El candado de la barra de direcciones: qué significa de verdad
Casi todo el mundo cree que el candado significa "esta web es segura y de fiar". No es así — y creerlo te puede salir caro. Te explico qué indica de verdad, por qué Chrome lo ha quitado y qué señales sí debes vigilar.
El candado significa que la conexión con la web está cifrada (usa HTTPS): lo que envías viaja protegido y nadie puede espiarlo por el camino. NO significa que la web sea de fiar. Una web fraudulenta también puede tener candado. Por eso Chrome lo sustituyó en 2023 por un icono de ajustes: demasiada gente lo confundía con un sello de confianza.
Pulsa cada icono de abajo para ver qué significa de verdad cada estado que te puede aparecer en la barra de direcciones. Luego te lo explico en detalle.
Guía visual: estados de la barra de direcciones
Pulsa un icono para ver qué significa y qué hacer.
Qué significa de verdad el candado
El candado indica una sola cosa: que la conexión entre tu navegador y la web va cifrada mediante un certificado SSL (eso es la "S" de HTTPS). En cristiano: lo que escribes en esa web —una contraseña, los datos de tu tarjeta— viaja codificado, de forma que nadie que esté "escuchando" la red (en un wifi público, por ejemplo) pueda leerlo. Es como meter la carta en un sobre sellado en vez de mandar una postal que cualquiera puede leer.
Eso es útil e importante. Pero fíjate en lo que no dice: no dice nada sobre quién está al otro lado del sobre ni si es buena gente.
El error peligroso: candado no es lo mismo que web de fiar
Aquí está la confusión que aprovechan los estafadores. Conseguir un certificado SSL hoy es gratis y automático, así que las webs de phishing también ponen su candado. Un clon perfecto de la web de tu banco puede lucir su candadito verde mientras te roba las credenciales. De hecho, según la APWG, más del 90% de las webs de phishing ya usan HTTPS precisamente porque saben que el candado da una falsa sensación de seguridad.
El candado te dice que la conexión es privada, no que el destinatario sea honesto. Una conversación cifrada con un estafador sigue siendo una conversación con un estafador.
¿Cómo juzgas entonces si una web es de fiar? Mira la dirección exacta (que el dominio sea el real, sin letras cambiadas tipo "banc0" con cero), desconfía de los enlaces que te llegan por correo o SMS, y fíjate en señales de un negocio real: aviso legal, datos de contacto, reputación. El candado es lo de menos.
Por qué Chrome quitó el candado
Justo por todo esto, en 2023 Google empezó a retirar el icono del candado en Chrome y a sustituirlo por un icono de ajustes (dos controles deslizantes). El motivo oficial: estudios propios demostraron que casi nadie entendía bien qué significaba el candado, y mucha gente lo leía como "esta web es de confianza", que es justo lo que no quiere decir. Edge y otros navegadores han ido en la misma dirección. Así que si te preguntabas por qué ha desaparecido el candado que veías siempre: no es un fallo, es a propósito.
Los estados que sí debes vigilar
Olvídate de celebrar el candado y aprende a reaccionar ante estos dos, que sí importan:
"No seguro" (sin candado). Significa que la web va por HTTP, sin cifrar. Para leer un blog da igual, pero no introduzcas nunca contraseñas ni datos de pago en una web marcada como "No segura": podrían interceptarse. Si es tu propia web la que sale así, te falta el certificado HTTPS y hay que ponerlo ya.
Pantalla roja de advertencia. Cuando Google ha detectado malware o phishing en una web, te muestra un aviso a pantalla completa antes de dejarte entrar. Hazle caso siempre: cierra la pestaña y no continúes.
Y si es tu web: necesitas HTTPS
Cambiemos de perspectiva. Si tienes un negocio y tu web sale como "No segura", tienes un problema doble. Primero, de confianza: nadie va a comprarte ni a dejarte sus datos si el navegador le avisa de peligro. Y segundo, de posicionamiento: Google lleva años usando el HTTPS como factor de ranking y penaliza en la práctica a las webs sin cifrar. La buena noticia es que hoy poner HTTPS es rápido y casi siempre gratis (la mayoría de alojamientos incluyen el certificado). Si no sabes si tu web lo tiene o te sale "No seguro", es de las primeras cosas que conviene arreglar.
Lo reviso y te pongo el HTTPS bien puesto, sin contenido mixto ni avisos raros, para que recuperes la confianza de tus visitas y no te penalice Google. Suele ser cuestión de poco.
Que revise mi webPreguntas frecuentes
¿El candado significa que la web es segura?
No del todo. Significa que la conexión está cifrada (HTTPS), no que la web sea legítima ni de fiar. Webs fraudulentas también tienen candado. Para juzgar la confianza, fíjate en la dirección exacta, en cómo llegaste y en si es un negocio real, no en el candado.
¿Por qué Chrome ya no muestra el candado?
Porque Google comprobó que casi nadie entendía qué significaba y mucha gente lo confundía con un sello de confianza. En 2023 empezó a sustituirlo por un icono de ajustes. No es un error de tu navegador: es un cambio intencionado.
¿Qué hago si una web aparece como "No segura"?
Puedes leerla, pero no introduzcas contraseñas ni datos de pago: irían sin cifrar y podrían interceptarse. Si es tu propia web la que sale así, significa que le falta el certificado HTTPS y deberías ponerlo cuanto antes.
¿Mi web necesita el candado (HTTPS)?
Sí, hoy es imprescindible. Sin HTTPS, los navegadores marcan tu web como "No segura" y espantas a las visitas. Además, casi todos los alojamientos incluyen el certificado gratis, así que no hay excusa para no tenerlo.
¿El HTTPS afecta al posicionamiento en Google?
Sí. Google usa el HTTPS como señal de ranking desde hace años y, en la práctica, las webs sin cifrar quedan en desventaja. No es el factor más potente, pero sí uno de los básicos que conviene tener resuelto antes que nada.
Soy Rubén Romay, consultor de marketing y web en Mallorca. Reviso la seguridad y el SEO técnico de tu web para que inspire confianza y Google no te penalice. Sin tecnicismos.
Hablar por WhatsApp