Durante años nos enseñaron a buscar el candado antes de introducir datos en una web, como si fuera un sello de confianza. Hoy casi todos los sitios lo tienen, incluidos muchísimos sitios fraudulentos. Entender qué protege realmente HTTPS —y qué no— es clave para no bajar la guardia en el momento equivocado.

Qué es HTTPS y qué garantiza de verdad

HTTPS es una versión cifrada del protocolo con el que tu navegador se comunica con un servidor web. El candado que aparece junto a la dirección significa, exclusivamente, dos cosas:

  • Que la información que envías (contraseñas, datos de tarjeta, mensajes) viaja cifrada y no puede ser leída fácilmente por alguien que intercepte la conexión, como en una red wifi pública.
  • Que estás conectado realmente al servidor que corresponde a ese dominio, y no a un impostor que se ha colocado en medio de la comunicación.

Eso es todo. HTTPS protege el canal por el que viajan los datos. No dice nada sobre quién está al otro lado ni sobre lo que esa empresa o persona hará con tu información una vez la reciba.

Por qué los estafadores también usan HTTPS

Obtener un certificado HTTPS es hoy gratuito, automático y cuestión de minutos para cualquier dominio, sea legítimo o no. Muchas herramientas de creación de webs lo activan por defecto. Esto significa que una tienda falsa, una web de phishing que imita a un banco o un sitio de inversión fraudulento pueden tener el candado exactamente igual que un comercio serio.

De hecho, una gran parte de los sitios de phishing detectados hoy en día usan HTTPS, precisamente porque saben que muchos usuarios lo interpretan como sinónimo de "seguro". El candado se ha convertido, en cierto modo, en una falsa sensación de tranquilidad.

Lo que el candado NO te dice

  • No confirma la identidad real del negocio. No garantiza que la empresa exista legalmente, que tenga una dirección física verificable o que responda a reclamaciones.
  • No garantiza que los productos existan o lleguen. Una tienda con candado puede cobrar sin enviar nunca el pedido.
  • No dice nada sobre las políticas de devolución, privacidad o uso de tus datos. Eso depende de la empresa, no del cifrado.
  • No impide que el sitio contenga contenido engañoso, precios falsos o reseñas fabricadas. El cifrado protege el transporte de los datos, no la honestidad del contenido.
  • No es un antivirus. Un sitio con HTTPS puede seguir intentando que descargues software malicioso o que instales una extensión fraudulenta.

Los certificados "de validación extendida" y otros matices

Antiguamente existían certificados que mostraban el nombre de la empresa en verde junto al candado, tras una verificación más exhaustiva. Hoy la mayoría de navegadores ya no muestran esa distinción de forma visible, y la mayoría de certificados que ves son de validación básica: solo confirman que quien solicitó el certificado controla ese dominio, nada más sobre quién es esa persona o empresa.

Entonces, ¿qué señales sí importan?

El candado es un requisito mínimo razonable, pero conviene combinarlo con otras comprobaciones:

  • Revisa la dirección exacta del dominio. Faltas de ortografía, dominios extraños (terminaciones poco habituales) o subdominios sospechosos son señal de alerta, tenga o no HTTPS.
  • Busca información de contacto real: dirección física, teléfono, datos legales de la empresa. Su ausencia es una señal de alerta.
  • Investiga la reputación del sitio fuera de la propia web: búsquedas independientes, foros, reseñas en plataformas externas, o herramientas de verificación de reputación como esta.
  • Desconfía de la urgencia y de ofertas demasiado buenas. Descuentos enormes, cuentas atrás agresivas o presión para pagar rápido son tácticas comunes de sitios fraudulentos, con o sin candado.
  • Comprueba el método de pago. Un comercio serio suele ofrecer opciones de pago con protección al comprador; que solo acepten transferencia directa o criptomonedas es una alerta importante.
  • Fíjate en cómo llegaste al sitio. Un enlace recibido por SMS, redes sociales o correo no solicitado merece más escrutinio que uno buscado directamente.

En resumen

El candado te dice que nadie está espiando lo que envías por el camino, pero no te dice absolutamente nada sobre la honestidad de quien recibe esos datos. Es una condición necesaria, no suficiente. La próxima vez que dudes de un sitio, no te quedes solo con el candado: mira el dominio completo, busca información verificable sobre la empresa y comprueba su reputación antes de introducir tus datos o tu dinero.