Si sigue la seguridad en Internet, es posible que haya visto artículos que le advierten que «tenga cuidado con las redes Wi-Fi públicas» en cafeterías, aeropuertos, hoteles y otros lugares públicos. Pero ahora, debido al despliegue generalizado del cifrado HTTPS en la mayoría sitios web populares, los consejos para evitar el Wi-Fi público están desactualizados y son aplicables a muchas menos personas que antes.
El consejo proviene de los primeros días de Internet, cuando la mayoría de las comunicaciones no estaban encriptadas. En ese momento, si alguien pudiera espiar las comunicaciones de su red, por ejemplo, al rastrear paquetes de Wi-Fi sin cifrar o al ser la NSA, podrían leer su correo electrónico. También podrían robar sus contraseñas o sus cookies de inicio de sesión y hacerse pasar por usted en sus sitios favoritos. Esto fue ampliamente aceptado como un riesgo de usar Internet. Los sitios que usaban HTTPS en todas las páginas eran seguros, pero dichos sitios eran extremadamente raros. Sin embargo, a partir de 2010 todo cambió. Eric Butler lanzó Firesheep, una demostración fácil de usar de «olfatear» HTTP inseguro para hacerse cargo de las cuentas de las personas. Los propietarios del sitio comenzaron a tomar nota y se dieron cuenta de que necesitaban implementar HTTPS (la versión encriptada más segura de HTTP) para cada página de su sitio. El momento fue bueno: a principios de ese año, Google había activado HTTPS de forma predeterminada para todos los usuarios de Gmail e informó que los costos para hacerlo eran bastante bajos . El hardware y el software habían avanzado hasta el punto en que cifrar la navegación web era fácil y barato.
Sin embargo, la implementación práctica de HTTPS en toda la web tomó mucho tiempo. Un gran obstáculo fue la dificultad para los webmasters y administradores de sitios de comprar e instalar un certificado (se requiere un pequeño archivo para configurar HTTPS). EFF ayudó a lanzar Let’s Encrypt , que hace que los certificados estén disponibles de forma gratuita, y escribimos Certbot , la forma más fácil de obtener un certificado gratuito de Let’s Encrypt e instalarlo.
Mientras tanto, muchos propietarios de sitios estaban cambiando su software y HTML para cambiar a HTTPS. Ha habido un progreso tremendo , y ahora el 92% de las cargas de páginas web de los Estados Unidos usan HTTPS . En otros países, el porcentaje es algo menor (80% en India, por ejemplo), pero HTTPS aún protege la gran mayoría de las páginas visitadas. Los sitios con inicios de sesión o datos confidenciales han estado entre los primeros en actualizarse, por lo que la gran mayoría de los sitios web comerciales, de redes sociales y otros sitios web populares ahora están protegidos con HTTPS.
Todavía hay algunas pequeñas filtraciones de información: HTTPS protege el contenido de sus comunicaciones, pero no los metadatos. Por lo tanto, cuando visita los sitios HTTPS, cualquier persona a lo largo de la ruta de comunicación, desde su ISP hasta el proveedor de red troncal de Internet y el proveedor de alojamiento del sitio, puede ver sus nombres de dominio (por ejemplo, wikipedia.org) y cuando los visita. Pero estas partes no pueden ver las páginas que visita en esos sitios (por ejemplo, wikipedia.org/controversial-topic), su nombre de usuario o los mensajes que envía. Pueden ver los tamaños de las páginas que visita y los tamaños de los archivos que descarga o carga. Cuando usa una red Wi-Fi pública, las personas dentro de su alcance pueden elegir escuchar. Podrían ver esos metadatos, tal como su ISP podría ver cuando navega en su casa. Si este es un riesgo aceptable para usted, entonces no debe preocuparse por usar Wi-Fi público.
Del mismo modo, si hay software con errores de seguridad conocidos en su computadora o teléfono, y esos errores son explotables específicamente solo en la red local, puede estar en un riesgo algo mayor. La mejor defensa es mantener siempre su software actualizado para que tenga las últimas correcciones de errores.
¿Qué pasa con el riesgo de que los gobiernos recojan señales de Wi-Fi público «abierto» que no tiene contraseña? Los gobiernos que vigilan a las personas en Internet a menudo lo hacen escuchando datos ascendentes, en los enrutadores centrales de proveedores de banda ancha y compañías de telefonía móvil. Si ese es el caso, significa que la misma información es comúnmente visible para el gobierno, ya sea que la huelan desde el aire o desde los cables.
En general, el uso de Wi-Fi público es mucho más seguro de lo que era en los primeros días de Internet. Con la adopción generalizada de HTTPS, la mayoría de los sitios web principales estarán protegidos por el mismo cifrado, independientemente de cómo se conecte a ellos.
Hay muchas cosas de las que preocuparse en la vida. Puede tachar «Wi-Fi público» de su lista.
/EFF-PUNTOporPUNTO