HTTPS y las tiendas en línea en el Ecuador

En los últimos años un tema importante durante los eCommerce Days en el Ecuador fue el miedo al comercio electrónico y cómo crear confianza en una tienda en línea. En tres semanas se celebra el eCommerce Day 2016 y estoy seguro que este tema todavía es muy actual. Un forma de cómo crear confianza en una tienda en línea es el uso de HTTPS.

Certificado SSL para segurar un sitio web.
Certificado SSL de Fybeca.

En este artículo quiero revisar el uso de HTTPS en el comercio electrónico en el Ecuador. Cuántas tiendas utilizan HTTPS para todas sus páginas? Cuántas utilizan HTTPS solo para ingresar a la cuenta de cliente y/ o en el proceso de checkout? Y cuántas tiendas solo utilizan HTTP?

Que es el HTTPS?

HTTPS significa Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto). Sirve para la transferencia segura de datos de hipertexto (HTTP). HTTPS utiliza HTTP más una conexión cifrada por SSL (Capa de Conexión Segura cifrada – Secure Sockets Layer) o TSL (Seguridad de la Capa de Transporte – Transport Layer Security).

HTTP es un protocolo de comunicación. Se lo utiliza para la transferencia de datos/información en la web.

Más información: https://es.wikipedia.org/wiki/ Hypertext_Transfer_Protocol_ Secure

Primero algunos pensamientos generales sobre el tema HTTPS en general:

La importancia de HTTPS en el comercio electrónico

Para las tiendas virtuales el uso de una conexión segura través de HTTPS puede ser importante:

  • El uso de HTTPS puede crear confianza en un comercio electrónico. HTTPS da a los usuarios la confianza de que sus datos personales y los datos de su tarjeta de crédito son seguros: otras personas no los pueden ver ni robar. Más confianza en una tienda puede significar más ventas. Por eso muchos sitios de comercio electrónico muestran certificados de seguridad en sus páginas.
  • A Google le gusta el HTTPS. HTTPS es un factor que influye en el ranking. Desde el 6 de agosto 2014 el buscador da una pequeña ventaja en el posicionamiento web a los sitios un utilizan el HTTPS. Para esto todo el contenido debe utilizar el HTTPS.

Qué requisitos se necesitan

  • Para el uso de HTTPS se necesita un servidor/hosting que lo soporta (hoy en día casi todos).
  • Se requiere un certificado SSL/TLS.
  • Recomendado es que el servidor soporte también HTTP Strict Transport Security (HSTS – Seguridad de transporte HTTP estricta). Con el HSTS el servidor siempre muestra las páginas con HTTPS (si existe la versión HTTPS) también cuando un usuario las abre con http (porque no sabe que lo correcto es https).

La mayoría de los proveedores de alojamiento soportan HTTPS y venden certificados SSL.

Opciones de utilizar HTTPS en un sitio web

Hay tres opciones de implementar HTTPS en una tienda en línea:

  • En todo el sitio, entonces en todas las páginas, no importar si son páginas donde tienes que ingresar datos personales (como en el checkout) o páginas que solo contienen información (por ejemplo los productos). La ventaja es que cuando todo el sitio utiliza una conexión segura puedes conseguir la ventaja en el ranking para todas las páginas.
  • Solo en el proceso de checkout (y al ingreso a la cuenta personal del cliente) en el sitio. En este caso no tienes la ventaja en el ranking para las páginas de los productos.
  • Solo en los últimos pasos de checkout. Por ejemplo tiendas en línea que ofrecen pagos a través de Paypal o Alignet. Para pagar a través de Paypal o Alignet se debe ir al sitio de estas empresas (lo que funciona automáticamente si el proceso de checkout está correctamente configurado) y realizar el pago por acá.
    Entonce en estos casos las tiendas en línea normalmente no utilizan HTTPS. Solo el pago -realizado en otro sitio- es seguro.

Que debes tener en cuenta si cambias tu sitio de HTTP a HTTPS?

  • Añadir tu nuevo sitio de HTTPS a Search Consoló.
  • Utilizar redirecciones 301 desde el sitio con HTTP al sitio con HTTPS.
  • Cambiar el rel=canonical de HTTP a HTTPS.
  • Si es posible cambiar los enlaces internos. No es tan importante si utilizas el rel=canonical correctamente y implementaste las redirecciones.
  • Para que todo el sitio funcione correctamente con HTTPS debes revisar si elementos externos que muestras en tus páginas (widget de redes sociales, imágenes de otros sitios, vídeos) también utilizan HTTPS.
  • Subir un nuevo mapa de sitio a Search Consol que contiene todas las páginas con el url de HTTP y HTTPS. Esto ayuda a Google a entender que cambiaste tu sitio a HTTPS. Cuando las nuevas páginas están todas correctamente indexadas puedes borrar las páginas con HTTP del mapa de sitio.
  • Cambiar los enlaces externos a tu sitio a HTTPS (si posible).

Cómo mostrar al cliente que utilizas HTTPS

Selloe de seguridad en Comandato.
Selloe de seguridad para crear confianza, ejemplo Comandato.

Tener un certificado SSL y utiliza HTTPS es importante. Sin embargo, muchos clientes no se dan cuenta de que tu sitio está seguro. Entonces deberías mostrarlo a los clientes.

Claro, a través de los url se puede ver si un sitio utiliza el protocolo seguro. Los navegadores muestran protocolos de seguridad a lado del url. Pero dudo que todos los internautas vean esto.

Adicionalmente puedes mostrar sellos de seguridad en las páginas web. Muchos sitios lo hacen en el footer. Pero personalmente creo que acá la mayoría de los internautas no lo va a ver. Mejor sería mostrar estos sellos en un lugar más visible.

Otro lugar para mostrar sellos de seguridad es dentro del proceso de checkout.

Tiendas en línea en el Ecuador y el uso de HTTPS

Revisé en total 73 tiendas virtuales para ver si utilizan HTTPS (ver aquí la lista de tiendas online en el país).

General

Comercio electrónico en el Ecuador: uso de HTTPS

De las 73 tiendas 41 (56,2 por ciento) no utilizan HTTPS, tampoco en el proceso de checkout. 17 (23,3 por ciento) utilizan HTTPS en el proceso de checkout y 15 (20,5%) el protocolo seguro para todo el sitio.

Artículos electrónicos

Tiendas en línea que venden artículos electrónicos: uso de HTTPS

De las tiendas que venden artículos electrónicos 17 (81 por ciento) no utilizan HTTPS. Solo 4 tiendas utilizan el protocolo seguro (19 por ciento). Pero de estos 4 comercios electrónicos dos se encuentran con certificados caducados.

Moda

Tiendas en línea que venden moda: uso de HTTPS

De las 10 tiendas en mi lista de la categoría “mode” hay una tienda que utiliza el HTTPS para todo el sitio (10%) y una que los utiliza para el proceso de checkout (10%). 8 comercios electrónicos no utilizan el protocolo seguro (80 por ciento).

Viajes y Turismo

Sitios de viajes: uso del protocolo seguro para segura los sitios web.

En esta categoría tengo 5 tiendas online. 2 utilizan HTTPS para todo su sitio (40 por ciento), 2 para el proceso de checkout (40 por ciento) y una no ofrece una conexión segura (20 Por ciento).

¿Quién utiliza HTTPS y quién ni lo utiliza?

Tiendas que no utilizan HTTPS

La mayoría de las tiendas en línea en el Ecuador todavía no utiliza el HTTPS. Me imagino es especialmente porque estas tiendas en general no ofrecen pagos a través de tarjetas de crédito sino solo a través transferencias bancarias o depósitos (más información sobre las formas de pago).

En este caso no de dejan datos muy sensibles en el sitio de comercio electrónico. Sin embargo, significa que los datos como nombre, apellido, dirección o número de cédula no están seguros.

Tiendas que utilizan HTTPS solo en los últimos pasos de checkout (pago)

Algunos sitio de comercio electrónico ofrecen pagos a través de Paypal. Estos pagos se realiza directamente en el sitio de Paypal. Paypal utiliza HTTPS.

También existen tiendas como Miguagua que ofrecen pagos con tarjeta de crédito a través del sistema de Alignet. El ingreso de los datos de su tarjeta de crédito y el pago se realiza directamente en el sitio de Alignet que utiliza HTTPS.

HTTPS solo en el checkout (completo)

Empresas que utilizan el protocolo seguro solo para el proceso de check out son por ejemplo las tiendas que utilizan como plataforma VTEX: Comandato y Perros & Gatos. Sin embargo, no entiendo porque esta plataforma grande de comercio electrónico ya no utiliza HTTPS para los sitios completos.

Protocolo de seguridad para todo el sitio

El uso de una conexión segura es especialmente alto en el caso de empresas de la categoría turismo y viajes. Aquí los clientes -y especialmente los clientes extranjeros- están acostumbrados a pagar con tarjeta de crédito.

Entre los comercios electrónicos que utilizan HTTPS para todas las páginas /elementos de su sitio hay tiendas grandes como Tame, Fybeca, Marathon Sports o Yaesta pero también tiendas pequeñas como Neverlandmoda o Mantallanta.

Protocolos de seguridad no válidos o mal configurados.

Hay tiendas en línea que utilizan el protocolo seguro pero no tienen ningún certificado SSL válido. En el navegador sale un mensaje como este:

Comercio electrónico: uso de HTTPS sin tener un certificado SSL.
Tienda en línea sin certificado SSL válido.

Esto es muy mal para los usuario y no creo que alguien va a hacer compras en estos sitios.

Resumen

El uso de HTTPS puede aumentar la confianza de los usuarios en tu tienda virtual que convertirlos en clientes. HTTPS también sirve para evitar posibles problemas legales si algún cliente reclama que sus datos que ingresó a la tienda fueron a robados. Además, utilizar el protocolo seguro de HTTP sirve como factor de ranking en Google.

El protocolo seguro ofrece varias ventajas para las empresas. Sin embargo, en el Ecuador la mayoría de los comercios electrónicos todavía no lo utilizan. De las tiendas que lo utilizan la mayoría solo segura el proceso de checkout o de pago.

Razones por no utilizar el protocolos seguros:

  1. Solo ofrecen como forma de pago transferencias bancarias o depósitos.
  2. Ofrecen pagos a través de Paypal o Alignet. Para realizar el pago se va a la páginas seguras de estos servicios.
  3. También puede ser que no todos los comercios electrónicos no tienen suficiente conocimiento o/y dinero para cambiar su sitio de HTTP a HTTPS.

En los dos primeros casos parece que no se da mayor importancia a datos personales como nombre, apellido y número de cédula que también pueden ser datos sensibles.