Luego de la publicación de nuestro post Cazando mitos: HTTPS y del vídeo educativo sobre Ataques de Phishing por HTTPS que realizamos sobre la misma noticia, la misma ha sido publicada por innumerables medios en español e inglés, tales como PC World (Chile), Sputnik (México), IT Now (Centro América), el blog de ESET en inglés y la prestigiosa revista SC Magazine de Inglaterra.
Sin embargo, en algunos casos la información ha sido mal interpretada y nos parece oportuno clarificar algunos conceptos de forma tal de que si otros lectores han tenido las mismas dudas que se presentaron, poder compartir los comentarios con todos ellos.
En el blog de StartCom, Eddy Nigg escribió un post en donde manifestaba, como respuesta a nuestro artículo, un ataque de nuestra parte a los certificados gratuitos que emite la empresa donde trabaja.
A través de los comentarios del post, hemos explicado al autor del mismo la mal interpretación de nuestro post (que el mismo Eddy manifestó entender en comentarios subsiguientes), y aprovecho la oportunidad para clarificar esas ideas con ustedes, compartiendo el comentario que dejé en el post:
Estimado,
En nuestro post en ningún momento nos oponemos al uso de certificados gratuitos. Tampoco es nuestra intención discutir la calidad de StartCom como empresa.
Sin embargo, es nuestro deber alertar a la comunidad si cierta tecnología puede ser usada maliciosamente. El problema en cuestión no son los certificados gratuitos, sino el falso mito que tienen los usuarios respecto a que HTTPS es garantía de que un sitio es seguro.
Cuando nosotros reportamos, por ejemplo, que atacantes usan las redes sociales para propagar malware; no nos estamos oponiendo a las redes sociales, sino informando a los usuarios de los riesgos a los que se exponen, para utilicen dichas tecnologías, pero con el cuidado necesario ante las amenazas.
No nos oponemos al uso de certificados gratuitos, pero la noticia de que los mismos serían aceptados por los navegadores era el momento para explicar a nuestros lectores qué es HTTPS y qué no. La falsa creencia de que HTTPS garantiza la seguridad total de un sitio no es nuestra responsabilidad ni de StartCom, pero nosotros tenemos el deber de informar a la comunidad para que no se expongan a riesgos innecesarios.
Esperando haber clarificado sus dudas, y agradeciendo la comunicación, le dejo un cordial saludos.
Al igual que con Eddy Nigg espero que, para los lectores, este post sirva para clarificar si quedaron dudas sobre el mito del protocolo HTTPS.
Sebastián
