Antes de que existan malas interpretaciones, aclaremos algo: HTTPS sí proporciona una transmisión segura de datos entre tu navegador y el sitio web al que te conectas. “Segura” significa que la información viaja cifrada, es decir, convertida en un formato ilegible para terceros.
En la barra de direcciones puedes identificarlo por el prefijo “HTTPS://” y el icono del candado (o el símbolo que Google muestra actualmente al hacer clic en la barra de navegación).
Figura 1. El certificado de seguridad HTTPS o candadito, como se muestra en el navegador Google
Al desplegar los detalles de la conexión, verás el mensaje “La conexión es segura”.
Figura 2. Descripción detallada del certificado de seguridad
Este candado indica que la información que compartes —como credenciales, datos financieros o personales— viaja protegida del acceso no autorizado. Esto te resguarda de ataques conocidos como “man in the middle” u hombre en medio, donde un atacante intercepta las comunicaciones para espiar o modificar la información.
Las tres propiedades esenciales de la información
En seguridad informática, la información debe cumplir con tres principios fundamentales:
- Confidencialidad: solo las personas autorizadas pueden acceder a ella.
- Integridad: los datos permanecen completos y sin alteraciones.
- Disponibilidad: la información está accesible cuando las personas autorizadas la necesitan.
¿Cómo HTTPS protege tus datos?
HTTPS mantiene tus datos confidenciales e íntegros mediante cifrado, que consiste en ocultar un mensaje para que nadie más pueda entenderlo.
Imagina que quieres enviar el mensaje “abc”, pero aplicas una clave donde “a” equivale a 😊, “b” al número 5 y “c” a la letra x. En lugar de enviar “abc”, transmitirías “😊5x”. Solo quien conoce la clave puede descifrarlo. En internet, ese proceso ocurre entre tu navegador (el transmisor) y el servidor donde se aloja la página (el receptor).
Figura 3. Simplificación del viaje de la información cifrada del transmisor al receptor
El cifrado real se basa en complejas operaciones matemáticas, pero esta es la base de funcionamiento. Gracias a esto, HTTPS garantiza la confidencialidad y la integridad de tus datos, siendo esencial para sitios financieros o aquellos que manejan información sensible.
Sin HTTPS, terceros —como proveedores de internet— podrían insertar anuncios o código malicioso sin tu conocimiento. HTTPS previene eficazmente este tipo de alteraciones.
El problema: no todo HTTPS es igual
Entonces, ¿por qué decimos que HTTPS no garantiza seguridad total?
Para funcionar, cada sitio debe tener un certificado digital, emitido por una entidad certificadora (CA por sus siglas en inglés). Existen tres tipos principales:
- Validación por dominio (DV por sus siglas en inglés): rápida y económica; solo verifica la propiedad del dominio.
- Validación por organización (OV por sus siglas en inglés): comprueba también información básica de la empresa.
- Validación extendida (EV por sus siglas en inglés): exige una verificación legal y física exhaustiva.
Hoy en día, la mayoría de los proveedores de hosting incluyen gratuitamente un certificado DV al vender un dominio o paquete web. Esto hace que cualquier persona —incluso ciberdelincuentes— pueda crear fácilmente una página con candado HTTPS sin que exista una empresa real detrás.
Así, pueden suplantar sitios de marcas conocidas y usar el “candadito” para ganar tu confianza y cometer fraudes o robar información.
Lo que HTTPS no puede hacer por ti
HTTPS garantiza que tus datos viajen cifrados, pero no puede asegurarte que el sitio de destino sea legítimo.
Es un error creer que el candado previene todo tipo de ataques o estafas. Aunque ha sido una herramienta revolucionaria desde 1994 y sigue siendo indispensable, no es infalible.
Como toda tecnología, requiere otros controles para lograr una navegación realmente segura.
Qué puedes hacer tú como usuario
- Desconfía de las ofertas demasiado buenas para ser verdad.
Si ves una promoción de una marca conocida, verifica que la URL coincida con la página oficial.
Cuando tengas dudas, busca tú mismo el sitio en Google o consulta directamente con la marca a través de sus redes sociales oficiales. - Revisa cuidadosamente la dirección web.
Algunos caracteres pueden parecerse, como una “l” (L) minúscula y una “I” (i) mayúscula. Los atacantes aprovechan esto para crear dominios falsos que parecen auténticos. En ocasiones también usan direcciones que involucran el nombre de la marca oficial con otras palabras como: online, shop, etc. - Usa herramientas que te ayuden a verificar sitios:
- Google Safe Browsing: https://safebrowsing.google.com/ — Indica si una página es segura o sospechosa. Su diagnóstico no siempre es fiable.
- Desenmascara.me: https://desenmascara.me/ — Analiza páginas con inteligencia artificial y ofrece un diagnóstico útil, aunque no infalible.
- VirusTotal: https://www.virustotal.com/gui/home/upload — Detecta software malicioso o archivos sospechosos en sitios web.
En conclusión
El cifrado HTTPS es una maravilla tecnológica que ha reducido enormemente el robo de información en la web. Sin embargo, la seguridad total no depende solo de un candado en la barra del navegador, sino también de tu criterio y atención como usuario.
¡El conocimiento, como siempre, es tu mejor protección!
Referencias
- Ssl.com. (2024, octubre 9). ¿Qué es un SSL/TLS certificado? Recuperado de https://www.ssl.com/es/art%C3%ADculo/que-es-un-ssl-tls-certificado/
- Wikipedia contributors. (2025, octubre 16). Certificate authority. Recuperado de https://en.wikipedia.org/w/index.php?title=Certificate_authority&oldid=1317119936
- One.com. (s/f). ¿Cómo crear una página con conexión segura HTTPS? Recuperado de https://www.one.com/es/seguridad-de-su-web/conexion-segura-HTTPS
- DreamHost. (s/f). ¿Qué es un proveedor de hosting? Recuperado de https://www.dreamhost.com/glossary/es/hosting/proveedor-de-hosting/
- Toro, A. T. (2020, octubre 13). ¿Cuánto cuesta un nombre de dominio? Recuperado de https://www.dreamhost.com/blog/es/costo-nombre-dominio/
- Wikipedia contributors. (s/f). Protocolo seguro de transferencia de hipertexto. Recuperado de https://es.wikipedia.org/w/index.php?title=Protocolo_seguro_de_transferencia_de_hipertexto&oldid=170073570
- Ssl.com. (2025, mayo 4). ¿Qué es HTTPS? Recuperado de https://www.ssl.com/es/preguntas-frecuentes/que-es-HTTPS/
- Google. (s/f). Google Safe Browsing. Recuperado de https://safebrowsing.google.com/
- VirusTotal. (s/f). VirusTotal Home. Recuperado de https://www.virustotal.com/gui/home/upload
- Desenmascara.me. (s/f). Página principal. Recuperado de https://desenmascara.me/