«Si es HTTPS, es seguro» ── lo oyes por todas partes en cuanto empiezas a aprender cómo funciona internet. Pero ¿hasta qué punto es verdad? Y el caso contrario: esa advertencia que a veces aparece, «La conexión a este sitio no es segura» ── ¿qué es exactamente lo que dice que no es seguro? Estas dos preguntas son, en realidad, las dos caras del mismo mecanismo. Si algo de esto te suena, sigue leyendo.
- Has oído que «HTTPS significa seguro» pero no sabes hasta dónde fiarte
- Has visto la advertencia de «No es seguro» pero no sabrías explicar cuál es el peligro real
- Miras el icono del candado en la barra de direcciones todos los días, pero te quedarías en blanco si te preguntaran qué significa
- Cifrado, certificados, autoridades de certificación… conoces las palabras, pero no para qué sirve cada una
Este artículo hace dos promesas. ① Nada de matemáticas ── las únicas herramientas que usaremos son una «caja secreta», un «candado» y un «documento de identidad». ② No nos quedaremos en cómo funciona: trazaremos la línea exacta entre lo que el candado protege y lo que no.
| Pregunta | Dónde se responde |
|---|---|
| ¿Qué hace peligroso a HTTP? | §1 |
| ¿Cómo se construye una caja que nadie puede leer? | §2 |
| ¿Cómo sabes que el otro lado es auténtico? | §3 |
| ¿Qué ocurre entre bambalinas al conectar? | §4 |
| ¿Hasta qué punto es verdad que «HTTPS es seguro»? | §5 |
| ¿Qué hago si aparece una página de advertencia? | FAQ Q2 |
En el recopilatorio de nuestra serie, ¿Qué ocurre entre que escribes una URL y aparece la página?, describimos el tráfico HTTPS como «un sobre sellado y cifrado». En este artículo descubrimos qué es realmente ese sello.
1. ¿Qué es exactamente lo que no está protegido en una conexión «no segura»? ── Tu contraseña, enviada de forma que cualquiera puede leerla
1-1. Un paquete HTTP es una postal, y todos en la ruta pueden leerla
Como vimos en el recopilatorio de la serie, una petición que envías a un sitio web sale de tu router doméstico, abandona tu pueblo (tu red) y se releva de pueblo en pueblo decenas de veces antes de llegar al servidor (→ ¿Qué ocurre entre que escribes una URL y aparece la página?).
Aquí está la parte importante: tú y el sitio web no sois los únicos dos participantes de este viaje. Quien comparte tu misma Wi-Fi, el operador del punto de acceso gratuito de la cafetería, los routers de cada pueblo del camino ── tu paquete pasa por muchas manos y muchas máquinas.
Una conexión http:// (sin S) hace este viaje en una postal. El destinatario, el remitente y el mensaje están escritos a la vista. Eso significa que cualquiera en la ruta que quiera mirar puede leer la contraseña que escribiste y el contenido de las páginas que ves, tal cual. La advertencia de «No es seguro» significa exactamente esto: «Estás a punto de enviar una postal. ¿Seguro que quieres?»
1-2. Leer es solo una parte ── las tres amenazas
Si ordenamos qué tiene de malo una postal, el peligro viene en tres formas.
- Espionaje (escucha) ── alguien en la ruta lee el contenido. Se filtran contraseñas, números de tarjeta y detalles de navegación
- Suplantación ── un sitio falso afirma «somos tu banco», y envías tus datos creyendo que es real
- Manipulación ── alguien en la ruta cambia el contenido. Si reescriben «la cuenta a la que transferir», nunca lo notarías
Postal (HTTP) vs caja secreta (HTTPS) ── lo que la ruta puede ver
HTTP (postal)
Tú ── postal ──> vecinos de Wi-Fi, routers de pueblos, puestos de control… ──> Sitio
△ Todos pueden leerla / puede sustituirse / sin prueba de quién está al otro lado
HTTPS (caja secreta)
Tú ── [caja] ────> vecinos de Wi-Fi, routers de pueblos, puestos de control… ──> Sitio
△ Solo el «destinatario» es visible
Contenido ilegible / sustituirla rompe el precinto / identidad verificada con documento
La S de HTTPS (Secure) es un servicio que bloquea las tres a la vez. Mete la conversación en una caja secreta (contra el espionaje), comprueba el documento de identidad del otro lado (contra la suplantación) y aplica un precinto que delata cualquier sustitución por el camino (contra la manipulación). A partir del §2 veremos cómo se construye la caja ── pero hay un rompecabezas escondido justo al principio: ¿cómo compartes con el otro lado la llave de la caja, para empezar?
2. Cómo construir la caja secreta ── Repartir candados abiertos (criptografía de clave pública)
2-1. El problema de la distribución de claves ── necesitas una llave para enviar una llave
«Cierra la caja con llave y envíala» es fácil de decir. Pero piénsalo: tú y el sitio web no os conocéis de nada. ¿Cómo compartís la llave de la caja (el código secreto del cifrado)?
¿Enviar la llave directamente? ── Si la llave viaja en postal, cualquiera en la ruta puede copiarla. Y una llave copiada abre la caja, lo que arruina todo el plan. «Para enviar una llave de forma segura necesitas primero un canal seguro. Para construir un canal seguro necesitas una llave.» Esta trampa circular se llama el problema de la distribución de claves, y tuvo en jaque a los criptógrafos durante muchísimo tiempo.
2-2. La invención: repartir candados abiertos ── cualquiera puede cerrarlos, pero solo el dueño puede abrirlos
La invención que rompió el círculo es la criptografía de clave pública. En metáfora, funciona así.
El sitio web reparte candados abiertos a quien los quiera. Cualquiera puede cerrar un candado de golpe ── pero una vez que hace clic, solo el sitio, que guarda la llave correspondiente (la clave privada), puede volver a abrirlo. No importa que el candado se copie: de un candado no se puede fabricar una llave.
Tomas el candado que el sitio te dio, lo cierras sobre tu caja y la envías de vuelta. Quien sea que maneje esa caja por el camino, no puede abrirla. La llave nunca viajó por la red, y sin embargo ya existe una caja segura ── el problema de la distribución de claves, resuelto.
El viaje de ida y vuelta del candado ── una caja secreta sin enviar nunca una llave
1. Sitio ──reparte un «candado abierto»──> Tú △ El candado puede verlo cualquiera
2. Tú ── metes un código secreto en la caja, cierras el candado ──> Sitio
△ Nadie en la ruta puede abrirla (solo el sitio tiene la llave)
3. Sitio ── la abre con su clave privada y saca el código secreto
4. Después ── ambos lados usan el código compartido para cajas rápidas, ida y vuelta △ Aquí empieza la conversación real
Una nota práctica: el método del candado (criptografía de clave pública) es seguro, pero el cálculo es pesado y lento. Por eso el HTTPS real funciona en dos etapas ── el candado se usa exactamente para un viaje de ida y vuelta, solo para entregar un «código secreto (clave compartida)», y desde ahí la conversación cambia a cajas rápidas cerradas con ese código (cifrado simétrico). Una caja fuerte pesada para entregar una sola llave, y después casilleros normales a toda velocidad ── un reparto de tareas.
«Con cifrado basta para estar seguro» ── no exactamente. Todo lo anterior garantiza que solo quien repartió el candado puede abrir la caja. Pero si ese alguien es tu banco de verdad o un impostor que dice ser tu banco, el mecanismo de la caja por sí solo no puede decírtelo. Los impostores también pueden repartir candados ── y eso es el §3, la otra mitad de lo que significa el icono del candado.
3. ¿Es auténtico el otro lado? ── Documentos de identidad (certificados) y la oficina emisora (autoridad de certificación)
3-1. Los sitios falsos también pueden repartir candados
Recuerda la amenaza ② del §1, la suplantación. Si un sitio falso clavado al original dice «Somos tu banco ── aquí tienes nuestro candado», cerrarás el candado del impostor sobre tu caja y enviarás tu precioso código secreto directamente al impostor. La caja funciona a la perfección, y entrega a la perfección a la persona equivocada ── el cifrado por sí solo es inútil contra la suplantación.
3-2. El certificado de servidor ── un documento de identidad con el sello de la oficina emisora
Así que HTTPS añadió una obligación más: todo candado debe venir acompañado de un documento de identidad. Es el certificado de servidor. El certificado dice «este candado pertenece al dueño de example.com» y lleva el sello de una oficina emisora (una autoridad de certificación, o CA). Una CA es una del puñado de organizaciones de confianza que hay en el mundo que verifican que «esta parte realmente posee este dominio» antes de emitir un certificado.
Tu navegador viene de fábrica con una lista de sellos de oficinas emisoras de confianza. Al conectar con un sitio, el navegador recibe primero el documento de identidad y lo verifica: ¿el sello es auténtico?, ¿ha caducado?, ¿el nombre de dominio escrito en él coincide con el sitio al que intentas llegar? Solo cuando todo pasa la verificación acepta el navegador el candado y empieza el intercambio de cajas ── el icono del candado en tu barra de direcciones es la señal de que las dos cosas están en su sitio: «caja secreta» más «identidad verificada».
Cuando tu navegador te detiene con una advertencia roja a pantalla completa, es porque esta verificación falló. El documento ha caducado, el sello no es de confianza, el nombre no coincide ── las razones varían, pero el significado es siempre el mismo: «No puedo confirmar quién es, así que no debe construirse ninguna caja.»
Un documento de identidad demuestra que «esta parte posee este dominio» ── y nada más. No demuestra que «esta parte sea honesta». Un estafador puede perfectamente conseguir un certificado legítimo para un dominio registrado a su nombre ── y este único hecho lleva directo al §5, las cosas que el candado no protege.
4. Qué ocurre en el instante de conectar ── Del apretón de manos al intercambio de cajas
4-1. Dónde encaja en el viaje ── el apretón de manos (handshake)
Pongamos las herramientas de este artículo sobre el viaje del recopilatorio. Escribes una URL, la guía telefónica (DNS) busca la dirección, y se forma una ruta para que tu paquete salga del pueblo y llegue al servidor. HTTPS entra justo después ── antes de enviar el primer paquete de verdad, los dos lados pasan por un breve ritual llamado apretón de manos (handshake).
- 1SaludoNavegador: «Quiero hablar en cajas secretas. Estos son los tipos de cierre que sé usar.»
- 2Control de identidadEl sitio presenta su certificado y su candado. El navegador verifica el sello de la oficina emisora, la fecha de caducidad y el nombre (§3).
- 3Compartir el código secretoLa caja con candado entrega de forma segura el código secreto (la clave compartida) (§2).
- 4Empiezan a fluir las cajasDesde aquí, cada petición y respuesta viaja dentro de cajas rápidas cerradas con el código compartido.
Estos cuatro pasos terminan en un instante que ni siquiera puedes sentir ── aproximadamente una décima de segundo o menos. Todo lo que haces mientras lees la página ocurre dentro de las cajas del paso 4.
4-2. Lo que los puestos de control pueden ver y lo que no ── respondiendo a la FAQ del recopilatorio
La FAQ del recopilatorio preguntaba: «¿Alguien puede leer el contenido del paquete por el camino?», y respondía: «solo la dirección es legible». Ahora podemos explicar por qué.
Los routers de cada pueblo, el puesto de control (firewall), la ventanilla de traducción (NAT) ── todos leen la etiqueta de destino por fuera, porque entregar el paquete lo exige; literalmente no podrían entregarlo de otro modo (→ ¿Qué pasa sin un firewall?). Pero el contenido sigue dentro de la caja secreta. «Con quién hablas» es visible como parte del enrutado del paquete; «qué dices» no lo ve nadie ── esa es la imagen precisa de HTTPS. El único que puede abrir la caja es el servidor al final del viaje. Qué es exactamente ese servidor resulta ser un tema fascinante por sí mismo, y lo guardamos para otro artículo.
5. Hay cosas que el candado no protege ── HTTPS no significa «sitio seguro»
5-1. Lo que sí protege, con precisión ── el canal entre tú y el sitio
Juntándolo todo: lo que HTTPS protege es el canal entre tú y el sitio. Las tres amenazas del §1 ── espionaje, suplantación y manipulación en la ruta ── quedan genuinamente bloqueadas por la combinación de caja secreta y documento de identidad. Incluso en la Wi-Fi de una cafetería, la probabilidad de que tu contraseña sea capturada en tránsito es hoy casi cero.
5-2. Lo que no protege ── más allá del canal, y fuera de él
Entonces, ¿hasta qué punto es verdad que «HTTPS es seguro»? La línea cae aquí: el canal está protegido. Lo que hay más allá del canal (la otra parte en sí) y fuera de él (la información de destino) no lo está.
| Protegido ✅ | No protegido ❌ | |
|---|---|---|
| Espionaje en la ruta | El contenido va en la caja ── ilegible incluso en Wi-Fi compartida | ── |
| Manipulación en la ruta | El precinto delata cualquier sustitución | ── |
| Suplantación del sitio | El documento confirma quién posee el dominio | ── |
| La honestidad del sitio | ── | Los sitios de estafa también consiguen certificados legítimos. El phishing con candado es completamente habitual |
| Ocultar el destino | ── | «Con qué sitio hablas» sigue siendo visible en la ruta |
| Tus datos tras la entrega | ── | Cómo maneja el sitio tu información queda fuera de la jurisdicción de la caja |
La cuarta fila es la que más importa. «Hay un candado, así que tiene que ser mi banco de verdad» es un error. El candado garantiza exactamente una cosa: «tienes un canal de caja secreta con el dueño del dominio que aparece en la barra de direcciones». Si el propio nombre de dominio es falso (digamos, una variante casi idéntica del verdadero, con una letra cambiada), la caja funciona impecablemente ── y te conecta directo con un estafador. Lo que debes comprobar no es si el candado está, sino si el nombre de dominio es realmente el que querías visitar.
5-3. Comparando coberturas ── cómo encajan VPN y DoH
Para quien ha seguido la serie, así se alinean los mapas de cobertura. El artículo sobre VPN tocó en un Tip la pregunta «si existe HTTPS, ¿para qué necesitamos una VPN?» ── HTTPS envuelve «un canal entre tu navegador y un sitio», mientras que una VPN envuelve «todo el tráfico que sale de tu PC, información de destino incluida». La cobertura es un nivel más amplia. Y hay una cosa más que el viaje del §4 dejó fuera de la caja ── la consulta a la guía telefónica (DNS). «Qué nombre buscaste» ha viajado tradicionalmente al descubierto, y el mecanismo que lo mete también en una caja es DoH, presentado en el §6 del artículo sobre DNS.
Resumen ── la esencia en 4 líneas
- HTTP es una postal: todos en la ruta pueden leerla, sustituirla o hacerse pasar por el destinatario ── eso significa «No es seguro»
- La caja secreta (cifrado): repartir candados abiertos crea una «caja que solo el dueño puede abrir» sin enviar nunca una llave
- El documento de identidad (certificado): el sello de la oficina emisora (CA) confirma «esta parte posee este dominio» antes de cualquier intercambio ── candado = caja + documento
- La línea: solo el canal está protegido. La honestidad del sitio, el destino y tus datos tras la entrega no lo están ── comprueba el nombre de dominio, no solo el candado
Para seguir completando el mapa de la maquinaria invisible: el viaje completo está en el recopilatorio de la serie, el puesto de control de la ruta es el artículo sobre firewalls, la caja más amplia es el artículo sobre VPN y la búsqueda de nombres es el artículo sobre DNS. Y la «tarjeta de socio» que viaja dentro de la caja es el tema del artículo sobre cookies.
FAQ
Q1. Si el candado está, ¿es seguro introducir información personal?
A. La respuesta precisa es «el canal es seguro; la otra parte es una cuestión aparte» (§5). Es muy improbable que la información que introduces sea capturada en tránsito. Pero si el sitio que la recibe es en sí una estafa, la caja no puede ayudarte. Antes de escribir nada, lo que hay que comprobar no es el candado sino si el nombre de dominio de la barra de direcciones es realmente el que pretendías (y no una variante casi idéntica). Abrir los sitios desde tus propios marcadores o la app oficial es el hábito más sólido que puedes construir.
Q2. Un sitio que muestra «No es seguro», ¿es peligroso incluso solo para mirar?
A. Si solo miras, el daño práctico es limitado ── lo que viste es visible en la ruta, y el contenido mostrado podría en principio sustituirse. Pero nunca escribas nada en él: sería escribir tu contraseña en una postal (§1). Para un sitio informativo antiguo que dispara la advertencia, «solo leer, no introducir nada, no descargar nada» es una regla perfectamente razonable ── no hace falta entrar en pánico.
Q3. La web estaba llena de sitios HTTP ── ¿por qué ahora casi todo es HTTPS?
A. Dos fuerzas actuaron a la vez. ① Llegó la emisión gratuita de certificados, y el coste del documento de identidad (dinero y esfuerzo) se desplomó. ② Los navegadores cambiaron de política y empezaron a advertir a los visitantes sobre los sitios sin HTTPS, de modo que quedarse en HTTP significaba que tus visitantes veían «No es seguro» junto a tu nombre. Más que volverse la web más segura, lo que pasó es que las postales dejaron de ser aceptables.
Q4. ¿El administrador de la red de mi empresa, o un proveedor de VPN, puede ver dentro de mi tráfico HTTPS?
A. Como regla, no ── solo el servidor de destino puede abrir la caja, y eso vale igual dentro de una red de empresa y dentro de un túnel VPN. Lo que los administradores sí ven es la información de destino: «quién habló con qué sitio, y cuándo» (§4-2). Hay una excepción: en un PC de empresa, el tráfico puede pasar por una inspección intermedia que abre cada caja y la vuelve a cerrar (posible porque la empresa preinstala su propio «sello de oficina emisora» en la máquina). En dispositivos de empresa, lo prudente es asumir que el contenido también puede verse.
Q5. ¿Qué es el «puerto 443» que siempre aparece alrededor de HTTPS?
A. Es un «número de ventanilla» en el edificio del servidor. Las postales (HTTP) van a la ventanilla 80, las cajas secretas (HTTPS) van a la ventanilla 443 ── mostradores de recepción separados. Cuando el puesto de control (firewall) aplica reglas como «dejar pasar solo el tráfico para la ventanilla 443», este es el número que mira. Los números de ventanilla (números de puerto) dan para un artículo propio, y planeamos cubrirlos en el futuro.
Deja una respuesta