Según Google, la transición al protocolo web HTTPS, más seguro, se ha estancado. A partir de 2020, entre el 95 y el 99 por ciento de las navegaciones en Chrome utilizan HTTPS. Para ayudar a que sea más seguro para los usuarios hacer clic en enlaces, Chrome habilitará una configuración llamada Usar siempre conexiones seguras para sitios públicos para todos los usuarios de forma predeterminada. Esto sucederá en octubre de 2026 con el lanzamiento de Chrome 154.
El cambio se producirá antes para aquellos que hayan activado las protecciones de Navegación segura mejorada en Chrome. Google habilitará Usar siempre conexiones seguras de forma predeterminada en abril cuando caiga Chrome 147. Cuando esta configuración está activada, Chrome le pedirá permiso antes de acceder por primera vez a un sitio web público que no utilice HTTPS.
Google lleva algún tiempo avanzando en esta dirección. Chrome comenzó a alertar a los usuarios sobre sitios web HTTP no seguros en 2018 y comenzó a utilizar HTTPS de forma predeterminada en abril de 2021. Al año siguiente, comenzó a ofrecer Usar siempre conexiones seguras de forma voluntaria.
Cuando no se utiliza HTTPS, un atacante puede redirigir la conexión con relativa facilidad y atacar a un usuario con malware, ataques de ingeniería social u otros exploits. “Ataques como este no son hipotéticos: el software para secuestrar la navegación está disponible y los atacantes han utilizado previamente HTTP inseguro para comprometer los dispositivos de los usuarios en un ataque dirigido”, escribió el equipo de Chrome en una publicación de blog. “Dado que los atacantes solo necesitan una única navegación insegura, no necesitan preocuparse de que muchos sitios hayan adoptado HTTPS; cualquier navegación HTTP puede ofrecer un punto de apoyo. Lo que es peor, muchas conexiones HTTP de texto sin formato hoy en día son completamente invisibles para los usuarios, ya que los sitios HTTP pueden redirigir inmediatamente a sitios HTTPS”. Utilice siempre conexiones seguras es uno de los intentos del equipo de Chrome para mitigar dichos riesgos.
Las conexiones HTTP aún persisten en las navegaciones a sitios privados, como direcciones IP locales e intranets de empresas. Es complicado para un sitio privado obtener un certificado HTTPS (algo que Engadget ha tenido desde 2016, fanáticos de los hechos), porque el mismo nombre privado puede apuntar a diferentes hosts en múltiples redes. Por ejemplo, muchos fabricantes de enrutadores utilizan “192.168.0.1” como dirección IP local para acceder al panel de administración del hardware. Aún así, las navegaciones HTTP a sitios privados son inherentemente menos riesgosas que en la web pública. No son completamente seguros, pero el único vector de ataque para HTTP en sitios privados es desde la red local.
