Cifrado y comunicación segura

HTTPS

Lectura de aproximadamente 4 minutos

Última actualización: 2026-03-12

Qué es HTTPS

HTTPS (HyperText Transfer Protocol Secure) es un protocolo que cifra la comunicación entre el navegador web y el servidor. Es HTTP con una capa de cifrado TLS/SSL añadida, que previene la interceptación, manipulación y suplantación del contenido de la comunicación.

El icono de candado que aparece en la barra de direcciones del navegador es la señal de una conexión HTTPS. Actualmente, los principales navegadores muestran la advertencia "Conexión no segura" para los sitios HTTP, por lo que HTTPS ya no es una opción sino una tecnología obligatoria. Según las estadísticas de Google Chrome, más del 95% de las cargas de páginas se realizan a través de HTTPS.

Funcionamiento de HTTPS

La comunicación HTTPS se establece mediante los siguientes pasos.

  1. Conexión TCP: El navegador establece una conexión TCP al puerto 443 del servidor (HTTP usa el puerto 80).
  2. Handshake TLS: El servidor presenta un certificado digital y el navegador verifica la validez del certificado. Se intercambia de forma segura una clave común mediante criptografía de clave pública.
  3. Comunicación cifrada: Se cifran y transmiten las solicitudes y respuestas HTTP utilizando la clave común. Todo se cifra, incluyendo la ruta de la URL, cookies, datos de formularios y el cuerpo de la respuesta.

Lo que HTTPS cifra es el contenido de la comunicación HTTP. El nombre de dominio de destino (SNI) y la dirección IP no se cifran. Para ocultar el nombre de dominio se necesita DNS over HTTPS o Encrypted Client Hello (ECH).

Por qué HTTPS es importante

HTTPS no es solo una medida de seguridad, sino que afecta múltiples aspectos de la operación de sitios web.

  • Protección de la comunicación: Previene que contraseñas, números de tarjetas de crédito e información personal fluyan en texto plano por la red. Especialmente importante en redes no confiables como Wi-Fi público.
  • Prevención de manipulación: Previene la inserción de anuncios, la reescritura de contenido y la inyección de malware por parte del ISP o intermediarios.
  • Impacto en SEO: Google utiliza HTTPS como señal de clasificación desde 2014. Los sitios que permanecen en HTTP están en desventaja en los rankings de búsqueda.
  • Uso de funciones del navegador: Muchas APIs modernas del navegador como Service Worker, Geolocation API y acceso a cámara/micrófono solo están disponibles en HTTPS.
  • HTTP/2 y HTTP/3: Los protocolos de comunicación de alta velocidad HTTP/2 y HTTP/3 requieren prácticamente HTTPS. HTTPS también es ventajoso en términos de rendimiento.

Métodos de verificación de HTTPS y consideraciones

Organizamos los métodos para verificar la conexión HTTPS en el navegador y los errores comunes.

  • Verificar el icono de candado: Al hacer clic en el icono de candado en la barra de direcciones, se pueden verificar los detalles del certificado (emisor, fecha de vencimiento, dominio).
  • Atención al Mixed Content: Si dentro de una página HTTPS hay recursos cargados por HTTP (imágenes, scripts, etc.), la seguridad se reduce. Los navegadores bloquean o advierten sobre el Mixed Content.
  • Uso de HSTS: Solo con la redirección de HTTP a HTTPS, existe el riesgo de que la primera solicitud se envíe por HTTP. Al configurar el encabezado HSTS, el navegador se conecta automáticamente por HTTPS.
  • Uso combinado con encabezados de seguridad: No solo HTTPS, sino también el uso combinado de encabezados como Content-Security-Policy y X-Content-Type-Options permite lograr una seguridad más robusta.

Conceptos erróneos comunes

HTTPS solo es necesario para sitios grandes
HTTPS es obligatorio incluso para blogs personales y sitios pequeños. Los sitios HTTP muestran "Conexión no segura" en el navegador, lo que daña la confianza de los visitantes. Se pueden obtener certificados gratuitos con Let's Encrypt, por lo que el coste no es una barrera.
Si uso HTTPS, el sitio es seguro
HTTPS proporciona cifrado de la vía de comunicación, pero no puede prevenir ataques como vulnerabilidades del lado del servidor, XSS o inyección SQL. HTTPS es el punto de partida de las medidas de seguridad, pero no es suficiente por sí solo.

Comparación entre HTTP y HTTPS

HTTP

La comunicación se envía y recibe en texto plano. Existe riesgo de interceptación, manipulación y suplantación. Usa el puerto 80. El navegador muestra "Conexión no segura".

HTTPS

Cifra la comunicación con TLS. Previene la interceptación, manipulación y suplantación. Usa el puerto 443. Muestra el icono de candado y permite el uso de APIs modernas del navegador.

Términos relacionados

TLS/SSL Protocolos criptográficos que cifran las comunicaciones de internet para garanti… HSTS (HTTP Strict Transport Security) Un mecanismo de seguridad en el que un servidor web envía un encabezado de respu… Encabezado de seguridad Encabezados de respuesta HTTP enviados por un servidor web que instruyen al nave… Certificado digital Un documento electrónico emitido por una Autoridad de Certificación (CA) de conf… DNS over HTTPS (DoH) Una tecnología que encripta las consultas DNS utilizando el protocolo HTTPS, imp…

Artículos relacionados

Cómo funcionan HTTPS y TLS - El cifrado detrás de la comunicación segura Comprende cómo HTTPS y TLS cifran tu comunicación, el papel de los certificados, las diferencias ent… Encabezados de seguridad HTTP - 5 encabezados esenciales para proteger tu sitio web Una introducción a los encabezados de seguridad HTTP más importantes, incluyendo Content-Security-Po…
← Glosario