Si un sitio muestra el candado / HTTPS, ¿es seguro?
Respuesta breve
No. El candado significa que el transporte está cifrado y que el certificado es válido para ese dominio: no dice nada sobre si el operador es honesto o el contenido es malicioso. Los certificados gratuitos y automatizados hacen que los sitios de phishing y malware casi siempre tengan también un candado perfectamente válido. HTTPS protege el canal, no el destino.
Esta es una trampa de concienciación de usuarios que pilla incluso a personas técnicas, porque «busca el candado» fue un consejo de seguridad durante una década. El entrevistador quiere ver si entiendes qué certifica realmente ese candado.
Qué significa realmente el candado
El candado indica dos cosas y solo dos: la conexión está cifrada con TLS, y el navegador validó con éxito un certificado que coincide con el dominio que estás visitando. Eso es todo. Es una afirmación sobre el canal, no sobre el carácter del sitio. Una conexión cifrada con un criminal sigue siendo una conexión cifrada.
Por qué «certificado válido» ya no es una señal de confianza
Los certificados de validación de dominio son gratuitos y automatizados (p. ej. mediante ACME/Let's Encrypt). Un atacante registra un dominio parecido, obtiene un certificado en segundos y monta una página de phishing con un candado impecable. Los estudios han demostrado que una gran parte de los sitios de phishing usa ahora HTTPS, en parte porque el candado tranquiliza a las víctimas. El distractor que afirma que los certificados requieren una «revisión de seguridad» describe un proceso que no existe para el DV.
Qué señala realmente la confianza
El propio nombre de dominio (léelo con cuidado en busca de typosquatting), la reputación del operador, y la verificación fuera de banda. Los navegadores incluso eliminaron la antigua «barra verde EV» porque los usuarios no podían interpretarla de forma fiable.
Qué buscan los entrevistadores
Un «no» firme, la distinción canal frente a destino, y el ejemplo demoledor: los sitios de phishing también tienen certificados válidos. Los candidatos que equiparan candado con seguridad revelan un modelo mental anticuado.
Posibles preguntas de seguimiento
- ¿Qué prueba exactamente un certificado de validación de dominio (DV), y qué no prueba?
- ¿Por qué los navegadores dejaron de mostrar las «barras verdes EV» de los certificados de validación extendida?
- ¿Cómo juzgas realmente si un sitio es de fiar?