España mejora en HTTPS, pero la Validación Extendida es la asignatura pendiente
Analizamos el estado actual de la seguridad SSL de los sites más visitados en España y en los sectores más relevantes
Internet se ha convertido en una herramienta imprescindible en el día a día y la seguridad en su aliado indispensable. Tras el aviso de google el pasado año de mostrar como no seguros los sitios web que no contaran con un certificado SSL, https se convirtió en un protocolo obligatorio. Pero desde este aviso, ¿la situación ha cambiado o la seguridad sigue siendo un tema pendiente?
Situación actual
Por segundo año consecutivo analizamos la situación actual de seguridad web en España (estudio de 2017). Este estudio trata de analizar la evolución de la seguridad de los sitios web con mayor tráfico de España, además de analizar los sectores de mayor influencia online, el sector de los medios de comunicación tras el suspenso fulminante en el estudio de 2017, también analizamos los sites de ecommerce que generan más facturación en España y por último, el sector de bancario y de apuestas online, un sector muy sensible y que no puede permitirse quedar a la cola en las tendencias online.
En el estudio de 2017, casi el 50% de los sites más visitados eran inseguros. Ahora en 2018, la cifra mejora hasta un 76% (no EV + EV):
El estudio comienza por analizar el estado de HTTPS en los 50 sitios web más visitados en España (la mayoría son los mismos que el año anterior y entran 4 nuevos sites), los cuales se estima que generan aproximadamente el 25% del tráfico en el país. La siguiente tabla muestra el estado del HTTPS de los sites analizados:
| # | Site | HTTPS activo | HTTPS sin errores | EV | |||
|---|---|---|---|---|---|---|---|
| 2017 | 2018 | 2017 | 2018 | ||||
 |
1 | Google.es | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
2 | Youtube.com | ✔ | ✔ | ✔ | ✔ | ✘ |
|
3 | Google.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
4 | Facebook.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
5 | Live.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
6 | Amazon.es | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
7 | Yahoo.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
8 | Twitter.com | ✔ | ✔ | ✔ | ✔ | ✔ |
 |
9 | Instagram.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
10 | Wikipedia.org | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
11 | Marca.com | ✘ | ✘ | ✘ | ✘ | ✘ |
 |
12 | Elpais.com  (mejora) |
✘ | ✔ | ✘ | ✔ | ✘ |
 |
13 | milanuncios.com (mejora) |
✘ | ✔ | ✘ | ✔ | ✘ |
 |
14 | elmundo.es |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
15 | aliexpress.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
16 | xvideos.com (mejora) | ✘ | ✔ | ✘ | ✔ | ✘ |
 |
17 | as.com |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
18 | msn.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
19 | ebay.es | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
20 | whatsapp.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
21 | linkedin.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
22 | idealista.com |
✔ | ✔ | ✔ | ✔ | ✘ |
 |
23 | wordpress.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
24 | elconfidencial.com (mejora) |
✘ | ✔ | ✘ | ✔ | ✘ |
 |
25 | pornhub.com (mejora) | ✘ | ✔ | ✘ | ✔ | ✘ |
 |
26 | pordede.com |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
27 | bet365.es | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
28 | pinterest.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
29 | lavanguardia.com |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
30 | abc.es |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
31 | booking.com | ✔ | ✔ | ✔ | ✔ | ✔ |
 |
32 | tumblr.com | ✔ | ✔ | ✔ | ✔ | ✘ |
 |
33 | mediamarkt.es |
✔ | ✔ | ✔ | ✔ | ✘ |
 |
34 | forocoches.com |
✔ | ✔ | ✔ | ✔ | ✘ |
 |
35 | wordreference.com | ✘ | ✘ | ✘ | ✘ | ✘ |
|
36 | divxtotal2.net |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
37 | 20minutos.es |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
38 | telecinco.es |
✘ | ✘ | ✘ | ✘ | ✘ |
 |
39 | dropbox.com | ✔ | ✔ | ✔ | ✔ | ✔ |
 |
40 | infojobs.net (mejora) |
✔ | ✔ | ✘ | ✔ | ✘ |
 |
41 | eltiempo.es |
✔ | ✔ | ✔ | ✔ | ✘ |
 |
42 | tripadvisor.es | ✔ | ✔ | ✔ | ✔ | ✔ |
 |
43 | elcorteingles.es (empeora) |
✔ | ✔ | ✔ | ✘ | ✘ |
 |
44 | netflix.com | ✔ | ✔ | ✔ | ✔ | ✘ |
|
45 | xnxx.com | ✘ | ✘ | ✘ | ✘ | ✘ |
 |
46 | paypal.com | ✔ | ✔ | ✔ | ✔ | ✔ |
 |
47 | okdiario.com | - | ✔ | - | ✔ | ✘ |
 |
48 | hola.com | - | ✔ | - | ✔ | ✘ |
 |
49 | caixabank.es | - | ✔ | - | ✔ | ✘ |
 |
50 | reddit.com | - | ✔ | - | ✔ | ✘ |
50 de las webs más visitadas en España, último trimestre de 2017
En el top 10 siguen estando empresas punteras en el sector digital y tecnológico, éstas ya contaban con el protocolo https en sus sites. Algunas como elpais.com, milanuncios.com o xvideos.com han incorporado este protocolo y ya ofrecen una comunicación segura en su site.
Seguridad web y medios de comunicación no parecen buenos aliados
Tras el primer informe de Redalia sobre la seguridad web, algunos medios de comunicación como El País tomaron medidas y, como se puede ver en la tabla, desde entonces utilizan el protcolo https. La publicación del estudio fue un punto de inflexión para este medio que, haciendo referencia al informe elaborado por Redalia, comunicaron la incorporación del protocolo https a su web
| HTTPS activo | HTTPS sin errores | EV | |
|---|---|---|---|
| Marca.com | ✔ | ✔ | ✘ |
| Elpais.com | ✘ | ✘ | ✘ |
| Elmundo.com | ✘ | ✘ | ✘ |
| As.com | ✘ | ✘ | ✘ |
| Elconfidencial.com | ✔ | ✔ | ✘ |
| Lavanguardia.com | ✘ | ✘ | ✘ |
| Abc.com | ✘ | ✘ | ✘ |
| 20minutos.com | ✔ | ✔ | ✘ |
| Telecinco.es | ✘ | ✘ | ✘ |
| Rtve.es | ✘ | ✘ | ✘ |
| Okdiario.com | ✔ | ✔ | ✘ |
Son muy pocos los medios de comunicación que protegen a sus usuarios con una navegación segura. De los medios de prensa digital con más influencia en España y que generan gran parte del tráfico diario como Marca, El Mundo, ABC o incluso Radio Televisión Española, no incluyen un certificado de seguridad que proporcione un protocolo seguro para acceder a la web. Esto significa que la comunicación entre el usuario y la web no es segura y puede ser interceptada y modificada por terceros. Los únicos que han incorporado un certificado SSL desde el último informe realizado han sido El País, 20minutos.es, okdiario y elconfidencial.com
El 66% de las tiendas online que más venden en España no cuentan con la "barra verde"
Según datos de E-commerce Europe, España se sitúa en la 4ª posición en el ranking de ventas online dentro de la Unión Europea. Por detrás de Reino Unido, Alemania y Francia. El perfil del usuario online español es de personas entre 25 y 49 años que viven en ciudades de tamaño medio o grandes. Los sectores más demandados son moda (48%), tecnología (36%), material deportivo, productos de alimentación y cosméticos o belleza (16%). Analizamos los 15 ecommerce que más venden en España
| HTTPS activo | HTTPS sin errores | EV | |
|---|---|---|---|
| Amazon.es | ✔ | ✔ | ✘ |
| Aliexpress.com | ✔ | ✔ | ✘ |
| Mediamarkt.es | ✔ | ✔ | ✘ |
| Elcorteingles.es | ✔ | ✘ | ✘ |
| Zara.com | ✔ | ✔ | ✘ |
| Pccomponentes.com | ✔ | ✔ | ✘ |
| Vente-privee.com | ✔ | ✔ | ✘ |
| Apple.com | ✔ | ✔ | ✔ |
| Carrefour.es | ✔ | ✔ | ✔ |
| Zalando.com | ✔ | ✔ | ✔ |
| Mercadona.es | ✔ | ✔ | ✘ |
| Decathlon.es | ✔ | ✔ | ✔ |
| Privalia.com | ✔ | ✔ | ✔ |
| Asos.com | ✘ | ✘ | ✘ |
| Ebay.es | ✔ | ✔ | ✘ |
Estas webs, de forma general cumplen con el estándar de seguridad HTTPS, aunque pueden incorporar algunas mejoras, páginas como Amazon, Media Markt o Zara no inlcuyen la Validación EV (barra verde). Esta validación asegura que la entidad de certificación correspondiente ha comprobado que la empresa es operativa y real, además de haber contactado con la empresa para certificar que todo es correcto y legal. También hemos podido comprobar que El Corte Inglés no tiene activado el protocolo por defecto en sus portales y Asos no cuenta con seguridad HTTPS.
Apuestas y bancos
Cuando el dinero entra en juego, la seguridad es clave. Este sector está al día en lo que respecta al mundo digital, en las páginas de apuestas online, la seguridad se ha convertido en un factor vital. El 85% de los sites analizados cumplen los requisitos de seguridad, aunque son muy pocos los que cuentan con un certificado EV o certificado de Validación Extendida. La seguridad que transmiten este tipo de certificados son de mayor reputación frente a la Validación de Dominio o Validación Estándar, que muestran simplemente un candado.
| HTTPS activo | HTTPS sin errores | EV | |
|---|---|---|---|
| Bancosantander.es | ✔ | ✔ | ✘ |
| Caixabank.es | ✔ | ✔ | ✘ |
| Bbva.es | ✔ | ✔ | ✘ |
| Ing.es | ✔ | ✔ | ✔ |
| Bwin.es | ✔ | ✔ | ✘ |
| Codere.es | ✔ | ✔ | ✘ |
| Williamhill.es | ✘ | ✘ | ✘ |
| Bet365.es | ✔ | ✔ | ✘ |
| Labruixador.es | ✘ | ✘ | ✘ |
| Hispaloto.es | ✔ | ✔ | ✔ |
| Lotopia.com | ✔ | ✔ | ✘ |
| Loteriasyapuestas.es | ✔ | ✔ | ✘ |
| Loteriamanolita.com | ✔ | ✔ | ✘ |
En el caso de bancos y apuestas, nos preocupa que William Hill y La Bruixa D'or no tengan HTTPS por defecto. En el lado opuesto, vemos que sí lo hacen bien y destacan tanto ING como Hispaloto al tener un EV.
¿Qué aporta el EV y por qué insistimos tanto?
Imaginemos una web falsa montada para engañar a los clientes de un negocio (phising), que consigue un nombre de dominio similar y que incluso consigue obtener un certificado SSL de validación de dominio, lo cual puede ser factible ya que en los certificados SSL con validación de dominio las entidades certificadoras a priori sólo validan que el propietario del dominio es quien realmente está solicitando ese certificado SSL. Sin embargo, esto con un certificado EV no ocurre ya que se comprueba de forma manual y humana que la empresa que está detrás del dominio es quien solicita el certificado SSL
Por ello es recomendable que todos los sites que realicen comercio electrónico utilicen un certificado EV que demuestre su autenticidad. Si un usuario no ve esa barra verde, desconfiaría
Los certificados de Validación Extendida (EV) hacen que la seguridad de una web sea visible de forma rápida, transmitiendo seguridad a los usuarios. Estos certificados mejoran las tasas de conversión, se crearon específicamente para aumentar la confianza de los clientes en el comercio electrónico. Este tipo de certificados tienen un proceso de verificación riguroso y son facilmente identificables en los navegadores con la barra de direcciones verde, característica exclusiva de EV. Son por excelencia los certificados que mayor seguridad transmiten.
Los certificados EV incorporan algunas de las normas más altas de seguridad de identidad, verifica que la empresa está legalmente constituida y la propiedad del dominio por parte de la misma.
Conclusiones
El top 10 está al día en lo que respecta a seguridad web, pero sigue siendo un tema pendiente. Son muy pocos los sitios web que han migrado a HTTPS desde el aviso de Google, y los que utilizan este protocolo lo hacen con un certificado de dominio, la solución más sencilla para securizar la información, pero no la que más garantías y seguridad transmiten al usuario.
Sólo el 34% de los ecommerce que más facturan en España pueden presumir de "barra verde", estos sites apuestan por una seguridad visible, factor esencial para transmitar confianza a los usuarios y que puede influir de manera positiva a la hora de realizar una compra.
Suspenso fulminante en Validación Extendida para el sector bancario y de apuestas online. Sólo dos sites de los 13 analizados han optado por certificados EV que utilizan el mayor nivel de autenticación.
En general, podemos concluir el estudio diciendo que el 66% de las páginas analizadas cuentan con un certificado de seguridad estándar, que proporciona una conexión segura entre el usuario y la web, pero son muy pocas las que han optado por el una seguridad superior, sólo el 8% de las webs más visitadas en España.
Más información:
- Estado de SSL en España en el año 2017
- Qué es un certificado SSL
- El protocolo SSL
- Obtener un certificado SSL
- Chrome 56 Beta: “Not Secure”
- API Deprecations and Removals in Chrome 56
Esta página fue modificada por última vez el 30 ene 2017 a las 10:53
Grandes descuentos