de que nada en un página no haya sido manipulado o escuchado. Y eso es una locura".
Para Google también es una cuestión práctica. Para competir con las apps móviles y los permisos que se les da, Google quiere que las páginas web sean capaces de profundizar en los recursos de nuestros PCs y obtener información sensible como la ubicación. "No querrías que un ataque de intermediario (man-in-the-middle) fuese capaz de acceder a esas cosas".
Para Parisa Tabriz la lucha por implantar el HTTPS es personal. En 2011 descubrió que gobiernos como el iraní, país de procedencia de su padre, estaban espiando a sus ciudadanos mediante falsos certificados de autenticación en HTTP. "Para vosotros, un certificado falso significa una contraseña o información personal robada", explica. "Para mí y miles de otros iraníes, esto puede conducir a la cárcel, a la tortura o a la pena de muerte".
Por lo tanto, con ella al frente y siendo conscientes de que en algunos países el utilizar conexiones HTTPS puede salvar vidas, Google parece haber decidido ser agresivo en su estrategia. "En nuestros momentos de impaciencia, sólo queremos marcar todo como inseguro", dice la jefa de seguridad. "Una gran fracción de la web no es HTTPS, y eso es embarazoso para mí. Y no va a resolver por sí mismo".
En la empresa del buscador son conscientes de que meter tanta presión a las páginas que aún no han dado el salto al HTTP va a despertar las iras de muchos. Pero esperan que gracias a ello pueda acelerarse aún más su adopción.