Inicio/ Blog/ HTTP vs HTTPS
Educación

HTTP vs HTTPS:
por qué el candado
no es suficiente

18 mayo 2026 · 5 min de lectura Educación

"Mi web tiene el candado, así que es segura." Es una frase que escuchamos con frecuencia — y es incorrecta. El candado verde (HTTPS) protege una cosa muy concreta, y deja muchas otras completamente sin protección. Te explicamos exactamente qué es cada cosa.

¿Qué es HTTP y qué es HTTPS?

HTTP (HyperText Transfer Protocol) es el protocolo que usan los navegadores para comunicarse con los servidores web. Cuando visitas una web, tu navegador le dice al servidor "dame esta página" y el servidor responde con el contenido. Todo esto viaja en texto plano — cualquiera que esté en la misma red puede leerlo.

HTTPS es exactamente lo mismo, pero con una capa de cifrado encima (TLS, antes llamado SSL). Ese cifrado garantiza que la comunicación entre tu navegador y el servidor no puede ser interceptada ni modificada por terceros.

🔓

HTTP

  • Tráfico en texto plano
  • Interceptable en redes públicas
  • Sin verificación del servidor
  • Google lo penaliza en SEO
🔒

HTTPS

  • Tráfico cifrado en tránsito
  • Difícil de interceptar
  • Verifica la identidad del servidor
  • Requerido por Google para SEO

¿Qué NO protege HTTPS?

Aquí está el malentendido más peligroso. HTTPS protege el canal de comunicación — el "tubo" por donde viajan los datos. Pero no protege lo que hay dentro de tu aplicación. Un sitio HTTPS puede tener:

🩸
SQL Injection

Un formulario de tu web puede ser vulnerable a inyecciones SQL aunque tenga candado. HTTPS no valida los datos que recibe tu servidor.

🔓
Paneles de admin expuestos

Tu /wp-admin o /admin siguen siendo accesibles para todo el mundo aunque uses HTTPS.

🪲
Código con vulnerabilidades

Plugins desactualizados, librerías con CVEs conocidos, funciones PHP inseguras... nada de esto lo protege HTTPS.

💾
Datos mal almacenados

Si tu base de datos guarda contraseñas en texto plano o sin cifrado adecuado, HTTPS no lo remedia.

🎭
XSS y CSRF

Ataques que se ejecutan en el navegador del usuario no están bloqueados por el cifrado del transporte.

Qué debes revisar además del candado

1
Headers de seguridad HTTP

Content-Security-Policy, X-Frame-Options, Strict-Transport-Security... Son configuraciones del servidor que añaden capas de protección. Puedes verificarlos gratis en securityheaders.com.

2
Versión del certificado TLS

No basta con tener HTTPS — debe usar TLS 1.2 o 1.3. Las versiones antiguas (SSL 3.0, TLS 1.0) tienen vulnerabilidades conocidas.

3
Redirección completa de HTTP a HTTPS

Cualquier URL de tu web con http:// debe redirigir automáticamente a https://. Si no lo hace, parte del tráfico viaja sin cifrar.

4
HSTS activado

HTTP Strict Transport Security le indica al navegador que nunca use HTTP con tu dominio, ni siquiera la primera vez.

5
Certificado correcto y vigente

Un certificado caducado o mal configurado hace saltar alarmas en el navegador y destruye la confianza del usuario.

Resumen en una frase

HTTPS garantiza que nadie intercepta la comunicación entre el usuario y tu servidor. No garantiza que lo que hay en tu servidor sea seguro.

¿Quieres saber el estado real de seguridad de tu web?

Analizamos headers, certificados, configuraciones y vulnerabilidades de aplicación. Informe completo en 5-7 días.

Ver auditoría web →
¿Tu web está bien configurada?

Revisamos headers, certificados y vulnerabilidades

Auditoría web completa con informe ejecutivo y técnico. Respuesta en menos de 24 horas.

Solicitar auditoría Ver precios
Kodia Asistente
En línea
¡Hola! 👋 Soy el asistente de Kodia. ¿En qué puedo ayudarte?