Cómo funciona HTTPS: qué significa el candado en tu navegador
Last updated: abril 9, 2026
Entiende qué protege realmente el candado HTTPS, cómo se establece la conexión encriptada y por qué importa en Wi-Fi público.
Imagina que estás en una cafetería con Wi-Fi público y necesitas revisar tu correo electrónico. Alguien más en la misma red podría, en teoría, interceptar lo que escribes. Ves el pequeño candado verde junto a la dirección del sitio web en tu navegador y te preguntas: ¿qué protege realmente ese símbolo? ¿Significa que el sitio es seguro? ¿Que nadie puede ver lo que escribo?
La respuesta es más matizada de lo que parece. El candado significa que tu conexión está encriptada y que el servidor ha demostrado su identidad de una forma verificable. Pero no significa automáticamente que el sitio web sea honesto, que no venda tus datos, o que no sea un sitio fraudulento bien disfrazado. Entender la diferencia es crucial para navegar internet con confianza real, no solo la ilusión de seguridad.
Qué sucede cuando visitas un sitio con HTTPS
Cuando escribes una URL en tu navegador, ocurre un proceso llamado TLS handshake (apretón de manos TLS). Es como esta analogía: imagina que quieres enviar una carta confidencial a alguien que no conoces en persona. Antes de escribir la carta, primero necesitas: (1) confirmar que estás hablando con la persona correcta, (2) acordar cómo cifrar el mensaje, y (3) asegurarte de que ambos puedan descifrar lo que el otro envía.
Tu navegador inicia la conversación diciendo: "Hola, quiero conectarme de forma segura". El servidor responde con su certificado digital, que es como un pasaporte criptográfico. Este certificado contiene la clave pública del servidor (un número largo que usarás para cifrar) y está firmado digitalmente por una Autoridad de Certificación (CA por sus siglas en inglés), una organización que tu navegador confía. La firma digital del certificado es verificable: tu navegador puede comprobar matemáticamente que ese certificado es auténtico.
Luego, tu navegador y el servidor acuerdan una clave de sesión, un número secreto que solo ellos conocen. Usarán esta clave para cifrar y descifrar todos los datos que se intercambien durante tu visita. Una vez que este proceso termina, el candado aparece en tu navegador.
Por qué el candado no significa que el sitio sea confiable
Esto es importante: el candado HTTPS verifica la identidad técnica del servidor, pero no dice nada sobre las intenciones de quién lo controla. Un sitio fraudulento que roba datos, un sitio legítimo que vende tu información a anunciantes, y un banco real pueden todos mostrar el mismo candado verde.
Pensalo así: el candado es como un sello notarial en una carta. Demuestra que la carta vino de la dirección que dice que viene, y que nadie la modificó en el correo. Pero el sello no te dice si la persona que escribe es honesta, si miente, o si planea estafarte.
Alguien en la cafetería que observa tu actividad podrá ver que estás conectado a ejemplo.com, qué sitios visitas, y cuántos datos transmites. Pero no podrá leer tus contraseñas, tus mensajes privados, o lo que escribes en formularios. Sin HTTPS, todo eso sería visible.
Cómo tu navegador verifica la identidad del servidor
Tu navegador viene precargado con una lista de Autoridades de Certificación confiables. Cuando un servidor presenta su certificado, tu navegador verifica que esté firmado por una de esas autoridades conocidas. También comprueba que el certificado no haya expirado y que el nombre de dominio en el certificado coincida con el sitio que intentas visitar.
Si algo falla, ves una advertencia de seguridad. Esto ocurre cuando un certificado es falso, está expirado, o el dominio no coincide. A veces, estos errores son falsos positivos (un administrador olvidó renovar el certificado), pero generalmente son señales de alerta legítimas.
La cadena de confianza es jerárquica. Tu navegador confía en algunos CAs raíz. Estos emiten certificados a CAs intermedias, que a su vez emiten certificados a servidores específicos. Toda la cadena debe ser válida para que el navegador acepte la conexión.
Verificación adicional: registros de transparencia de certificados
En 2013, después de algunos incidentes en los que CAs fueron comprometidas, se creó el sistema Certificate Transparency (CT). Funciona como un registro público e inmutable de casi todos los certificados HTTPS emitidos. Si una CA rogue emite un certificado falso para un sitio importante, ese certificado aparecería en estos registros públicos, y los propietarios del sitio lo descubrirían.
Esto agrega una capa de vigilancia. No es perfecto, pero aumenta la dificultad de emitir certificados fraudulentos sin ser detectado.
Revocación de certificados: el problema sin resolver
Si un certificado es comprometido o debe ser anulado, existen mecanismos teóricos para revocarlo. Pero en la práctica, la revocación de certificados no siempre funciona bien. Los navegadores no siempre comprueban si un certificado ha sido revocado antes de establecer la conexión, porque hacerlo ralentizaría cada carga de página. Este es un tradeoff: velocidad versus seguridad perfecta.
Por qué HTTPS es especialmente crucial en Wi-Fi público
En una red Wi-Fi pública sin contraseña, cualquier persona con conocimiento técnico básico puede monitorear el tráfico de otros usuarios. Si visitas un sitio sin HTTPS (solo HTTP), todos en esa cafetería podrían leer exactamente lo que haces. HTTPS cifra esa conversación, creando un túnel privado incluso en una red públicamente compartida.
Sin embargo, el cifrado solo protege el contenido. Las personas aún pueden ver que te conectas a ejemplo.com, aunque no vean qué haces allí. Si eso es un problema para ti, otras herramientas más avanzadas existen, pero ese es otro tema.
En resumen
El candado HTTPS significa que tu conexión está cifrada y que el servidor ha demostrado su identidad de forma verificable. Es una protección real contra la interceptación, pero no es un sello de confiabilidad total. Siempre necesitas evaluar el sitio en sí: ¿es la URL correcta? ¿Tiene sentido lo que pide? ¿Reconoces la organización?
La próxima vez que veas ese candado, recuerda: protege tu conversación, no necesariamente a quién está al otro lado de la línea. Para profundizar, explora cómo funcionan los certificados digitales, qué son las Autoridades de Certificación, y cómo evaluar la reputación de un sitio web más allá del cifrado.
La respuesta es más matizada de lo que parece. El candado significa que tu conexión está encriptada y que el servidor ha demostrado su identidad de una forma verificable. Pero no significa automáticamente que el sitio web sea honesto, que no venda tus datos, o que no sea un sitio fraudulento bien disfrazado. Entender la diferencia es crucial para navegar internet con confianza real, no solo la ilusión de seguridad.
Qué sucede cuando visitas un sitio con HTTPS
Cuando escribes una URL en tu navegador, ocurre un proceso llamado TLS handshake (apretón de manos TLS). Es como esta analogía: imagina que quieres enviar una carta confidencial a alguien que no conoces en persona. Antes de escribir la carta, primero necesitas: (1) confirmar que estás hablando con la persona correcta, (2) acordar cómo cifrar el mensaje, y (3) asegurarte de que ambos puedan descifrar lo que el otro envía.
Tu navegador inicia la conversación diciendo: "Hola, quiero conectarme de forma segura". El servidor responde con su certificado digital, que es como un pasaporte criptográfico. Este certificado contiene la clave pública del servidor (un número largo que usarás para cifrar) y está firmado digitalmente por una Autoridad de Certificación (CA por sus siglas en inglés), una organización que tu navegador confía. La firma digital del certificado es verificable: tu navegador puede comprobar matemáticamente que ese certificado es auténtico.
Luego, tu navegador y el servidor acuerdan una clave de sesión, un número secreto que solo ellos conocen. Usarán esta clave para cifrar y descifrar todos los datos que se intercambien durante tu visita. Una vez que este proceso termina, el candado aparece en tu navegador.
Por qué el candado no significa que el sitio sea confiable
Esto es importante: el candado HTTPS verifica la identidad técnica del servidor, pero no dice nada sobre las intenciones de quién lo controla. Un sitio fraudulento que roba datos, un sitio legítimo que vende tu información a anunciantes, y un banco real pueden todos mostrar el mismo candado verde.
Pensalo así: el candado es como un sello notarial en una carta. Demuestra que la carta vino de la dirección que dice que viene, y que nadie la modificó en el correo. Pero el sello no te dice si la persona que escribe es honesta, si miente, o si planea estafarte.
Alguien en la cafetería que observa tu actividad podrá ver que estás conectado a ejemplo.com, qué sitios visitas, y cuántos datos transmites. Pero no podrá leer tus contraseñas, tus mensajes privados, o lo que escribes en formularios. Sin HTTPS, todo eso sería visible.
Cómo tu navegador verifica la identidad del servidor
Tu navegador viene precargado con una lista de Autoridades de Certificación confiables. Cuando un servidor presenta su certificado, tu navegador verifica que esté firmado por una de esas autoridades conocidas. También comprueba que el certificado no haya expirado y que el nombre de dominio en el certificado coincida con el sitio que intentas visitar.
Si algo falla, ves una advertencia de seguridad. Esto ocurre cuando un certificado es falso, está expirado, o el dominio no coincide. A veces, estos errores son falsos positivos (un administrador olvidó renovar el certificado), pero generalmente son señales de alerta legítimas.
La cadena de confianza es jerárquica. Tu navegador confía en algunos CAs raíz. Estos emiten certificados a CAs intermedias, que a su vez emiten certificados a servidores específicos. Toda la cadena debe ser válida para que el navegador acepte la conexión.
Verificación adicional: registros de transparencia de certificados
En 2013, después de algunos incidentes en los que CAs fueron comprometidas, se creó el sistema Certificate Transparency (CT). Funciona como un registro público e inmutable de casi todos los certificados HTTPS emitidos. Si una CA rogue emite un certificado falso para un sitio importante, ese certificado aparecería en estos registros públicos, y los propietarios del sitio lo descubrirían.
Esto agrega una capa de vigilancia. No es perfecto, pero aumenta la dificultad de emitir certificados fraudulentos sin ser detectado.
Revocación de certificados: el problema sin resolver
Si un certificado es comprometido o debe ser anulado, existen mecanismos teóricos para revocarlo. Pero en la práctica, la revocación de certificados no siempre funciona bien. Los navegadores no siempre comprueban si un certificado ha sido revocado antes de establecer la conexión, porque hacerlo ralentizaría cada carga de página. Este es un tradeoff: velocidad versus seguridad perfecta.
Por qué HTTPS es especialmente crucial en Wi-Fi público
En una red Wi-Fi pública sin contraseña, cualquier persona con conocimiento técnico básico puede monitorear el tráfico de otros usuarios. Si visitas un sitio sin HTTPS (solo HTTP), todos en esa cafetería podrían leer exactamente lo que haces. HTTPS cifra esa conversación, creando un túnel privado incluso en una red públicamente compartida.
Sin embargo, el cifrado solo protege el contenido. Las personas aún pueden ver que te conectas a ejemplo.com, aunque no vean qué haces allí. Si eso es un problema para ti, otras herramientas más avanzadas existen, pero ese es otro tema.
En resumen
El candado HTTPS significa que tu conexión está cifrada y que el servidor ha demostrado su identidad de forma verificable. Es una protección real contra la interceptación, pero no es un sello de confiabilidad total. Siempre necesitas evaluar el sitio en sí: ¿es la URL correcta? ¿Tiene sentido lo que pide? ¿Reconoces la organización?
La próxima vez que veas ese candado, recuerda: protege tu conversación, no necesariamente a quién está al otro lado de la línea. Para profundizar, explora cómo funcionan los certificados digitales, qué son las Autoridades de Certificación, y cómo evaluar la reputación de un sitio web más allá del cifrado.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ELECCIÓN DEL EDITOR
★★★★★ 9.5/10 · 6,000+ servers · Funciona en China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.