HTTP (Hypertext Transfer Protocol) envía datos en texto plano — cualquiera en la red puede leerlos. HTTPS (HTTP Secure) añade cifrado TLS — los datos se cifran de extremo a extremo entre el navegador y el servidor.
A partir de 2026, el 86,9% de los sitios web usan HTTPS. Chrome hará HTTPS-First por defecto en octubre de 2026, mostrando una advertencia a página completa para sitios HTTP.
Comparación lado a lado
| HTTP | HTTPS | |
|---|---|---|
| Prefijo de URL | http:// | https:// |
| Cifrado | Ninguno — texto plano | Cifrado TLS (AES-256) |
| Puerto por defecto | 80 | 443 |
| ¿Necesita certificado? | No | Sí (gratuito de Let’s Encrypt) |
| Indicador del navegador | Advertencia «No seguro» | Icono de candado |
| Datos visibles para | Cualquiera en la red (ISP, Wi-Fi, proxies) | Solo remitente y destinatario |
| Integridad de datos | No — puede modificarse en tránsito | Sí — la manipulación se detecta |
| Autenticación | Ninguna — sin prueba de identidad | El certificado prueba la identidad del servidor |
| Velocidad | Solo HTTP/1.1 | HTTP/2 habilitado (más rápido) |
| SEO | Señal negativa (desde 2014) | Señal positiva |
| APIs web modernas | La mayoría bloqueadas | Todas disponibles |
| Costo | Gratis | Gratis (Let’s Encrypt) |
| Chrome oct 2026 | Advertencia a página completa | Normal |
Qué sucede en HTTP (el riesgo)
En una conexión HTTP sin cifrar, un observador de red ve todo:
GET /login HTTP/1.1
Host: example.com
Cookie: session=abc123xyz
username=admin&password=MySecret123Esto incluye: URLs que visitas, datos de formularios (nombres de usuario, contraseñas, tarjetas de crédito), cookies (tokens de sesión), contenido de páginas y respuestas de APIs. Cualquiera en el mismo Wi-Fi, cualquier router entre tú y el servidor, y tu ISP pueden leer todo.
En HTTPS, el mismo observador ve:
[encrypted data — indistinguishable from random bytes]Pueden ver la IP de destino y el nombre de dominio (SNI), pero no la ruta URL, cabeceras, cuerpo ni cookies.
Qué no pueden hacer los sitios HTTP
Los navegadores restringen las APIs modernas solo a HTTPS («contextos seguros»):
- Service Workers — soporte offline, notificaciones push
- Geolocation API — acceso GPS
- Cámara/Micrófono —
getUserMedia() - Clipboard API — leer/escribir portapapeles
- Payment Request API — hojas de pago nativas
- Web Bluetooth, Web USB — acceso a hardware
- HTTP/2 — multiplexación, compresión de cabeceras (los navegadores requieren HTTPS)
Si tu sitio usa alguna de estas, HTTPS es obligatorio — no opcional.
La diferencia en SEO
Google confirmó HTTPS como señal de posicionamiento en 2014. La señal directa es «ligera» (un desempate), pero los efectos indirectos son significativos:
- Advertencia «No seguro» → mayores tasas de rebote → menor engagement → posiciones más bajas
- Sin HTTP/2 → carga de página más lenta → peores Core Web Vitals → posiciones más bajas
- Chrome HTTPS-First (oct 2026) → advertencia a página completa → pérdida masiva de tráfico
«Pero HTTPS es más lento» — mito
HTTPS añade un viaje de ida y vuelta para la negociación TLS (10-40ms con TLS 1.3). Pero HTTPS habilita HTTP/2, que hace que las páginas carguen más rápido a través de:
- Multiplexación — múltiples solicitudes por una sola conexión (HTTP/1.1: una a la vez)
- Compresión de cabeceras — reduce la sobrecarga
- Reanudación de sesión — los visitantes recurrentes se saltan la negociación (0-RTT en TLS 1.3)
Resultado neto: los sitios HTTPS + HTTP/2 típicamente cargan más rápido que los sitios HTTP/1.1.
Cómo cambiar de HTTP a HTTPS
- Obtén un certificado gratuito — GetHTTPS (5 minutos, sin instalación)
- Instálalo en tu servidor — Nginx | Apache | cPanel | WordPress
- Configura redirecciones 301 — Guía de redirección
- Corrige contenido mixto — Guía de contenido mixto
- Actualiza servicios externos — Google Search Console, Analytics, perfiles sociales
Checklist completo de migración (15 pasos) →
Preguntas frecuentes
¿Hay alguna razón para quedarse en HTTP?
No. HTTPS es gratuito (Let’s Encrypt), toma 5 minutos de configurar, hace tu sitio más rápido (HTTP/2) y evita la advertencia de «No seguro». No hay ningún beneficio en quedarse en HTTP.
¿HTTPS hace mi sitio completamente seguro?
HTTPS asegura la conexión — previene espionaje, manipulación y suplantación. NO protege contra: vulnerabilidades de la aplicación (XSS, SQL injection), brechas del lado del servidor, phishing (cifrado ≠ confiable), ni malware en el dispositivo del usuario.
¿Los certificados gratuitos y de pago proporcionan el mismo HTTPS?
Sí. El cifrado es idéntico. Un certificado DV gratuito de Let’s Encrypt y un certificado EV de $500 usan los mismos protocolos TLS, suites de cifrado e intercambio de claves. El icono de candado es el mismo.
¿Cambiar a HTTPS romperá algo?
Potencialmente: los enlaces http:// codificados en tu contenido causan advertencias de contenido mixto, y algunos embebidos de terceros pueden necesitar URLs HTTPS. La guía de migración cubre cada caso particular.