Todos los artículos de SSL SSL y certificados

¿Qué es HTTPS? Guía completa

2026-05-08
httpsssltlsencryptionsecurity

HTTPS (Hypertext Transfer Protocol Secure) es la versión cifrada de HTTP — el protocolo que los navegadores usan para comunicarse con los sitios web. Cuando un sitio usa HTTPS, todos los datos entre tu navegador y el servidor están cifrados, evitando que cualquier intermediario los lea o modifique.

Puedes saber si un sitio usa HTTPS por el prefijo https:// en la URL y el icono de candado en la barra de direcciones de tu navegador. A partir de 2026, el 86,9% de los sitios web usan HTTPS y los navegadores marcan todos los sitios HTTP como «No seguro».

Cómo funciona HTTPS

HTTPS añade cifrado TLS (Transport Layer Security) sobre HTTP regular. Cuando visitas un sitio web HTTPS, una negociación TLS ocurre en milisegundos:

  1. El navegador se conecta — envía versiones TLS soportadas, suites de cifrado y un número aleatorio al servidor
  2. El servidor responde — envía su suite de cifrado elegida, su certificado SSL/TLS (que contiene su clave pública) y un número aleatorio
  3. El navegador verifica — comprueba que el certificado no esté expirado, coincida con el dominio y esté firmado por una Autoridad Certificadora de confianza
  4. Se negocia la clave de sesión — ambas partes usan cifrado asimétrico (intercambio de claves Diffie-Hellman) para acordar una clave de sesión compartida secreta
  5. Comienza la comunicación cifrada — todos los datos posteriores se cifran con la clave de sesión simétrica

Después de la negociación, todo está cifrado: HTML, imágenes, CSS, JavaScript, envíos de formularios, cookies, respuestas de API y rutas URL.

Profundización: Cómo funciona SSL/TLS →

HTTP vs HTTPS

HTTPHTTPS
CifradoNinguno — datos en texto planoTodos los datos cifrados con TLS
Puerto por defecto80443
Prefijo de URLhttp://https://
¿Necesita certificado?NoSí (certificado SSL/TLS)
Indicador del navegadorAdvertencia «No seguro»Icono de candado
Integridad de datosNo — los datos pueden modificarse en tránsitoSí — la manipulación se detecta
AutenticaciónNinguna — sin prueba de que el servidor sea genuinoEl certificado prueba la identidad del servidor
Señal SEONegativa (desde 2014)Positiva (factor de posicionamiento de Google)
Soporte HTTP/2No (en la práctica)Sí — cargas de página más rápidas
Requerido paraNada modernoService workers, geolocalización, cámara/micrófono, formularios de pago

La diferencia no es solo seguridad — HTTPS habilita funcionalidades web modernas que HTTP no puede usar. Los navegadores restringen service workers, la Geolocation API, la Clipboard API y otras APIs potentes solo a orígenes HTTPS.

Por qué todo sitio web necesita HTTPS

Privacidad

Sin HTTPS, cualquiera en la misma red puede ver exactamente lo que estás haciendo. Un operador de Wi-Fi en una cafetería, un proxy corporativo, un ISP — pueden leer cada página que visitas, cada formulario que envías, cada cookie que pasa. HTTPS cifra todo esto.

Esto no es teórico. Se ha documentado que los ISP inyectan anuncios y código de rastreo en el tráfico HTTP sin cifrar.

Integridad de datos

HTTPS garantiza que los datos que recibes no han sido modificados en tránsito. Sin ello, un operador de red malicioso podría:

  • Inyectar anuncios o mineros de criptomonedas en tus páginas
  • Reemplazar enlaces de descarga con malware
  • Modificar precios o condiciones en tu sitio web
  • Insertar scripts de rastreo

HTTPS detecta cualquier modificación — el navegador rechaza datos manipulados.

Autenticación

El certificado prueba que estás conectado al servidor real, no a un impostor. Sin HTTPS, un punto de acceso Wi-Fi malicioso (llamado «WiFi Gratis del Aeropuerto») puede redirigirte silenciosamente a una versión falsa de cualquier sitio web. Con HTTPS, el sitio falso no puede presentar un certificado válido para el dominio — el navegador bloquea la conexión.

SEO

Google ha usado HTTPS como señal de posicionamiento desde 2014. Aunque es una señal ligera (Google la describe como un «desempate»), es una de las señales más fáciles de implementar. Más importante aún, las páginas HTTP provocan la advertencia «No seguro» de Chrome, lo que aumenta las tasas de rebote — y la tasa de rebote afecta indirectamente al posicionamiento.

Rendimiento

Un concepto erróneo común es que HTTPS es más lento. En realidad:

  • La negociación TLS añade un viaje ida y vuelta (TLS 1.3) o dos (TLS 1.2) — típicamente 10-50ms
  • HTTP/2 (que requiere HTTPS) es significativamente más rápido que HTTP/1.1 a través de multiplexación, compresión de cabeceras y server push
  • La reanudación de sesión elimina la sobrecarga de la negociación para visitantes recurrentes (0-RTT en TLS 1.3)
  • Las CPUs modernas manejan el cifrado AES en hardware (AES-NI) — el costo de CPU es insignificante

En la práctica, los sitios HTTPS con HTTP/2 cargan más rápido que los sitios HTTP/1.1.

Requisitos de los navegadores

Los navegadores modernos restringen las APIs potentes a contextos seguros (solo HTTPS):

  • Service Workers — requeridos para PWAs, soporte offline, notificaciones push
  • Geolocation API — acceso GPS y ubicación
  • Cámara/MicrófonogetUserMedia() para videollamadas
  • Clipboard API — leer del portapapeles
  • Payment Request API — UI de pago nativa
  • Web Bluetooth, Web USB — acceso a hardware

Si tu sitio necesita alguna de estas funcionalidades, HTTPS es obligatorio — no opcional.

Conceptos erróneos comunes

«HTTPS solo es necesario para páginas de login y pagos.» Cada página debería usar HTTPS. Incluso las entradas de blog estáticas transmiten cookies que podrían ser robadas en HTTP. Las páginas HTTP pueden modificarse en tránsito para inyectar contenido malicioso. Y los navegadores ahora advierten en todas las páginas HTTP — no solo en las que tienen formularios.

«HTTPS hace mi sitio más lento.» TLS 1.3 añade ~10-40ms en la primera conexión. HTTP/2 (que requiere HTTPS) compensa con creces mediante multiplexación y compresión. La reanudación de sesión hace que las visitas posteriores sean aún más rápidas. En hardware moderno, el cifrado en sí es manejado por instrucciones de CPU (AES-NI) y no añade sobrecarga medible.

«Los certificados HTTPS son caros.» Let’s Encrypt emite certificados gratis. Más de 300 millones de sitios web los usan — incluyendo grandes empresas y sitios gubernamentales. Con GetHTTPS, puedes obtener uno en 5 minutos sin instalar ningún software.

«Mi proveedor de hosting se encarga de HTTPS, no necesito entenderlo.» Probablemente cierto para sitios básicos. Pero si alguna vez ves una advertencia de «Contenido Mixto», un error de certificado o necesitas configurar una redirección — entender HTTPS te ayuda a diagnosticar y solucionar el problema. Y si cambias de host, necesitarás saber cómo funcionan los certificados.

«El icono de candado significa que el sitio es seguro.» El candado significa que la conexión está cifrada — no que el sitio web en sí sea confiable. Más del 90% de los sitios de phishing ahora usan HTTPS. El candado confirma con quién estás conectado (vía el certificado), no si son honestos.

Cómo habilitar HTTPS en tu sitio web

  1. Obtén un certificado — Usa GetHTTPS para obtener un certificado gratuito de Let’s Encrypt en tu navegador. Sin instalación, sin cuenta.

  2. Instálalo en tu servidor — Consulta nuestras guías para Nginx, Apache, cPanel, WordPress, IIS o Docker.

  3. Redirige HTTP a HTTPS — Fuerza todo el tráfico a la versión segura. Guía de redirección →

  4. Corrige contenido mixto — Asegúrate de que todos los recursos (imágenes, scripts, CSS) se carguen por HTTPS. Guía de contenido mixto →

  5. Configura la renovación — Los certificados de Let’s Encrypt duran 90 días. Guía de renovación →

El futuro de HTTPS

La validez de los certificados se está reduciendo. El CA/Browser Forum votó reducir la validez máxima de los certificados a 47 días para 2029. Esto hace que las herramientas de renovación automatizada (Certbot, acme.sh) o las herramientas manuales fáciles (GetHTTPS) sean cada vez más importantes.

HTTP/3 y QUIC. La próxima generación de HTTP se ejecuta sobre QUIC, que tiene cifrado integrado en la capa de transporte — no existe una versión sin cifrar. HTTPS ya no es solo una capa; se está volviendo inseparable del protocolo mismo.

Encrypted Client Hello (ECH). TLS 1.3 cifra la mayor parte de la negociación, pero el SNI (Server Name Indication) — que revela a qué dominio te estás conectando — todavía es visible. ECH cifra el SNI también, haciendo imposible para los observadores de red ver qué sitio específico estás visitando en un servidor compartido.

Preguntas frecuentes

¿HTTPS es realmente seguro?

HTTPS con TLS moderno (1.2 o 1.3) es extremadamente seguro contra espionaje y manipulación. No existe ningún ataque práctico contra TLS 1.3 correctamente configurado. Los riesgos restantes están en los puntos finales (malware en tu dispositivo, servidor comprometido), no en la conexión cifrada en sí.

¿Necesito HTTPS para un sitio web estático?

Sí. Incluso sin formularios ni logins, HTTPS previene la inyección de contenido (anuncios, malware), protege la privacidad del visitante (qué páginas ve), habilita HTTP/2 (carga más rápida) y evita la advertencia «No seguro» del navegador.

¿HTTPS afecta al SEO?

Sí. Google confirmó HTTPS como señal de posicionamiento en 2014. Es una señal ligera, pero combinada con la advertencia de «No seguro» (que aumenta las tasas de rebote), los sitios HTTP enfrentan una desventaja SEO medible.

¿Cuál es la diferencia entre SSL y TLS?

SSL (Secure Sockets Layer) fue el protocolo de cifrado original, creado por Netscape en los años 90. TLS (Transport Layer Security) lo reemplazó. Todas las versiones de SSL están obsoletas e inseguras. Cuando la gente dice «certificado SSL» hoy, se refiere a un certificado usado con TLS. Los términos se usan indistintamente en la práctica.

¿Cuánto cuesta HTTPS?

Cero — si usas Let’s Encrypt. GetHTTPS emite certificados de Let’s Encrypt gratis, directamente en tu navegador. Los certificados de pago ($50-500/año) existen pero proporcionan la misma fortaleza de cifrado — la diferencia está en el nivel de validación de identidad, no en la seguridad.

¿HTTPS protege contra todos los ataques?

No. HTTPS protege los datos en tránsito — previene espionaje, manipulación y suplantación del servidor. NO protege contra: malware en el dispositivo del usuario, vulnerabilidades en el código de tu aplicación (XSS, SQL injection), phishing (el candado no significa que el sitio sea honesto) ni brechas del lado del servidor.

Artículos relacionados

SSL y certificados 2026-05-08
SSL vs TLS: ¿cuál es la diferencia?
SSL está obsoleto. TLS es lo que realmente asegura la web. Conoce la historia completa de SSL 2.0 a TLS 1.3, las diferencias técnicas, por qué seguimos diciendo «SSL» y qué necesitas hacer (probablemente nada).
SSL y certificados 2026-05-07
Cómo funciona SSL/TLS: el handshake TLS explicado
Un recorrido visual del handshake TLS: cómo tu navegador y un servidor establecen una conexión cifrada en milisegundos. Cubre TLS 1.2, TLS 1.3, reanudación de sesión y secreto perfecto hacia adelante.
Primeros pasos 2026-05-08
Cómo obtener un certificado SSL gratuito (guía paso a paso)
Obtén un certificado SSL gratuito de Let's Encrypt en 5 minutos — sin software que instalar, sin cuenta que crear. Guía completa con 4 métodos, ambos tipos de desafío, instalación en 6 plataformas y solución de problemas.
Comparar 2026-05-08
Los mejores proveedores de certificados SSL gratuitos en 2026 (comparativa)
Compara 9 proveedores de certificados SSL gratuitos en privacidad, límites, soporte de comodines y automatización. Incluye CAs independientes, proveedores de hosting y CDN, con un análisis de privacidad que ninguna otra comparativa cubre.
Obtén un certificado SSL gratuito en tu navegador
Sin instalación, sin cuenta. Tu clave privada nunca sale de tu dispositivo.
Obtener certificado