IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud

Certificados SSL/TLS: qué protegen y la trampa del "candadito"

14/07/2026 4 min de lectura Rubén Espinoza

Todos aprendimos la regla: "si el sitio tiene el candadito, es seguro". Es una regla útil a medias, y la mitad falsa es peligrosa. El candado que muestra el navegador —el que aparece cuando la dirección empieza con https— significa algo concreto y valioso, pero mucho menos de lo que la gente cree. Entender qué protege de verdad un certificado SSL/TLS, y qué no, es la diferencia entre usar bien esa señal y confiar ciegamente en ella.

Qué hace un certificado SSL/TLS (lo que sí)

Un certificado hace dos cosas. Primero, cifra la conexión entre tu navegador y el sitio: todo lo que viaja —contraseñas, datos de tarjeta, formularios— va codificado, de modo que quien intercepte el tráfico en el camino (en un WiFi público, por ejemplo) solo ve ruido ilegible. Segundo, verifica que estás hablando con el servidor de ese dominio y no con un impostor que se metió en medio. Eso es real y es importante: sin HTTPS, cualquier dato que envíes por un sitio viaja en texto claro para quien quiera leerlo.

La trampa: qué NO significa el candado

Aquí está el malentendido caro. El candado dice que la conexión es segura, no que el sitio sea confiable. Son cosas distintas. Un sitio de phishing —una copia falsa de tu banco montada por un estafador— puede tener su candadito perfectamente verde, porque obtener un certificado hoy es gratis y automático. El candado te garantiza que tu conexión con ese sitio fraudulento va cifrada; no te dice nada sobre si el sitio es honesto.

Dicho de otro modo: el candado significa "nadie está espiando esta conversación", no "esta conversación es con quien crees ni con gente de bien". La costumbre de enseñar "candado = seguro" a secas ha entrenado a millones de personas a bajar la guardia justo donde no deberían. El candado es necesario, pero no es un sello de confianza.

¿Hay certificados que "valen más"?

Existen niveles de validación. El básico (DV, validación de dominio) solo comprueba que quien lo pide controla el dominio; es el gratuito y automático, y cifra igual de bien que cualquier otro. Los hay con más validación (de organización o extendida), que verifican la identidad de la empresa detrás del sitio. Para la enorme mayoría de los sitios, un certificado DV cifra perfectamente y es todo lo que se necesita. Los niveles superiores tienen sentido en contextos específicos donde probar la identidad corporativa aporta valor, pero no cifran "más fuerte": la protección técnica de la conexión es la misma.

Lo práctico para tu empresa

  • Tu sitio necesita HTTPS, sin excepción. Hoy es un estándar básico: los navegadores marcan como "no seguro" a los sitios sin él, y afecta hasta el posicionamiento. Un certificado DV gratuito y bien configurado basta para la mayoría.
  • Cuida la renovación. Los certificados expiran. Uno vencido hace que el navegador muestre una alarma roja aterradora a tus visitantes. La mayoría de los hostings modernos los renuevan automáticamente; confirma que el tuyo lo hace.
  • Enseña a tu gente la verdad del candado. Que el candado no baste para confiar en un sitio. La verificación real es mirar el dominio con cuidado (¿es de verdad el de tu banco, o una imitación con una letra cambiada?), no solo ver el candado.

El candado es una herramienta buena a la que le pedimos más de lo que puede dar. Cifra tu conexión y verifica el dominio —eso hace, y lo hace bien—. Distinguir confianza en el sitio requiere de tu criterio, no de un ícono. Montar y renovar los certificados sin sobresaltos es parte de un hosting bien administrado.

#cloud #ssl #tls #seguridad

Preguntas frecuentes

¿SSL y TLS son lo mismo?

En la práctica cotidiana se usan como sinónimos, pero técnicamente TLS es el sucesor moderno de SSL. SSL es el protocolo original, ya obsoleto e inseguro en sus versiones viejas; TLS es lo que realmente se usa hoy. Por costumbre se sigue diciendo "certificado SSL", aunque lo que protege tu conexión es TLS.

¿Un certificado gratuito es menos seguro que uno de pago?

No en cuanto al cifrado: un certificado gratuito (DV) protege la conexión con la misma fortaleza que uno de pago. La diferencia está en el nivel de validación de identidad y en servicios asociados como garantías o soporte, no en qué tan bien se cifra el tráfico. Para la mayoría de los sitios, el gratuito es suficiente.

¿Por qué mi navegador dice "no seguro" en algunos sitios?

Porque ese sitio no tiene HTTPS activo (no usa certificado) o su certificado está vencido o mal configurado. Significa que la conexión no va cifrada o no se pudo verificar. En un sitio donde vayas a introducir cualquier dato, esa advertencia es motivo para no hacerlo.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud

TLS para correo: STARTTLS, puertos y por qué cifrar tus mensajes
Let's Encrypt, ACME y AutoSSL: certificados gratis y automáticos, sin trampa
Certificados wildcard y SAN: un certificado para muchos nombres