Si alguna vez te has preguntado que significa el candado en una página web, debes saber que el candado que aparece en la barra de direcciones de tu navegador indica que la conexión entre tu dispositivo y ese sitio web está cifrada mediante el protocolo HTTPS. Los datos que envías y recibes viajan encriptados: nadie que intercepte la comunicación en el camino puede leerlos. Sin embargo, el candado no certifica que el sitio sea legítimo ni que la empresa detrás de él sea honesta. Esta distinción es la que más confusión genera, y la que más aprovechan los ciberdelincuentes.
Qué es el protocolo HTTPS y por qué activa el candado
HTTPS (Hypertext Transfer Protocol Secure) es la versión cifrada del protocolo HTTP estándar que usan los navegadores para comunicarse con los servidores web. Para que un sitio pueda usar HTTPS, necesita tener instalado un certificado SSL/TLS, que es un documento digital que verifica la identidad del servidor y activa el cifrado de la conexión.
Cuando accedes a un sitio con HTTPS, tu navegador y el servidor realizan en milisegundos lo que se conoce como un «protocolo de enlace SSL» o SSL handshake: un intercambio de claves criptográficas que establece un canal seguro para esa sesión. A partir de ese momento, toda la información que se transmite entre tú y el servidor viaja encriptada. Aunque alguien consiguiera interceptarla, solo vería datos incomprensibles sin la clave de descifrado.
El resultado visible de todo este proceso es el icono que aparece junto a la URL en la barra de direcciones. Históricamente era un candado cerrado, pero desde septiembre de 2023 Google Chrome lo sustituyó por un icono más neutro (un pequeño símbolo de ajustes o información), precisamente porque el candado generaba una falsa sensación de seguridad total entre los usuarios.
El candado no significa que el sitio sea seguro
Esta es la confusión más peligrosa y, a la vez, la más extendida. El candado confirma que la comunicación entre tú y el sitio está cifrada. No confirma nada sobre el sitio en sí mismo. Un sitio de phishing perfectamente diseñado para robar tus credenciales puede tener certificado SSL y mostrar el icono de conexión segura, y técnicamente no estaría mintiendo: los datos que introduces viajan cifrados, sí, pero directamente hacia los delincuentes.
Los datos son contundentes. Según el informe de la Anti-Phishing Working Group (APWG), en 2023 más del 90% de los sitios web de phishing utilizaron el protocolo HTTPS, lo que supone un aumento del 40% respecto a 2019. Obtener un certificado de tipo básico es gratuito (organizaciones como Let’s Encrypt los emiten en cuestión de minutos de forma automatizada), por lo que no representa ningún obstáculo para quien quiere dar una apariencia de legitimidad a un sitio fraudulento.
Por su parte, un estudio de Google reveló que solo el 11% de los usuarios entendía correctamente el significado del icono del candado. El 89% restante lo interpretaba como una garantía de que el sitio era seguro y de confianza, cuando en realidad solo describe el protocolo de comunicación. La conclusión práctica es clara: una web sin HTTPS es siempre insegura para transmitir datos y una web con HTTPS no es automáticamente de confianza. El certificado SSL es condición necesaria pero no suficiente para garantizar la seguridad.
Los tres tipos de certificado SSL que puedes encontrar
No todos los certificados SSL ofrecen el mismo nivel de garantía. Existen tres categorías según el grado de verificación que exige la autoridad certificadora, y entender la diferencia te ayudará a calibrar mejor qué tipo de sitio tienes delante.
El certificado de validación de dominio (DV) es el más común y el que genera más confusión. Solo verifica que el solicitante controla ese dominio, sin comprobar nada sobre la empresa o persona detrás de él. Es gratuito, se obtiene en minutos y es el que usan tanto sitios legítimos pequeños como páginas fraudulentas. Cuando ves el icono de conexión segura en un sitio que no conoces, lo más probable es que lleve un DV.
El certificado de validación de organización (OV) exige además verificar los datos reales de la empresa: nombre legal, dirección, número de registro. El proceso lleva días y conlleva un coste. Al hacer clic en el icono del navegador, puedes ver el nombre de la empresa verificada en los detalles del certificado. Es el estándar habitual en empresas medianas y grandes.
El certificado de validación extendida (EV) es el nivel más riguroso y el que históricamente mostraba el nombre de la empresa en verde directamente en la barra de direcciones (ahora la mayoría de navegadores han reducido esa visibilidad visual). Exige un proceso de auditoría exhaustivo y es el estándar en entidades financieras, organismos públicos y sitios que procesan datos especialmente sensibles. Su coste es significativamente mayor que los anteriores.
Por qué Chrome eliminó el candado clásico en 2023
Google tomó la decisión de retirar el icono de candado de Chrome con la versión 117, lanzada en septiembre de 2023, y otros navegadores principales han seguido una evolución similar. El nuevo icono, un pequeño símbolo que recuerda a un botón de ajustes o información, es deliberadamente menos evocador de «seguridad» para no inducir a los usuarios a una confianza automática.
La justificación de Google fue directa: el candado estaba haciendo más daño que bien. En sus propias investigaciones comprobaron que el 89% de los usuarios lo interpretaba erróneamente como un sello de aprobación del sitio, cuando solo describe el cifrado del canal de comunicación. Al adoptar un icono más neutro, se busca que los usuarios no den por seguro un sitio simplemente por el símbolo, sino que presten atención al contenido, al dominio y a otros indicadores reales de confianza.
Lo que no cambia es la funcionalidad técnica: al hacer clic en ese icono, puedes seguir accediendo a los detalles completos del certificado instalado (tipo, autoridad emisora, fecha de caducidad, nombre de la organización si es OV o EV) y a información sobre cookies y permisos del sitio. Si alguna vez tienes dudas sobre un sitio concreto, esos detalles son mucho más informativos que el propio icono.
Cómo verificar si una web es realmente de confianza
La presencia de HTTPS es el punto de partida, no el de llegada. Para evaluar si un sitio es realmente fiable antes de introducir datos personales o realizar una compra, hay una serie de comprobaciones que vale la pena hacer sistemáticamente.
Lo primero es revisar el dominio con atención. Las campañas de phishing más sofisticadas no replican una URL al pie de la letra, sino que la imitan con cambios casi imperceptibles: sustituir la letra «i» minúscula por una «L» mayúscula, añadir un guion en el medio, o usar un dominio de nivel superior diferente al del sitio original. Un segundo de atención a la barra de direcciones puede evitar un fraude.
Lo segundo es buscar información de empresa real. Cualquier sitio legítimo debe tener una sección de contacto con dirección física verificable, número de teléfono y correo corporativo con dominio propio (no una cuenta de Gmail o Outlook). La ausencia de aviso legal, política de privacidad o condiciones de contratación es una señal de alerta mayor, especialmente en tiendas online. Si esas secciones existen pero están vacías, mal escritas o copiadas de otro sitio, la señal de alerta es aún más clara.
Lo tercero es fijarse en el diseño y el contenido. Los sitios fraudulentos suelen tener errores de ortografía, traducciones automáticas deficientes, imágenes de baja resolución o inconsistencias de estilo que delatan que son copias rápidas. Un diseño descuidado en un contexto donde se piden datos sensibles debe hacernos detener el proceso.
Si aún hay dudas después de estas comprobaciones, herramientas como VirusTotal permiten analizar cualquier URL en tiempo real contra las bases de datos de más de 70 proveedores de antivirus y seguridad. Es gratuita y no requiere registro. Para ir un paso más allá, servicios como Fakeinet están específicamente orientados a detectar tiendas falsas y páginas de phishing, evaluando criterios como la ausencia de datos de empresa, la presencia de únicamente métodos de pago con tarjeta o la falta de perfiles en redes sociales reales.
El impacto del certificado SSL en el posicionamiento en Google
El certificado SSL no solo protege a los usuarios: también afecta directamente al posicionamiento orgánico de un sitio web. Desde 2014, Google usa el HTTPS como señal de ranking. Desde 2018, Chrome comenzó a marcar como «No seguros» todas las páginas HTTP en las que se puede introducir texto, lo que dispara la tasa de rebote y deteriora las métricas de comportamiento del usuario que Google utiliza para evaluar la calidad de un sitio.
Un sitio sin HTTPS pierde simultáneamente en tres frentes: recibe una penalización implícita en el algoritmo de Google, genera advertencias en el navegador que alejan a los usuarios antes de que cargue el contenido, y no puede recibir datos de formulario de forma segura. Para cualquier empresa que quiera tener presencia online efectiva, el certificado SSL no es un complemento: es el mínimo técnico necesario para que el resto del trabajo de posicionamiento tenga sentido.
En Verko, cuando diseñamos o migramos un sitio web, la configuración correcta del certificado SSL es uno de los primeros pasos del proceso técnico, junto con la revisión de velocidad de carga, la estructura de URLs y la arquitectura de navegación. Si quieres saber si tu web está correctamente configurada en estos aspectos, nuestro equipo de diseño y desarrollo web puede hacer una valoración técnica inicial sin compromiso.
Preguntas frecuentes sobre el candado en páginas web
¿Qué significa exactamente el candado (o el icono que lo sustituyó) en la barra del navegador de una página web?
Indica que la conexión entre tu navegador y el servidor del sitio está cifrada mediante el protocolo HTTPS. Los datos que transmites en esa sesión no pueden ser leídos por terceros durante el tránsito. No indica nada sobre la legitimidad del sitio ni sobre lo que la empresa detrás de él hará con tus datos una vez los reciba.
¿Puede un sitio fraudulento tener el icono de conexión segura?
Sí, y es cada vez más habitual. En 2023, más del 90% de los sitios de phishing utilizaban HTTPS, según la APWG. Los certificados de validación de dominio (DV) son gratuitos y se obtienen en minutos, por lo que representan prácticamente ningún obstáculo para quien quiere dar una apariencia de legitimidad a una página de fraude.
¿Por qué Chrome ya no muestra el candado clásico?
Google lo eliminó en 2023 porque sus propias investigaciones mostraron que el 89% de los usuarios lo interpretaba erróneamente como una garantía de seguridad total del sitio. Al sustituirlo por un icono más neutro, se busca reducir esa confusión. El cifrado HTTPS sigue funcionando igual; solo cambia cómo se comunica al usuario.
¿Cómo puedo verificar que una web es realmente de confianza?
Revisa que el dominio sea exacto (sin errores tipográficos ni sustituciones de caracteres), que el sitio tenga información de empresa real y verificable (aviso legal, dirección física, contacto con dominio corporativo propio), y que el contenido y el diseño sean coherentes. Si tienes dudas, puedes analizar la URL con herramientas gratuitas como VirusTotal antes de introducir ningún dato.
¿Afecta el certificado SSL al posicionamiento en Google?
Sí. Google incorporó el HTTPS como señal de ranking en 2014 y desde 2018 muestra advertencias de «No seguro» en páginas HTTP donde se pueden introducir datos. Un sitio sin certificado SSL activo recibe una penalización implícita en el posicionamiento orgánico y genera fricciones de usuario que deterioran otras métricas de comportamiento que Google también evalúa.