IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud

SSL/TLS a fondo: bits, cifrado y la cadena de confianza sin misterio

14/07/2026 5 min de lectura Rubén Espinoza

En un artículo anterior desmontamos la trampa del candadito: que el candado del navegador significa "conexión cifrada", no "sitio confiable". Ese era el nivel conceptual. Ahora vamos por dentro, para quien quiere entender cómo funciona SSL/TLS de verdad: qué significan los "bits" de una llave, por qué se usan dos tipos de cifrado distintos, y cómo se construye la cadena de confianza que hace que todo el sistema se sostenga. Sin humo y sin diplomas: con peras y manzanas, pero de verdad.

Primero, un apunte de nombres: SSL es el protocolo original, ya obsoleto; TLS es su sucesor moderno y es lo que realmente se usa hoy. Por costumbre seguimos diciendo "certificado SSL", pero lo que protege tu conexión es TLS. Usaremos los términos como se usan en la calle.

Los dos cifrados que TLS combina

Aquí está el corazón, y es más elegante de lo que parece. Existen dos grandes familias de cifrado:

Cifrado simétrico. Una sola llave sirve para cerrar y abrir, como la de tu casa. Es rapidísimo, ideal para cifrar grandes volúmenes de datos. Su problema: ambos lados necesitan tener la misma llave, y ¿cómo se la pasan sin que alguien la intercepte en el camino? El ejemplo más conocido es AES.

Cifrado asimétrico. Usa un par de llaves matemáticamente ligadas: una pública (que repartes a todo el mundo) y una privada (que guardas como oro). Lo que cifra una, solo lo descifra la otra. Esto resuelve el problema de "cómo nos pasamos la llave", pero es lento: no sirve para cifrar todo el tráfico. El ejemplo clásico es RSA.

TLS usa cifrado asimétrico en el apretón de manos para verificar identidad y acordar en secreto una clave compartida, y luego cifrado simétrico rápido con esa clave para todo el tráfico.
Asimétrico para arrancar con seguridad; simétrico para correr con velocidad.

El truco de TLS es usar los dos. Al inicio, en el "apretón de manos" (handshake), usa el cifrado asimétrico —lento pero seguro— para dos cosas: verificar la identidad del servidor (con su certificado) y acordar en secreto una llave compartida que nadie más conoce. Una vez que ambos lados tienen esa llave compartida, cambian al cifrado simétrico —rápido— para cifrar toda la conversación real. Lo mejor de los dos mundos: la seguridad del asimétrico para arrancar, la velocidad del simétrico para correr.

Qué significan los "bits" (y por qué confunden)

Cuando oyes "llave de 2048 bits" o "cifrado de 256 bits", son cosas distintas y compararlas directo es un error clásico. El número de bits es, a grandes rasgos, el tamaño de la llave, y más bits significan más combinaciones posibles y por tanto más difícil de romper por fuerza bruta. Pero:

  • En simétrico (AES), 256 bits es un nivel de seguridad altísimo. AES-128 ya es robusto; AES-256, más aún.
  • En asimétrico (RSA), se habla de 2048 o 4096 bits, números mucho mayores, porque el tipo de matemática es distinto: un RSA de 2048 bits no es "más débil" que un AES de 256 por tener... espera, tiene más bits. Justo ahí está la confusión: no son comparables. Un RSA-2048 ofrece, a groso modo, una seguridad equiparable a un simétrico de ~112 bits. Las matemáticas detrás son diferentes, así que los números no se leen en la misma escala.
  • ECC (criptografía de curva elíptica) logra la misma seguridad que RSA con llaves mucho más pequeñas (una ECC de 256 bits ≈ un RSA de 3072 bits), por eso es cada vez más popular: más eficiente.

La lección práctica: no te dejes impresionar por "4096 bits" como si más número fuera siempre mejor. Lo que importa es usar algoritmos modernos y tamaños vigentes; los estándares actuales (RSA 2048+ o ECC) son más que suficientes para la enorme mayoría de los sitios.

La confianza: ¿por qué tu navegador cree en un certificado?

El cifrado protege la conversación, pero falta una pieza: ¿cómo sabe tu navegador que el servidor con el que habla es de verdad quien dice ser, y no un impostor? Ahí entra la cadena de confianza y las autoridades de certificación (CA). Es lo que convierte al cifrado en confianza, y merece su propio artículo:

La idea que se queda

SSL/TLS no es una caja negra ni un candado mágico: es una combinación inteligente de dos tipos de cifrado, respaldada por un sistema de confianza en cadena. Entender que el asimétrico arranca y el simétrico corre, que los "bits" no se comparan entre familias, y que la confianza se hereda de una autoridad, te da algo valioso: la capacidad de tomar decisiones informadas sobre certificados en lugar de comprar el más caro "por si acaso". Montar y renovar todo esto sin sobresaltos es parte de un hosting bien administrado.

#ssl #tls #cifrado #seguridad

Preguntas frecuentes

¿Un certificado de 4096 bits es el doble de seguro que uno de 2048?

No, no funciona de forma lineal. Un RSA de 4096 bits es más resistente que uno de 2048, pero no "el doble", y a cambio es más lento en el procesamiento. Para la enorme mayoría de los sitios, 2048 bits es seguro y es el estándar recomendado. Perseguir números más grandes rara vez aporta seguridad real y sí puede penalizar el rendimiento.

¿Por qué TLS no usa solo cifrado asimétrico si es más seguro para intercambiar llaves?

Porque el asimétrico es lento y consumiría demasiados recursos para cifrar todo el tráfico de una sesión. Por eso TLS lo usa solo al inicio, para verificar identidad y acordar en secreto una llave compartida, y luego cambia al cifrado simétrico, que es mucho más rápido para mover datos en volumen. Es una combinación deliberada, no una limitación.

¿Qué diferencia hay entre SSL y TLS en la práctica?

En el lenguaje cotidiano se usan como sinónimos, pero técnicamente TLS es el sucesor moderno de SSL, que ya es obsoleto e inseguro en sus versiones viejas. Lo que hoy protege tus conexiones es TLS (en sus versiones actuales). Se sigue diciendo "certificado SSL" por costumbre, aunque el protocolo que trabaja por debajo sea TLS.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud

TLS para correo: STARTTLS, puertos y por qué cifrar tus mensajes
Let's Encrypt, ACME y AutoSSL: certificados gratis y automáticos, sin trampa
Certificados wildcard y SAN: un certificado para muchos nombres