Algunas noticias positivas para los hackers de sombrero blanco surgieron esta semana, tras la revelación de Mozilla de que más páginas web son cargadas con Firefox usando el protocolo HTTPS seguro.

Al 30 de enero, la cifra se situaba en un 50.1%, pero ha estado en un aumento constante desde noviembre de 2015, cuando la cifra era inferior a 40%.

La adopción está siendo impulsada por iniciativas como Let's Encrypt de Mozilla y Chrome, que actúan como una autoridad de certificación automatizada para proporcionar certificados HTTPS a los sitios de forma gratuita, y HTTPS Everywhere, una extensión de Firefox, Chrome y Opera diseñada para cifrar las comunicaciones con los principales sitios web.

"Miles de millones de usuarios comenzarán a experimentar regularmente una web que está más cifrada que la que no", dijo Josh Aas, cofundador de Let's Encrypt, a Wired. "Las expectativas de seguridad seguirán aumentando y, como resultado, esperamos que los sitios migren a HTTPS aún más rápido de lo que ha sido."

HTTPS está ganando lentamente más aceptación en el mercado, por ejemplo, el año pasado el gobierno británico lo habilitó en sitios para protegerse contra ataques de hombre en medio (MitM) y otros. Además, el año pasado, Google lo habilitó para todos los dominios de BlogSpot.

No obstante también se debe tomar en cuenta que en el pasado los hackers de sombrero negro también han registrado dominios HTTPS para ayudarles a realizar ataques bajo el radar.

En un caso, utilizaron Let's Encrypt para ocultar el malware de los escáneres de seguridad y legitimar los sitios maliciosos que alojaban el kit de explotación de Angler.

Kevin Bocek, el vicepresidente en estrategia de seguridad e inteligencia de amenazas en Venafi, argumentó que los ataques usarán cada vez más el cifrado para ocultarse.

"En el punto clave de esto radica el hecho de que el cifrado está respaldado por claves criptográficas y certificados digitales, que proporcionan identidad y administran el acceso de las máquinas, al igual que la biometría y las contraseñas para los seres humanos", explicó.

"Si sus defensas cibernéticas no tienen acceso a las claves y certificados correctos, entonces no pueden analizar información dentro de túneles cifrados, haciéndolos inútiles. Sin embargo, la industria está fallando al tratar de generar conciencia. La única manera de implementar el cifrado de forma segura es mantener el control; es necesario asegurarse de que los sistemas de seguridad tengan acceso a las claves necesarias para inspeccionar el tráfico en busca de amenazas. Esto requiere automatización en la industria, la cual aún tiene que ponerse al día."