Páginas de la NASA con certificados de sitios inseguros

Captura de pantalla de la advertencia realizada, en este caso por el navegador de la Web Firefox, sobre la inseguridad, por un problema de mala configuración de uno de los sitios web de la NASA, vinculados a una de las misiones satelitales dependientes del Goddard Space Flight Center. De allí que deban configurarse apropiadamente los certificados SSL de los sitios, para evitar problemas.

Captura de pantalla de la advertencia realizada, en este caso por el navegador de la Web Firefox, sobre la inseguridad, por un problema de mala configuración de uno de los sitios web de la NASA, vinculados a una de las misiones satelitales dependientes del Goddard Space Flight Center. De allí que deban configurarse apropiadamente los certificados SSL de los sitios, para evitar problemas.

Una inadecuada aplicación de los certificados de seguridad SSL, casi mandatorios desde que Google y Mozilla te advierten que un sitio es inseguro o, directamente ‘te impiden’ que accedas a él. Este artículo es una breve historia sobre cómo fui advertido que una página de la NASA tenía problemas de seguridad, qué herramientas me lo indicaron, y, luego decidirás, pese a todo, si ingresas a esos sitios inseguros. Al fin y al cabo cada uno decide qué nivel de seguridad prefiere.

Capítulo 1: Advertencia de un vínculo posiblemente roto

En uno de los sitios que administro, utilizando WordPress como Sistema de Gestión de Contenidos, surgió la advertencia que tras el escaneo de los vínculos externos de uno de los artículos: Contaminantes a las nubes, por incendios en Australia, tenía problemas de conexión con uno de los enlaces externos.

Captura de pantalla de la advertencia efectuada por el plugin Broken Link Checker en WordPress, sobre los problemas derivados de vincular el contenido de un artículo a un sitio que está fuera de servicio, tiene problemas de funcionamiento, o es inseguro.

Captura de pantalla de la advertencia efectuada por el plugin Broken Link Checker en WordPress, sobre los problemas derivados de vincular el contenido de un artículo a un sitio que está fuera de servicio, tiene problemas de funcionamiento, o es inseguro.

Para averiguar qué sucedía, cliqueo en el vínculo Saber más, de la advertencia arrojada por Mozilla, y la información brindada por el navegador señala que “ozoneaq.gsfc.nasa.gov utiliza un certificado de seguridad inválido. El certificado no es creíble debido a que el emisor es desconocido”. También aclaraba que “el servidor tal vez no esté enviando apropiadamente los certificados emitidos por una autoridad competente. Un certificado raíz adicional puede ser importado”. E indicaba el Error code: SEC_ERROR_UNKNOWN_ISSUER.

¿Confías?

Capítulo 2: ¿Nuestro sitio es seguro?

Que a un usuario que visita tu sitio le surja una advertencia de ese tipo, no es agradable. Y la cuestión se complica aún más si administras un sitio de ventas online, un e-commerce. Si califican de inseguro un blog en el que filosofamos sobre pizza, helados, selfies, no es bueno para nada. Menos aún si esa calificación recae en un sitio en el que los usuarios deben introducir detalles personales, e información sobre sus tarjetas de crédito. ¿Te arriesgarías a poner estos datos calientes en un sitio inseguro?

En lo personal, no. Dudé bastante cuando surgió la advertencia relacionada con un sitio de la NASA. Desde la asunción de Donald Trump como presidente de Estados Unidos las cosas se han puesto álgidas. Corta comunicaciones con presidentes, los deja con la mano tendida sin estrechárselas. Alguien podría pensar que tampoco querrían que desde un país que no es Estados Unidos podamos acceder a imágenes e información satelital obtenida con dinero de los contribuyentes estadounidenses. Más allá de paranoias conspirativas, ¿qué hará Google con un sitio de la NASA que parece inseguro? ¿También lo eliminará de los primeros lugares de su buscador porque no tienen bien aplicado el certificado SSL?

Fuera de todas especulaciones políticas, partidarias, no es buena publicidad que Google recomiende no visitar tu sitio porque es inseguro. Comercialices bienes on line, o no. Ahora, si eres de quien compra en sitios calificados como inseguros, una vez más: cada uno decide cómo se toma la propia seguridad. Si te parece bien poner datos álgidos por ahí… esto también es una forma de libre albedrío.

Aquí hallarás consejos de Google sobre Cómo administrar las advertencias sobre sitios inseguros.

Capítulo 3: Qué seguridad quieres para tu vida pública; es decir tu vida en Internet

Durante una charla imprevista en la conferencia PampaSeg 2017 sobre seguridad, hacking, software, Matías Katz, de MKIT, uno de los organizadores de AndSec, también colaborador de PampaSeg, entre otras conferencias sobre seguridad, le preguntó al público asistente sobre el asunto: ¿Tenés encriptada la información de tu teléfono celular? ¿Pusiste clave para acceder a tu teléfono celular? ¿Tenés que superar un doble chequeo? Y ahí estábamos quienes respondimos negativamente a todo. Y había otras opiniones repartidas entre las distintas opciones. Matías no lo dijo, pero sería como dejar sin llave, o una buena clave de seguridad, la entrada a tu vivienda. Sí, tu lugar en el mundo, que compartes con otros seres: tus familiares.

Matías Katz busca en la oscuridad

Matías Katz busca en la oscuridad

Vivo en un lugar en el que pueblos del interior, los contendientes dejan las pelotas de fútbol que utilizaron entrelazadas en las redes de los arcos. Ni se plantean que alguien pueda aprovecharse maliciosamente de ese gesto de desprendimiento. (Adivino sus gestos de sorpresa, de incredulidad, de tremenda envidia, queridos lectores). Katz sonrió maliciosamente al revelarnos que teníamos nuestros teléfonos celulares, móviles -ese bien que está junto a nosotros más cerca que algunos humanos- sin una protección mínima. Nada de misiles balísticos ni encriptación cuántica; sólo un PIN de 4 ó 5 números, o una contraseña decente.

Bien, sé que Katz y otros expertos en seguridad informática disfrutan de visitar La Pampa, por la relajación y la despreocupación, incluso la calidez de sus habitantes y las bondades culinarias y de brebajes disponibles. No sé qué opinarán sobre los inefables pueblitos y parajes despreocupados de la inseguridad. ¿Tendrán estos símil edenes terrestres un ángel con su espada flamígera a las puertas, como custodios cual cortafuegos celestiales?

Bien, quizá hayan hallado atisbos de respuesta a sus inquietudes sobre seguridad de la información, o seguridad informática al visitar sitios de Internet que Google Chrome, Mozilla Firefox y otros navegadores sindican como inseguros, y por ello peligrosos. Son campos distintos, pero que se entrecruzan habitualmente.

¿Epílogo?

Hasta aquí este esbozo sobre la seguridad y privacidad personales. Con un añadido más: la advertencia sobre la inseguridad de los datos personales al visitar determinados sitios en Internet, no sólo se reducen a Google, su navegador Chrome, o a Mozilla, y su navegador Firefox. También las he observado en software para Windows: cortafuegos y antivirus, antimalware integrados, como ESET Internet Security. (Aclaración: no estoy patrocinado por esta empresa, sino que utilizo ese producto en Windows 10, y comento la experiencia relacionada con él en el punto que abordamos hoy en particular).

Los que no estén interesados en algunos elementos mencionados aquí relativos a WordPress, pueden abandonar el artículo en este momento. Están invitados a avanzar, porque mi experiencia no es la de un experto -en seguridad de la información, en seguridad informática… y/o en WordPress. Soy un usuario común que se ve del otro lado del mostrador, y es algo inquieto y entusiasta en esas tres cuestiones.

Capítulo 5: el plugin Broken Link Checker

Página, en el repositorio de WordPress.org, del plugin Broken Link Checker, desarrollado por Vladimir Prelovac. Es una herramienta gratuita muy efectiva desarrollada por Prelovac, que escanea los vínculos que introduces en tus artículos. Si alguno está roto o tiene problemas de conexión, te lo informa en el panel de control de tu sitio.

Página, en el repositorio de WordPress.org, del plugin Broken Link Checker, desarrollado por Vladimir Prelovac. Es una herramienta gratuita muy efectiva desarrollada por Prelovac, que escanea los vínculos que introduces en tus artículos. Si alguno está roto o tiene problemas de conexión, te lo informa en el panel de control de tu sitio.

Esta herramienta trabaja por nosotros chequeando los cientos o miles de enlaces que tiene tu sitio, si lo administras con WordPress.
En el caso del ejemplo que mencioné antes, tenía más de 9.000 vínculos a otras páginas. Y el plugin, con la configuración adecuada, detalla los enlaces rotos y cuáles fueron desestimados por mí. Soy de los que aún hacen algunas verificaciones manualmente, aunque hay una multitud de herramientas automatizadas. (Podrán apreciar algún detalle de lo aludido en la captura de pantalla).

Detrás de Broken Link Checker está uno de los grandes desarrolladores para WordPress: Vladimir Prelovac. Al momento de escribir este artículo, este plugin superaba las 500 mil instalaciones. Esta herramienta verifica todos los vínculos que tienen tus artículos, comentarios y otro contenido de tu sitio y te lo informa para que puedas desvincular, actualizar o desechar las notificaciones, si existe algún falso positivo.

Esta herramienta, como el tema de la seguridad, permite que mejores tu sitio, si perteneces a la legión de WordPress. Sitios con menos vínculos rotos, más seguros, son mejor evaluados por los buscadores – Google et al. – para posicionar mejor los sitios, es decir tu sitio, el desvelo de tus esfuerzos.

Un dato final: algunos sitios de la NASA tienen a WordPress como gestor de contenidos, mientras que otras secciones de la agencia espacial de Estados Unidos son gestionadas con Drupal.

¿Me falta algo?

Como ocurre siempre que estoy ante la conclusión de un artículo, tengo la profunda sensación que no hay finalización posible, que el camino continúa. Que todo es tan dinámico y complejo, aunque infinitamente simple, que este artículo es una prueba más de lo incompleto, del fracaso de lo inacabado, marcado a fuego por el dinamismo. ¿Tú, lector, qué opinas?

Este artículo ha sido visto119 veces!

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *