El candado del navegador, el WiFi del aeropuerto y otros sitios donde vive la criptografía

Imagen generada con IA

Hasta ahora hemos hablado de cajas, candados y notas dobladas en clase.

En la primera parte vimos qué es cifrar con una clave compartida. En la segunda, cómo dos personas que nunca se han visto pueden enviarse un mensaje secreto usando un candado público y una llave privada.

Pero un niño que oye estas explicaciones puede preguntar lo siguiente:

Vale, ¿y dónde está esto en mi vida?

Está en sitios muy concretos. La idea de la maqueta no se queda en el cuaderno de clase. Aparece cada vez que abre el navegador, cada vez que se conecta al WiFi del aeropuerto y cada vez que alguien le dice "ponte una VPN".

Esta tercera parte conecta lo que jugamos con lo que pasa de verdad.

El candadito del navegador

Cuando abres una página web, en algún sitio cerca de la barra de direcciones suele aparecer un pequeño candado.

Si la dirección empieza por https, el navegador y la web se han hablado antes de enseñarte la página. En esa pequeña conversación previa han hecho lo siguiente:

• la web demuestra quién dice ser mediante un certificado;
• el navegador y la web acuerdan una clave temporal para esa conversación;
• a partir de ese momento, lo que viaja entre los dos va cifrado.

Para un niño podemos imaginarlo como si el navegador y la web se pusieran de acuerdo, en un instante, para usar un candado que solo ellos saben abrir durante ese viaje.

Si la dirección empieza solo por http, sin la s, no hay candado. Lo que escribes y lo que recibes circula tal cual.

Resumido en corto:

El candado significa que el mensaje está cerrado durante el viaje. Sin candado, el mensaje viaja al descubierto.

Conviene matizar dos cosas, también con sinceridad.

El candado no significa que la web sea buena. Significa que la conversación está cifrada. Una página falsa puede tener candado igual que una página verdadera. El candado protege el mensaje, no garantiza la intención.

El candado no esconde todo. Quien observa la red puede ver que estás hablando con ejemplo.com, pero no necesariamente qué página exacta visitas dentro de ese sitio ni qué escribes en un formulario. El sobre va cerrado, pero la dirección del destinatario se lee.

Esa distinción, "qué se cifra y qué no", es una de las preguntas que vale la pena trasladar a los niños.

¿Quién puede ver qué?

• La red puede ver que hablas con un dominio.
• No debería poder leer el contenido de la conversación.
• La web sí ve lo que le envías.

El WiFi del aeropuerto: un patio lleno de gente

Una red WiFi pública (un aeropuerto, una cafetería, un hotel) se parece bastante al patio del recreo en el que circulaba la nota original.

Cualquiera puede estar ahí. Cualquiera puede oír lo que ocurre en el aire. Y nadie te ha enseñado un carnet antes de dejarte conectar.

Eso suena alarmante, pero la situación cambia mucho según qué haces.

Si entras a una web con candado (https), aunque alguien esté escuchando el WiFi, no entiende lo que escribes ni lo que ves. Lo que viaja por el aire ya va cifrado entre tu dispositivo y la web. Esto cubre buena parte de la navegación moderna.

Si entras a una web sin candado, lo que escribes podría ser leído por alguien que esté escuchando. Hoy esto es menos común, pero todavía pasa.

Hay otros riesgos más sutiles que conviene nombrar sin dramatizar:

• Redes con nombres parecidos. Alguien crea una red llamada "Aeropuerto_WiFi_Gratis" casi igual que la oficial. Si te conectas a la falsa, todo tu tráfico empieza pasando por su equipo. El cifrado de las webs sigue funcionando, pero esa red puede intentar engañarte de otras maneras (páginas de inicio falsas, ventanas que piden datos).
• Pantallas de inicio raras. Algunas redes de cafetería o de hotel piden aceptar condiciones o introducir un correo. Cualquier pantalla que pida una contraseña importante (tu correo personal, tu banco) en una red pública debería hacer saltar las alarmas.
• Enlaces que llegan justo después de conectar. Mensajes, banners, "actualiza tu app". Es buen momento para no instalar nada.

La idea para un niño no es "el WiFi público es peligroso".

Es:

En una red pública estás en un patio con desconocidos. Las conversaciones cerradas siguen estando cerradas. Pero conviene mirar dos veces antes de enseñar nada importante.

¿Quién puede ver qué?

• La red puede ver que estás conectado.
• Puede ver con qué dominios hablas y otros metadatos.
• Si usas HTTPS, no debería leer el contenido de tus formularios.

La VPN: un túnel dentro del patio

Una VPN se suele explicar muy mal. La promesa publicitaria dice cosas como "hazte invisible" o "navega seguro en cualquier red". La realidad es más interesante y más limitada.

Imagina que estás en el patio y quieres mandar varias cartas. No quieres solo cifrar el contenido (eso ya lo hace https). También quieres que nadie del patio vea con quién hablas: ni a qué amigos escribes, ni cuántas cartas envías, ni a qué hora.

Una VPN es como meter todas tus cartas dentro de una caja grande, cerrada con tu llave y la de un amigo lejano de confianza. Tú lanzas esa caja al patio. Nadie del patio sabe ni cuántas cartas hay dentro ni a quién van. La caja llega al amigo lejano, él la abre y reparte las cartas a sus destinatarios.

Para alguien que esté escuchando el patio (la cafetería, el aeropuerto), tu actividad parece "está hablando con su amigo lejano". Punto.

Una VPN no elimina la confianza. La mueve.

Lo que una VPN sí cambia

• Esconde de la red local con qué webs estás hablando.
• Evita que la red local te muestre publicidad, redirecciones extrañas o ventanas que pidan datos.
• Protege el tramo entre tu dispositivo y el proveedor de VPN dentro del túnel cifrado, incluso aunque después visites una web sin candado.

Lo que una VPN no arregla

• Una VPN no te hace invisible. Cambias en quién confías. La red pública deja de ver tu actividad, pero el proveedor de la VPN sí la ve. Elegir un proveedor de VPN es elegir confianza, no anonimato mágico.
• El tramo desde la VPN hasta la web sigue las reglas normales. Si visitas una web sin HTTPS, esa segunda parte del viaje, desde la VPN hasta la web, puede ir sin cifrar igual que iría sin VPN. La VPN no convierte http en https.
• Una VPN no protege contra una contraseña débil, ni contra un enlace falso, ni contra una app que pide demasiados permisos.
• Una VPN no convierte una web mala en una web buena. Si entras a un sitio que intenta engañarte, sigue intentándolo dentro del túnel.

La pregunta honesta para un niño o para un adolescente es esta:

Una VPN traslada la confianza de un sitio a otro. ¿En quién confías más, en la red de la cafetería o en la empresa de la VPN? Y, sobre todo, ¿por qué confías en una y no en la otra?

Esa pregunta es más útil que cualquier truco técnico.

¿Quién puede ver qué?

• La red pública ve que hablas con la VPN, no con quién está al final.
• La VPN puede ver más que la red pública: con qué webs hablas y, si no hay HTTPS, qué les envías.
• Las webs ven la conexión llegar desde la VPN, no desde tu dispositivo directamente.

Qué conviene enseñar antes de hablar de tecnología

Antes de explicarle a un niño qué es HTTPS o una VPN, hay un paso anterior que vale más que todos los tecnicismos.

Mirar.

Mirar la barra del navegador antes de escribir una contraseña. Mirar el nombre de la red WiFi antes de conectarse. Mirar el remitente de un correo antes de pulsar un enlace. Mirar qué permisos pide una app antes de instalarla.

Muchos problemas cotidianos empiezan por no mirar.

Después viene preguntar:

• ¿Esta web me suena?
• ¿La he buscado yo o me ha aparecido?
• ¿Esta red WiFi pertenece al sitio donde estoy?
• ¿Por qué esta página me pide la contraseña otra vez?
• ¿Qué pasaría si esto que voy a escribir lo viera otra persona?

Y después viene decidir:

• aquí escribo solo cosas que no me importa que se vean;
• aquí no entro al banco;
• aquí no instalo nada nuevo;
• aquí espero a estar en otra red.

Estas tres palabras (mirar, preguntar, decidir) son útiles desde muy pronto. Mucho antes de entender qué es una clave pública.

Actividad 1: una excursión por el candado

En casa o en clase, abrid varias páginas:

• el buscador habitual;
• una página de noticias;
• la página del colegio;
• una tienda;
• una página antigua sin actualizar (a veces todavía aparecen).

Para cada una, mirad juntos:

• ¿La dirección empieza por https?
• ¿Aparece el candado?
• ¿Qué pasa si la dirección es solo http?
• ¿El navegador avisa de algo?

Preguntas:

• ¿En cuál escribirías una contraseña?
• ¿En cuál no?
• ¿Es lo mismo "tener candado" que "ser una buena web"?

Esta actividad introduce un gesto que después se queda para siempre: mirar antes de escribir.

Actividad 2: el patio del recreo

Volved al juego de la nota secreta de la primera parte, pero con un cambio.

Esta vez, todos los compañeros están en el patio, hablando, moviéndose, mirando. Cualquiera puede leer la nota si pasa cerca.

Preguntas:

• ¿Qué pasa si la nota va cifrada (en un sobre cerrado con un candado de Ana)?
• ¿Qué pasa si la nota no va cifrada?
• ¿Quién puede ver que hay un sobre, aunque no pueda abrirlo?
• ¿Quién puede saber quién lo envía?

Después contad la analogía: el aeropuerto es ese patio. https es el sobre cerrado. Los demás detalles (a quién va, de quién viene) no siempre se esconden.

Esta actividad ayuda a entender por qué una red pública no es "buena" ni "mala": depende de qué viaja por dentro.

Actividad 3: el juego del túnel

Para introducir la idea de VPN, jugad con cajas dentro de cajas.

Personajes:

• Tú estás en el patio.
• Quieres mandar mensajes a varios amigos.
• En el patio hay un curioso que mira todo.
• Tu amigo Lucas, que está fuera del patio, va a ayudarte.

Reglas:

• Escribes tus mensajes y los metes en una caja grande.
• Cierras la caja grande con un candado que solo Lucas puede abrir.
• Lanzas la caja al patio.
• El curioso ve una caja grande dirigida a Lucas. Nada más.
• Lucas la abre, saca los mensajes y los entrega.

Preguntas:

• ¿Qué ve el curioso del patio?
• ¿Qué ve Lucas?
• ¿En quién estás confiando más, en el patio o en Lucas?
• ¿Qué pasaría si Lucas no fuera de fiar?

Esta es la idea de VPN: trasladar la confianza, no eliminarla.

Lo que conviene evitar

Hay dos tentaciones cuando se habla de seguridad con niños.

La primera es el miedo. "No te conectes nunca al WiFi público", "todos los hackers están esperándote", "mejor no entres a internet en un avión". Genera dependencia del adulto y no enseña a pensar. La gente seguirá conectándose. Lo importante es que sepan mirar.

La segunda es el truco mágico. "Si tienes VPN ya estás seguro", "si tiene candado puedes confiar". Genera una falsa sensación de protección, que es justo lo contrario de lo que queremos.

Mejor vivir en el medio:

La criptografía protege buena parte de tu vida digital, pero no toda. Y no decide por ti qué hacer ni en quién confiar. Eso sigue siendo tuyo.

Esa frase, dicha despacio, vale más que muchos tutoriales.

Tabla rápida para familias y docentes

Esta tabla puede pegarse en una pared. La criptografía no se memoriza, se mira.

La idea importante

Una nota doblada en clase, un candado verde en el navegador, un aeropuerto lleno de pasajeros mirando el móvil, un túnel cerrado por una empresa de VPN. Son escenas distintas, pero comparten la misma estructura.

Hay un mensaje. Hay un remitente. Hay un receptor. Hay alguien que podría escuchar. Hay reglas que protegen. Hay decisiones de confianza.

Cuando un niño aprende a separar esas cinco piezas en un juego con sobres, las puede separar también en una pantalla. Mira el candado. Lee el nombre de la red. Pregunta por qué le piden la contraseña. Decide si confía en una app por lo que hace, no por cómo se llama.

No le hace falta saber matemáticas avanzadas para vivir en internet con cabeza. Le hace falta una buena maqueta y la costumbre de hacerse las preguntas correctas.

Y esas preguntas, cuando se aprenden de pequeño, no se olvidan.