¿Oculta HTTPS a tu ISP o a tu red qué sitio web visitas?
Respuesta breve
En gran medida no. El nombre de host de destino se envía en claro en la extensión SNI del ClientHello de TLS, y tu consulta DNS suele revelarlo también, de modo que un ISP o una red pueden ver QUÉ sitio visitas incluso por HTTPS — solo que no pueden leer la ruta ni el contenido. El ClientHello cifrado (ECH) y el DNS-over-HTTPS pueden cerrar esta brecha, pero no son universales. «HTTPS lo oculta todo» es la idea equivocada.
«HTTPS significa que nadie puede ver a dónde voy» es una de las ideas equivocadas más comunes en seguridad, y los entrevistadores la usan para comprobar si entiendes qué protege realmente TLS.
Qué cifra y qué no cifra HTTPS
HTTPS cifra la carga útil de la capa de aplicación: la ruta de la petición, las cabeceras, las cookies, el cuerpo y la respuesta. Un fisgón no puede leer la URL después del dominio ni tus datos. Pero la conexión tiene que establecerse primero, y varios detalles de esa configuración son visibles. El ClientHello de TLS lleva una extensión Server Name Indication (SNI) — el nombre de host de destino en texto claro — para que un servidor que aloja muchos sitios en una sola IP pueda presentar el certificado correcto. Cualquiera en el cable lo lee.
El DNS lo empeora
Antes incluso de que comience el handshake de TLS, tu cliente suele realizar una consulta DNS para el nombre de host, y el DNS clásico es UDP/53 sin cifrar. Así que la red a menudo conoce el nombre de host dos veces: una por el DNS, otra por el SNI. Incluso la dirección IP de destino en la cabecera IP siempre es visible.
Qué cierra realmente la brecha
Dos tecnologías ayudan. El ClientHello cifrado (ECH) cifra el SNI dentro del handshake, y el DNS-over-HTTPS (DoH) o DNS-over-TLS oculta la consulta. Con ambos desplegados, al observador apenas le queda la IP — e incluso entonces, el análisis de tráfico (tiempos, tamaños de paquetes y correspondencias IP-a-sitio para sitios que no están detrás de grandes CDN) todavía puede filtrar el destino. Ni ECH ni DoH están desplegados universalmente en 2026.
Por qué tientan los distractores
Las opciones «sí, TLS cifra el nombre de host» suenan correctas para quien cree que el cifrado es todo o nada. La respuesta «el SNI se cifra tras el handshake» confunde el ClientHello desprotegido con los registros cifrados posteriores — pero el SNI se envía antes de que existan las claves.
Qué buscan los entrevistadores
Un «no, en gran medida no» claro, más los dos canales de fuga (SNI y DNS) y los nombres ECH/DoH como mitigaciones. Eso demuestra que razonas sobre el protocolo, no sobre el marketing.
Posibles preguntas de seguimiento
- ¿Qué es el ClientHello cifrado (ECH) y qué brecha cierra?
- ¿Por qué el DNS en claro sigue filtrando el nombre de host aunque el SNI estuviera oculto?
- ¿Puede un observador deducir el sitio a partir de la IP y el tamaño del tráfico incluso sin SNI?