EVASIÓN Y SEGURIDAD
El tipo de seguridad que necesitamos depende de nuestras actividades y sus consecuencias. Hay algunas medidas de seguridad que todos debiéramos practicar aunque no nos sintamos amenazados. Algunas formas de ser cautelosos en línea requieren más esfuerzo, pero son necesarias debido a severas restricciones al acceso a Internet. Podemos estar amenazados por tecnología que se esté investigando y poniendo en práctica rápidamente, vieja tecnología, uso de inteligencia humana, o la combinación de las tres. Todos estos factores pueden cambiar a menudo.
ALGUNAS BUENAS PRÁCTICAS DE SEGURIDAD
Hay algunos pasos que todo el mundo debiera dar para mantener su computadora segura. Esto va desde proteger la información de nuestra red de activistas hasta el número de nuestra tarjeta de crédito, pero en todos estos casos las herramientas pueden ser las mismas.
Debemos tener cuidado de los programas que prometen una seguridad perfecta: la seguridad en línea es la combinación de un buen programa y de un buen comportamiento humano. La tecnología por sí sola no nos ayuda a saber lo que debemos mantener offline, en quien confiar, y otras preguntas de seguridad. Por eso debemos buscar programas que tengan listadas sus debilidades conocidas en el sitio de sus autores o programas que sean revisados o validados por terceros.
Es necesario mantener nuestro sistema operativo actualizado: los desarrolladores de sistemas operativos brindan actualizaciones que debemos instalar de cuando en cuando. Esto se puede hacer de forma automática o podemos solicitarla entrando un comando o ajustando la configuración del sistema. Algunas de estas actualizaciones hacen nuestras computadoras más eficientes y facilitan su uso, y otras reparan huecos de seguridad. Los atacantes aprenden sobre los huecos de seguridad de forma rápida, algunas veces incluso antes de que sean reparados, así que repararlos a tiempo es crucial.
Si aún usamos Microsoft Windows, debemos usar un antivirus y mantenerlo actualizado. Se denota por malware a los programas desarrollados con el propósito de robar información o para usar nuestra computadora para otros propósitos.
Los virus y el malware en general pueden ganar
acceso en nuestro sistema, hacer cambios y ocultarse. Estos pueden
llegar a nosotros a través del correo electrónico, o estar simplemente
en alguna página Web que visitemos, o ser parte de un fichero que no
parezca sospechoso. Los proveedores de programas antivirus
constantemente investigan las amenazas emergentes y las adicionan en la
lista de cosas que nuestra computadora debe bloquear. Con el objetivo de
permitir que el programa reconozca nuevas amenazas debemos instalar las
actualizaciones en la medida que son publicadas.
Es necesario el uso de buenas contraseñas: todos los sitemas de contraseña son vulnerables, pero podemos mejorar nuestra seguridad haciendo más difícil de adivinar nuestras contraseñas. Es necesario usar combinación de letras, signos de puntuación y números. Combinar letras mayúsculas y minúsculas. No usar números de cumpleaños, o palabras que puedan ser adivinadas a través de información pública acerca de nosotros.
Es aconsejable también usar programas de código abierto, (FOSS por sus siglas en inglés, Free and Open Source Software). Los programas de código abierto están disponibles como productos terminados o productos en desarrollo para usuarios e ingenieros de software. Esto ofrece algunas ventajas en cuanto a seguridad, frente a los programas de código cerrado que solo están disponibles en los países a través de canales ilegales debido a restricciones de exportación o costo. Quizás no podamos descargar actualizaciones oficiales para software pirateado. Con los programas de código abierto no hay necesidad de buscar a través de sitios de dudosa procedencia una copia libre de spyware y de problemas técnicos. Cualquier copia legítima será gratis y será provista por sus creadores. Si emergen defectos en la seguridad, serán reparados por voluntarios y usuarios interesados. Una comunidad de ingenieros trabajarán en la solución, rápidamente.
También es bueno usar programas que separen “quienes somos” del “donde estamos”. Toda computadora conectada a Internet tiene una dirección IP. Una dirección IP puede ser usada para encontrar nuestra ubicación física tecleando dicha dirección en algún sitio “whois”. Los proxis, VPN y Tor enrutan nuestro tráfico a través de una a tres computadoras alrededor del mundo. Si vamos a pasar por un solo servidor, debemos tener en cuenta que al igual que un ISP, el operador del proxy puede ver todo nuestro tráfico. Puede que confiemos mas en el operador del proxy que en el ISP, pero las mismas advertencias se aplican para cualquier fuente individual de conectividad. Ver las secciones que abarcan proxis, Tor, y VPN para más detalles sobre sus riesgos.
Otro elemento de importancia es usar CDs y memorias USB booteables. Si usamos una computadora de uso público o cualquier otra en la que no queramos dejar datos, es aconsejable usar una versión de Linux que podamos ejecutar desde una memoria USB. Los CD y memorias USB booteables se pueden usar sin necesidad de instalar nada.
Es bueno también usar programas “portables”: hay versiones portables de programas de evasión que se pueden ejecutar en Windows desde una memoria USB.
Por último es necesario mantenernos informados. La tecnología que funciona hoy puede mañana dejar de hacerlo o ser insegura. Incluso aunque no la necesitemos ahora, debemos saber dónde encontrar la información. Si los proveedores de programa que usamos tienen forma de brindar soporte, debemos asegurarnos de cómo contactarlos antes que los sitios sean bloqueados.
ACCEDIENDO A REDES SOCIALES DE FORMA MÁS SEGURA
En el contexto de las sociedades cerradas y los países autoritarios, el monitoreo se convierte en la mayor amenaza para los usuarios de redes sociales, especialmente si usan el servicio para coordinar actividades sociales y civiles o conectarse con el activismo en línea o el periodismo nacional.
Un tema central con la plataforma de red social es la cantidad de datos privados que compartimos sobre nosotros mismos, nuestras actividades y nuestros contactos, y quienes tienen acceso a esto. Como la tecnología evoluciona y las plataformas de red social son más accedidas a través de teléfonos sofisticados, la revelación de las ubicaciones de los usuarios de una plataforma de red social en cualquier momento se convierte en una amenaza significativa.
En este contexto, algunas precauciones son cruciales; por ejemplo debemos:
- revisar nuestra configuración de privacidad
- saber precisamente que información compartimos y con quién
- asegurarnos de que entendemos la configuración de posicionamiento geográfico, y editarla si es necesario
- solo aceptar en nuestra red personas en las que realmente confiemos
- solo aceptar en nuestra red personas que protegerán nuestra información privada
- tener en cuenta que incluso las personas más confidentes pueden dar información nuestra si se sienten amenazadas por nuestro adversario, así que es necesario limitar quién accede a qué información
- tener en cuenta que acceder a una plataforma de red social por la vía de una herramienta de evasión no nos protegerá automáticamente de las amenazas a nuestra privacidad
Una lectura recomendada es este artículo de Privacy Rights Clearinghouse: "Social Networking Privacy: How to be Safe, Secure and Social": http://www.privacyrights.org/social-networking-privacy/#general-tips
¿Cómo podemos acceder a nuestra plataforma de red social cuando está filtrada?
Como se describió antes, usar HTTPS para acceder a sitios Web es importante. Si nuestra plataforma de red social permite accesos HTTPS, debemos usarlo exclusivamente y si es posible, hacerlo por defecto. Por ejemplo, en Facebook, podemos editar nuestra configuración de cuenta: Account Settings > Account Security > Secure Browsing (https) para lograr que HTTPS sea la vía de conexión por defecto en nuestra cuenta. En algunos lugares, usar HTTPS nos permite acceder a algunos servicios bloqueados; por ejemplo, http://twitter.com/ ha sido bloqueado en Burma mientras https://twitter.com/ permanece accesible.
Si deseamos proteger nuestro anonimato y privacidad mientras usamos una herramienta de evasión un túnel SSH o VPN nos pueden garantizar una mayor privacidad que un proxy web, incluso ante el riesgo de revelar nuestra dirección IP. Incluso usando una red anónima como Tor puede ser insuficiente porque las plataformas de red social hacen que sea muy fácil revelar la información de identificación y exponer detalles de nuestros contactos y relaciones sociales.USO MÁS SEGURO DE COMPUTADORAS DE USO COMPARTIDO
Una proporción significativa de la población mundial, especialmente en países desarrollados, no tienen acceso personal a Internet desde su casa. Esto puede ser debido a los costos de tener Internet privado en las casas, la falta de equipamiento de computadoras personales, o problemas en las infraestructuras de redes eléctricas y de telecomunicaciones.
Para esta parte de la población el único medio razonable para acceder a Internet es usar lugares donde las computadoras se comparten entre individuos diferentes. Esto incluye cibercafés, Telecentros, estaciones de trabajo, escuelas o bibliotecas.
Ventajas potenciales de computadoras compartidas
Hay ventajas al acceder a Internet en computadoras compartidas:
- Podemos recibir consejos o asistencia técnica de otros usuarios o personal capacitado en cómo evadir el filtrado.
- Las herramientas de evasión pueden estar instaladas y pre-configuradas.
- Los usuarios pueden compartir información no censurada a través de medios sin conexión.
- Si no somos usuarios regulares de un local de navegación en particular, no tenemos que ofrecer documentos identificativos al operador de dichas habilidades y no tenemos que registrarnos usando nuestro nombre real o información de cuenta, será más difícil rastrearnos basándose en nuestra actividad en línea.
Riesgos generales de las computadoras compartidas
El hecho de que accedamos a Internet desde un espacio público no lo hace anónimo o más seguro para nosotros. Es muy posible que sea todo lo contrario. Algunas de las principales amenazas son:
- El dueño de la computadora, o incluso la persona que la usó
antes de nosotros, puede fácilmente programar la computadora para que
espíe lo que hacemos, incluyendo que puede guardar todas nuestras
contraseñas. La computadora también puede ser programada para evadir y
anular cualquier protección de privacidad o software de seguridad que
usemos.
- En algunos países como Burma y Cuba, los clientes de cibercafés tienen que mostrar su carnet de identidad o número de pasaporte antes de usar un servicio. Esta identificación puede ser almacenada junto al historial de navegación Web.
- Cualquier información que dejemos en la computadora puede ser registrada (historial de navegación, cookies, ficheros descargados, etc.).
- Pueden estar instalados programas que guarden cada golpe de teclado durante nuestra sesión. Incluyendo nuestras contraseñas, incluso antes que esta información sea enviada a Internet. En Vietnam, un teclado aparentemente inocente para teclear caracteres vietnamitas fue usado para monitorear las actividades en los cibercafés y en otros lugares de acceso público.
- La actividad de nuestro monitor puede ser guardada por un programa
que toma instantáneas de pantalla en intervalos regulares, monitoreados
a través de cámaras CCTV, o simplemente observados por una persona (por
ejemplo, el administrador de un cibercafé) sobre nuestro hombro.
Computadoras compartidas y censura
Además de la vigilancia, los usuarios de computadoras compartidas a menudo tienen acceso limitado a Internet y tienen que enfrentar obstáculos adicionales para usar su herramienta de evasión favorita:
- En algunos países, como Burma, los dueños de los cibercafés
tienen que mostrar la lista de contenidos Web censurados y son
responsables por el cumplimiento de la ley de censura forzada en sus
negocios.
- Un filtraje extra puede ser implementado por los administradores de los cibercafés (control y filtrado del lado del cliente), para complementar el filtrado implementado en el ISP o a nivel nacional.
- Los usuarios pueden ser forzados por las restricciones del entorno a evitar la visita de sitios Web específicos por miedo al castigo, reforzando así la autocensura.
- Las computadoras muchas veces son configuradas para que los usuarios no puedan instalar ningún programa, incluyendo las herramientas de evasión, o para que no puedan conectar ningún tipo de dispositivo al puerto USB (como memorias externas por USB). En Cuba, las autoridades han comenzado a desarrollar un programa de control para los cibercafés llamado AvilaLink que no permite a los usuarios instalar o ejecutar herramientas específicas desde una memoria externa USB.
- Los usuarios pueden ser obligados a usar solo el navegador Internet Explorer, para evitar el uso de privacidad o de complementos de evasión para navegadores como en Mozilla Firefox o Google Chrome.
Mejores prácticas para seguridad y evasión
Dependiendo del entorno en el cual compartimos una computadora, podemos intentar hacer lo siguiente:
- Identificar los medios de vigilancia implementados basados en la lista anterior (CCTV, vigilancia humana, keyloggers, etc) y comportarse consecuentemente.
- Ejecutar programas de evasión desde memorias externas USB.
- Usar un sistema operativo en el que tengamos control a través del uso de un LiveCD.
- Cambiar de cibercafé a menudo cuando tememos a la vigilancia recurrente, o visitar el que sepamos que es confiable y seguro para conectarnos.
- Usar nuestra propia laptop en los cibercafés en lugar de las computadoras públicas.
CONFIDENCIALIDAD Y HTTPS
Algunas redes filtradas usan principalmente (o exclusivamente) el filtrado de palabras claves, en lugar del filtrado de sitios web particulares. Por ejemplo, alguna red pudiera bloquear toda comunicación que contenga una palabra clave consideradas sensible desde el punto de vista político, religioso o cultural. Este tipo de bloqueo puede ser obvio o puede estar enmascarado tras un error técnico. Por ejemplo, algunas redes pueden hacer que aparezca un error técnico cuando se hace la búsqueda de algo que el operador de red piense que no debemos ver. De esta forma, los usuarios son menos propensos a responsabilizar de este problema a la censura.
Si el contenido de las comunicaciones de Internet no está cifrado,
estará expuesto durante todo el trayecto de red del ISP, es decir
enrutadores y firewalls, donde puede estar implementado el monitoreo
basado en palabras clave. Ocultar el contenido de las comunicaciones
cifrándolas hace que la censura sea mucho más difícil, porque el
equipamiento de red no puede distinguir la comunicación que contiene las
palabras claves prohibidas del resto.
Usar el cifrado de datos para mantener las comunicaciones confidenciales también evitan que el equipamiento de red pueda guardar los datos para analizarlos más tarde y etiquetar de forma individual lo que leemos o escribimos.
¿Qué es HTTPS?
HTTPS es la versión segura del protocolo HTTP usado para acceder a sitios web. Brinda una seguridad avanzada para acceder a los sitios web usando cifrado y así impedir que la comunicación esté expuesta a terceros. Usar HTTPS para acceder a un sitio puede evitar que los operadores de redes sepan que parte del sitio estamos usando o que información enviamos o recibimos desde el sitio. El soporte para HTTPS está incluido en los navegadores Web más populares, así que no necesitamos instalar o adicionar ningún programa para usarlo.
Usualmente, si un sitio está disponible a través de HTTPS, podemos acceder a la versión segura del sitio tecleando su dirección comenzando con https:// en lugar de http://. También podemos decir que estamos usando una versión segura de un sitio si la dirección mostrada en la barra de navegación de nuestro navegador comienza con https://.
No todos los sitios Web tienen una versión HTTPS. En realidad, quizás menos del 10% lo tienen –aunque los sitios más populares generalmente si lo soportan. Un sitio Web puede estar solo disponible a través de HTTPS si el operador de dicho sitio así lo dispone. Los expertos en seguridad de Internet han estado aconsejando con regularidad a los operadores de sitios a hacer esto, por lo que el número de sitios con HTTPS ha aumentado gradualmente.
Si tratamos de acceder a un sitio a través de HTTPS y recibimos un error, no siempre quiere decir que la red esté bloqueando el acceso a este sitio. Puede significar que este sitio no está disponible en HTTPS (para nadie). Sin embargo, ciertos tipos de mensajes de error muestran que alguien está bloqueando la conexión, especialmente si sabemos que ese sitio se supone debe estar disponible a través de HTTPS.
Ejemplos de sitios que ofrecen HTTPS
Aquí hay algunos ejemplos de sitios populares que ofrecen HTTPS. En algunos casos, el uso de HTTPS es opcional en estos sitios, y no obligatorio, así que debemos explícitamente seleccionar la versión segura para poder obtener los beneficios de HTTPS.
| Nombre de sitio
|
Versión insegura (HTTP) | Versión segura (HTTPS) |
| Facebook
|
http://www.facebook.com/ | https://www.facebook.com/
|
| Gmail
|
http://mail.google.com/ | https://mail.google.com/
|
| Google Search
|
http://www.google.com/ | https://encrypted.google.com/
|
| http://twitter.com/ | https://twitter.com/
|
|
| Wikipedia | http://en.wikipedia.org/ | https://secure.wikimedia.org/wikipedia/en/wiki/ |
| Windows Live Mail (MSN Hotmail) | http://mail.live.com/
http://www.hotmail.com/ |
https://mail.live.com/ |
Por ejemplo, si hacemos una búsqueda desde https://encrypted.google.com/ en lugar de hacerlo desde http://www.google.com/, nuestro operador de red no será capaz de ver a partir de que términos se realice la búsqueda, y por tanto no puede bloquear Google de responder búsquedas “inapropiadas”. (Sin embargo, el operador de red puede decidir bloquear encrypted.google.com totalmente). Similarmente, si usamos Twitter a través de https://twitter.com/ en lugar de http://twitter.com/, el operador de red no puede ver cuales tweets estamos leyendo, que etiquetas buscamos, cuales posteamos, o a qué cuenta nos registramos. (Sin embargo, el operador de red puede decidir bloquear el acceso a twitter.com usando HTTPS.)
HTTPS y SSL
HTTPS hace uso de un protocolo de seguridad de Internet llamado TLS (Transport Layer Security) o SSL (Secure Sockets Layer). Puede que hayamos escuchado referirse a un sitio como que usa SSL o que es un sitio SSL. En el contexto de un sitio Web, esto significa que el sitio está disponible a través de HTTPS.
Usando HTTPS además de nuestra tecnología de evasión
Incluso las tecnologías de evasión de censura que usan cifrado no son un sustituto de HTTPS, porque el propósito para el que se usa cada cifrado es diferente.
Para muchos tipos de tecnologías de evasión de censura, incluyendo VPN, proxis, y Tor, aún es posible y apropiado usar direcciones HTTPS cuando accedemos a un sitio bloqueado a través de la tecnología de evasión. Esto proporciona una gran privacidad y evita que el proveedor de tecnología de evasión guarde u observe lo que hacemos. Esto es importante incluso si confiamos en el proveedor de tecnología de evasión, (o la red que brinda dicha posibilidad) porque este puede ser forzado a dar información nuestra.
Algunos desarrolladores de tecnología de evasión como Tor aconsejan
usar siempre HTTPS, para asegurarnos que los proveedores de evasión no
puedan espiarnos. Podemos leer más de este tema en https://blog.torproject.org/blog/plaintext-over-tor-still-plaintext. Es bueno tener el hábito de usar HTTPS siempre que sea posible, aún cuando usemos algún otro método de evasión de censura.
Consejos para usar HTTPS
Si nos gusta marcar los sitios que accedemos frecuentemente de manera que no tengamos que teclear la dirección del sitio complete, es bueno marcar la versión segura de cada sitio en lugar de la insegura.
En Firefox, podemos instalar la extensión HTTPS Everywhere para llevar a cualquier sitio que visitemos a HTTPS automáticamente. Esto está disponible en https://www.eff.org/https-everywhere/.
Riesgos de no usar HTTPS
Cuando no usamos HTTPS, un operador de red como nuestro ISP o un operador de firewall nacional puede registrar todo lo que hacemos – incluyendo el contenido específico de las páginas que accedemos. Ellos pueden usar esta información para bloquear páginas particulares para crear registros que puedan ser usados en nuestra contra. Pueden también modificar el contenido de ciertas páginas o adicionar programas maliciosos para espiarnos o infectar nuestras computadoras. En muchos casos, otros usuarios de la misma red pueden también hacer esto aunque no sean los operadores oficiales.
En 2010, algunos de estos problemas fueron dramatizados por un programa llamado Firesheep, que hacía extremadamente fácil para los usuarios de una red tomar las cuentas de sitios de red social de otros usuarios. Firesheep funcionó porque, en el momento de ser creado, estas redes sociales no usaban HTTPS comúnmente, o lo usaban de forma limitada para proteger solo partes de sus sitios. Esta demostración llamó mucho la atención de los medios y provocó que varios sitios hicieran del HTTPS un requisito o al menos lo ofrecieran como una opción.También permitió que usuarios con pocas habilidades abusaran de otros usuarios tomando sus cuentas.
En Enero de 2011, durante un periodo de conflicto político en Túnez, el gobierno Tunecino comenzó a supervisar las conexiones de usuarios a Facebook de manera que el gobierno podía robar las contraseñas de usuarios. Esto se hizo modificando la página de registrarse a Facebook y adicionando un programa invisible que enviaba una copia de las contraseñas a las autoridades. Estas modificaciones son muy fáciles técnicamente y pueden ser hechas por cualquier operador en cualquier momento. Hasta donde se conoce, los usuarios tunecinos de Facebook que usaban HTTPS se mantuvieron a salvo de este ataque.
Riesgos de usar HTTPS
Cuando está disponible, usar HTTPS es siempre más seguro que usar HTTP. Incluso si algo va mal, no será fácil espiar nuestras comunicaciones. Por tanto es inteligente usar HTTPS siempre que podamos (pero debemos tener cuidado, en principio, usar cifrado puede estar regulado por ley en algunos países). Sin embargo, hay algunas formas en que HTTPS no brinda una protección completa.
Advertencias de seguridad de certificados
Algunas veces, cuando intentamos acceder a un sitio web sobre HTTPS, nuestro navegador web nos nuestra un mensaje de aviso describiendo un problema con el certificado digital del sitio. El certificado se usa para asegurar la seguridad de la conexión. Estos mensajes de avisos existen para protegernos contra los ataques, no debemos ignorarlos. Si ignoramos o sobrepasamos el aviso de certificado, podemos aún ser capaces de usar el sitio pero limitamos las ventajas de la tecnología HTTPS para salvaguardar nuestras comunicaciones. En ese caso, nuestro acceso al sitio puede no ser más seguro que hacerlo por HTTP.
Si encontramos un aviso de seguridad de certificado, debemos reportarlo por correo electrónico al administrador de la Web del sitio que estamos tratando de acceder, para animar al sitio a reparar el problema.
Si estamos usando un sitio HTTPS individual, como algunos tipos de
proxis Web, podemos recibir un error de certificado porque el
certificado es auto-firmado, lo que significa que no
hay bases para que nuestro navegador determine si la comunicación está
siendo interceptada. Para estos sitios, podemos no tener otra
alternativa que aceptar el certificado auto-firmado.
Sin embargo, podemos intentar confirmarlo por otra vía, como por correo
electrónico o mensajería instantánea y chequear que es el que
esperábamos, o ver si se ve igual usando una conexión de Internet
diferente desde una computadora diferente.
Contenido mixto
Una página Web simple usualmente está hecha de muchos y diferentes elementos, que pueden venir de diferentes lugares y ser transferidos separadamente desde otro. Algunas veces un sitio usará HTTPS para algunos elementos de una página Web pero para otros usará HTTP inseguro. Por ejemplo, un sitio puede permitir solo http para acceder ciertas imágenes. Por ejemplo, en Febrero de 2011, el sitio seguro de Wikipedia presentaba este problema; aunque el texto de Wikipedia se podía cargar usando HTTPS, todas las imágenes se cargan usando http, de esta forma algunas imágenes pueden ser identificadas y bloqueadas, o usadas para determinar que páginas de Wikipedia el usuario está leyendo.
Redirección a la versión insegura HTTP de un sitio
Algunos sitios usan HTTPS de forma limitada y obligan a los usuarios a volver al HTTP inseguro incluso después que el usuario inicialmente usara el acceso HTTPS. Por ejemplo, algunos sitios usan HTTPS en las páginas de autenticación, pero en cuanto los usuarios entran su información de cuenta, vuelven a usar HTTP para el resto de las páginas. Este tipo de configuración deja a los usuarios vulnerables a la vigilancia. Debemos tener cuidado con esto, si nos vemos redirigidos a una página insegura mientras usamos un sitio, estaremos sin la protección de HTTPS.
Redes y firewalls bloqueando HTTPS
Por la forma en que HTTPS impide el monitoreo y bloqueo, algunas redes bloquean completamente el acceso por HTTPS de sitios particulares, o incluso bloquean el uso de HTTPS completamente. En este caso, estaremos limitados a usar accesos inseguros a esos sitios mientras estamos en esas redes. Podemos estar inhabilitados de acceder a un sitio porque nos ha sido bloqueado HTTPS. Si usamos HTTPS Eveywhere o algún programa similar, puede que no podamos usar algunos sitios porque este software no permite conexiones inseguras.
Si nuestra red bloquea HTTPS, podemos asumir que el operador de red puede ver y grabar todas nuestras actividades de navegación Web en la red. En este caso, quizás queramos explorar otras técnicas de evasión de censura, particularmente aquellas que brindan otras formas de cifrado, como proxis VPN y SSH.
Usando HTTPS desde una computadora insegura
HTTPS solo protege el contenido de nuestras comunicaciones mientras estas viajan por Internet. No protege nuestro ordenador, o nuestra pantalla o disco duro. Si el ordenador que usamos es compartido o inseguro de alguna otra forma, puede contener programas de monitoreo o espionaje, programas de censura que graban o bloquean palabras claves sensibles. En este caso, la protección que ofrece HTTPS puede ser menos que relevante, pues el monitoreo y la censura pueden suceder en nuestra propia computadora.
Vulnerabilidad del sistema de certificado de HTTPS
Existen problemas con el sistema de autoridad de certificación, llamado también infraestructura de llave pública (PKI por sus siglas en inglés) que se usa para autenticar conexiones HTTPS. Esto puede significar que un atacante sofisticado puede engañar nuestro navegador para que no muestre un aviso durante un ataque, si el atacante tiene el tipo de recurso indicado. Esto no es una razón para dejar de usar HTTPS, pues incluso en el peor de los casos, la conexión HTTPS no será más insegura que una conexión HTTP.