IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud

TLS para correo: STARTTLS, puertos y por qué cifrar tus mensajes

14/07/2026 4 min de lectura Rubén Espinoza

El correo electrónico nació en una internet inocente, sin cifrado: los mensajes viajaban en texto claro, legibles para cualquiera que los interceptara en el camino. Hoy eso es inaceptable, y TLS —el mismo cifrado que protege los sitios web— también protege el correo. Pero el correo lo hace a su manera, con dos estilos distintos de activar el cifrado y con puertos propios para cada fase. Configurar el correo sin entender esto lleva a dos malos finales: creer que estás cifrado cuando no lo estás, o pelear sin saber por qué no conecta. Este artículo cierra el círculo entre el viaje del correo y el cifrado TLS.

Por qué cifrar el correo (dos momentos distintos)

Hay que separar dos cosas que la gente confunde. TLS en el correo protege el mensaje mientras viaja entre tu dispositivo y el servidor, y entre servidores. Eso evita que alguien en la red —un WiFi público, un punto intermedio— lea o robe tus mensajes y, sobre todo, tus credenciales al conectarte. Lo que TLS no hace es cifrar el mensaje guardado en el buzón ni garantizar que el destinatario final lo reciba cifrado de punta a punta —eso es otra tecnología (cifrado de extremo a extremo, como S/MIME o PGP)—. TLS protege el transporte, que ya es muchísimo y es lo mínimo indispensable.

Los dos estilos: implícito y STARTTLS

Aquí está el punto que confunde a todos. Hay dos formas de que una conexión de correo use TLS:

  • TLS implícito. La conexión va cifrada desde el primer segundo. Se conecta a un puerto dedicado que asume cifrado siempre. Es directo y sin ambigüedad: o cifra, o no conecta.
  • STARTTLS. La conexión empieza en texto claro y luego se "actualiza" a cifrada mediante un comando (STARTTLS) que le dice al servidor "cambiemos a TLS ahora". Si ambos lados lo soportan, la conexión se cifra a partir de ahí. Su ventaja histórica: permite usar el mismo puerto para conexiones cifradas y no cifradas. Su riesgo: si está mal configurado o alguien fuerza que "falle" la actualización, la conexión podría quedarse en texto claro sin que te des cuenta.

Ninguno es "el malo": ambos, bien configurados, cifran correctamente. Lo importante es exigir el cifrado (que el cliente no acepte quedarse en claro) y usar versiones modernas de TLS.

El mapa de puertos (para no configurar a ciegas)

Cada fase del correo tiene sus puertos, y saber cuál es cuál evita horas de frustración. Los de uso común hoy:

  • Envío (SMTP submission): puerto 587 con STARTTLS (el recomendado para que tu cliente envíe), o 465 con TLS implícito. El viejo 25 queda para la entrega entre servidores, no para que tu cliente envíe.
  • Recoger con IMAP: 993 con TLS implícito (recomendado), o 143 con STARTTLS.
  • Recoger con POP: 995 con TLS implícito (recomendado), o 110 con STARTTLS.

La regla mnemotécnica: los puertos "cifrados desde el inicio" (465, 993, 995) son los números altos; sus contrapartes con STARTTLS (587, 143, 110) permiten empezar en claro. Cuando configures una cuenta, usar los puertos cifrados y verificar que el cliente exige TLS es lo que te mantiene protegido.

La conexión con la entregabilidad

Un beneficio extra de tener bien el TLS del correo: cada vez más servidores prefieren —y algunos exigen— cifrado en la entrega entre servidores, y el conjunto de tu higiene técnica (TLS, autenticación, PTR) construye tu reputación. Cifrar bien no solo protege: es parte de verse como un remitente serio y no como uno sospechoso. Montar el correo con todo esto resuelto es lo que distingue a un correo empresarial bien hecho de uno improvisado.

#ssl #tls #correo #starttls

Preguntas frecuentes

¿Qué puerto debo usar para enviar correo, 587 o 465?

Ambos cifran bien si están bien configurados. El 587 con STARTTLS es el estándar recomendado para que tu cliente envíe correo (submission); el 465 usa TLS implícito y también es válido y ampliamente soportado. Evita usar el 25 para enviar desde tu cliente: ese puerto es para la entrega entre servidores y suele estar bloqueado para envío directo.

¿STARTTLS es inseguro comparado con el TLS implícito?

No inherentemente: bien configurado, STARTTLS cifra correctamente. Su riesgo teórico es que, al empezar en texto claro, un atacante podría intentar impedir la actualización a TLS (un ataque de "downgrade"). Por eso lo importante es configurar el cliente para que exija cifrado y no acepte quedarse en claro. Con esa exigencia, ambos estilos son seguros.

¿TLS cifra mi correo de extremo a extremo?

No. TLS cifra el correo mientras viaja (en el transporte), lo que protege contra la interceptación en la red y el robo de credenciales. Pero el mensaje puede estar sin cifrar en los servidores y en el buzón. El cifrado de extremo a extremo, donde solo emisor y receptor pueden leerlo, requiere otra tecnología como S/MIME o PGP. Aun así, TLS es el mínimo indispensable y protege muchísimo.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud

Let's Encrypt, ACME y AutoSSL: certificados gratis y automáticos, sin trampa
Certificados wildcard y SAN: un certificado para muchos nombres
Autoridades de certificación y la cadena de confianza: en quién confía tu navegador