Abre tu web ahora mismo y mira la barra del navegador. Si ves un candado junto a la URL, bien. Si ves las palabras "No seguro" —en Chrome aparecen literalmente en la barra de dirección, antes incluso de que el usuario haya leído una sola línea de tu página— tienes un problema serio. No técnico. De negocio.
Porque lo que le pasa a mucha gente cuando ve ese aviso es simple: cierra la pestaña. No investiga, no le da el beneficio de la duda, no llama para preguntar. Se va. Y tú nunca sabes que estuvo ahí. El certificado SSL —lo que hace que tu web tenga HTTPS en vez de HTTP— no es un capricho de informático ni algo que "ya arreglarás cuando tengas tiempo". Es la primera prueba de confianza que supera o suspende tu web cada vez que alguien llega a ella.
Qué es realmente el certificado SSL (sin tecnicismos)
Imagínate que mandas una carta con información personal por correo ordinario, sin sobre. Cualquier persona que la maneje por el camino puede leerla. El HTTPS es el sobre. Encripta —es decir, codifica— la conversación entre el navegador de tu cliente y el servidor donde está tu web, de forma que si alguien intercepta esa comunicación en el medio, solo ve ruido incomprensible.
¿Qué viaja encriptado? Todo lo que el usuario teclea en tu web: el nombre en el formulario de contacto, el email, el teléfono, los datos de reserva, las contraseñas si las hay. Esto importa aunque tengas una web sencillísima. Un fisioterapeuta con un formulario de "pide tu cita" recoge datos personales. Un abogado con un formulario de consulta, también. La ley —el RGPD— exige que esos datos viajen protegidos.
Lo que el SSL no es: no es un antivirus, no te protege de hackers que quieran entrar en tu servidor, no cifra los archivos de tu web. Solo encripta el tráfico entre el navegador del cliente y tu servidor. Es una pieza del puzzle, no el puzzle entero.
Sobre los tipos de certificado: hay tres variedades principales. El DV (Domain Validation) simplemente verifica que eres el dueño del dominio. El OV (Organization Validation) verifica también que la empresa existe. El EV (Extended Validation) va más allá y muestra el nombre de la organización en la barra del navegador, ese efecto que antes veías en los bancos con la barra verde. Para el 99% de autónomos y pequeños negocios, el DV es suficiente y punto. No necesitas gastar un euro en esto.
El candado en la barra del navegador: la primera señal de confianza que ve tu cliente.
Por qué Google penaliza webs sin HTTPS
Google lleva usando HTTPS como factor de posicionamiento desde 2014. En 2016 empezó a marcar las webs sin SSL en Chrome con el aviso "No seguro". En 2018 lo hizo más agresivo y visible. Hoy, cualquier web que recoja datos sin HTTPS recibe ese aviso en rojo en la barra del navegador.
"Penalizar" no significa que tu web desaparezca de Google. Significa que, en igualdad de condiciones de contenido y autoridad, una web con HTTPS posiciona mejor que una sin él. Y si combinas eso con el impacto en la velocidad web y Core Web Vitals, el efecto se multiplica. Mira: Google no te manda a la última página por no tener SSL, pero sí te empuja unos puestos hacia abajo frente a competidores que sí lo tienen. En mercados locales, donde la diferencia entre el primero y el tercero puede ser de tres o cuatro clientes al mes, esos puestos cuentan.
Y hay algo que mucha gente no tiene en cuenta: el aviso "No seguro" lo ve el usuario antes de entrar a tu web. No es una alerta que aparece dentro de la página. Aparece en la barra del navegador en el momento en que alguien llega a tu dominio. El daño a la percepción está hecho antes de que lean tu primera línea de texto.
Piénsalo así: un electricista en Barcelona sin HTTPS compite en el buscador contra otros diez electricistas que sí lo tienen. Google ya le está dando menos visibilidad. Y encima, el usuario que llega ve el aviso y se va. Doble penalización.
El impacto en confianza y conversión: las cifras que duelen
Aquí va lo que realmente importa si tienes un negocio. Según datos del Baymard Institute, entre el 15 y el 30% de usuarios abandona un sitio al ver el aviso de "No seguro", sin intentar contactar ni comprar. No un 2%, no un 5%. Hasta casi un tercio de las visitas.
En tiendas online, la desconfianza sobre la seguridad es la tercera razón de abandono de carrito, después de los gastos de envío y la política de devoluciones. Y encuestas de Kaspersky apuntan a que más del 85% de usuarios no compra en webs sin HTTPS aunque el producto le interese. Eso es un cliente que llegó, vio tu producto, estaba dispuesto a pagar, y se fue por algo que se arregla en cinco minutos.
El efecto psicológico funciona aunque tu web no sea una tienda. Ese aviso activa una alarma instintiva en el usuario. Da igual que solo quiera pedir una cita con el fisioterapeuta o preguntar los horarios de la peluquería. Ver "No seguro" dispara la desconfianza y el cerebro dice: aquí no. Y se va.
Para los autónomos esto se traduce de forma muy concreta: menos formularios completados, menos llamadas, menos consultas. No hay forma de medir exactamente cuánto estás perdiendo porque nunca sabes quién se fue, pero los números del sector son claros. Si tienes un formulario de contacto en tu web que no está protegido con HTTPS, ya está fallando el primer filtro de confianza antes de que nadie lo rellene.
La desconfianza del usuario tarda menos de tres segundos en activarse.
Dónde ves el candado y qué hace un cliente normal cuando no lo ve
El candado aparece a la izquierda de la URL, en la barra de dirección del navegador. En Chrome, Firefox y Safari. En móvil y en ordenador. Si tu web tiene HTTPS activo y bien configurado, ese candado está ahí siempre, sin que el usuario tenga que buscarlo.
Y si no está: Chrome muestra "No seguro" en texto visible antes de la URL. Firefox muestra un candado tachado. Safari pone un aviso similar. Todos dicen lo mismo de formas distintas. Chrome es el más agresivo y también el navegador que más gente usa en España, así que es el que más te afecta.
¿Qué hace un cliente normal cuando ve ese aviso? Cierra la pestaña. No llama para preguntar si es seguro. No busca más información. No te da el beneficio de la duda. Sencillamente se va, abre otra pestaña y entra en la web de tu competencia. Y lo peor es que ni siquiera entiende exactamente qué significa el aviso —solo sabe que su navegador le está diciendo que algo va mal.
Chrome es más duro con el aviso que Firefox o Safari, pero da igual: todos muestran algún indicador negativo. Si tu web es HTTP en 2025, estás regalando visitas.
Cómo conseguir un certificado SSL (el camino práctico)
La buena noticia: en la mayoría de casos esto cuesta cero euros y menos de diez minutos.
La mayoría de proveedores de hosting —SiteGround, Hostinger, Ionos, Bluehost, y muchos más— incluyen SSL gratis en todos sus planes a través de Let's Encrypt, que es una autoridad certificadora gratuita y de confianza. Si ya tienes hosting contratado, entra en tu panel de control (normalmente cPanel o el panel propio del proveedor), busca la sección "SSL/TLS" o "Let's Encrypt", y actívalo. En muchos casos es literalmente un botón. Si tienes dudas, llama al soporte del hosting y te lo explican en dos minutos.
Si todavía no tienes hosting: asegúrate antes de contratar de que SSL gratuito está incluido. Hoy casi todos lo incluyen, pero compruébalo. Si un hosting no lo ofrece, yo no lo recomendaría aunque fuese barato.
¿Y los certificados de pago? Los certificados OV o EV solo tienen sentido si tienes una tienda online grande, trabajas en banca, en seguros o en un sector donde la verificación legal del negocio añade valor de cara al usuario. Para un autónomo, un profesional de servicios o una pyme local, el DV gratuito de Let's Encrypt es exactamente lo mismo en términos prácticos.
Si tienes WordPress, el plugin Really Simple SSL automatiza la redirección de HTTP a HTTPS una vez que tienes el certificado activo. Ojo: primero activa el certificado en el hosting, luego el plugin. Al revés no funciona.
Errores comunes que todavía veo en webs de autónomos
Tener SSL instalado no es garantía de que todo funcione bien. Yo veo a menudo webs con el certificado activado que siguen dando problemas. Los errores más habituales:
No activar la redirección automática de HTTP a HTTPS. El certificado está, pero si alguien entra escribiendo "http://tuweb.com" sin la S, sigue llegando a la versión insegura. La redirección hay que configurarla explícitamente.
Contenido mixto. SSL instalado, pero alguna imagen o algún enlace interno sigue cargando desde HTTP. El navegador lo detecta y puede mostrar un candado con advertencia en vez del candado limpio. Esto pasa mucho cuando migras una web antigua a HTTPS sin revisar todos los recursos.
Olvidar las landing pages y campañas de email. Si mandas un email de marketing o tienes una campaña y el enlace lleva a una URL en HTTP, el esfuerzo de confianza se rompe justo en el momento más crítico.
Certificado expirado. Let's Encrypt se renueva cada 90 días automáticamente. Si el hosting es malo o hay un fallo en la renovación, el certificado caduca y tu web empieza a mostrar avisos de seguridad. Es raro, pero pasa. Vale la pena comprobarlo de vez en cuando.
El artículo sobre errores comunes en webs de autónomos amplía esta lista con otros problemas que se repiten una y otra vez. Pero el SSL mal configurado está casi siempre entre los primeros.
Cómo comprobar que tu web está segura ahora mismo
Fácil. Abre tu web en el navegador y mira la barra de dirección. ¿Ves un candado y la URL empieza por "https://"? Bien, estás protegido. ¿Ves "No seguro" o la URL empieza por "http://" sin S? Tienes trabajo que hacer.
Si quieres más detalle, hay dos herramientas gratuitas que te dan un diagnóstico completo en segundos: SSL Labs (ssllabs.com) y Why No Padlock. Las dos te dicen si hay problemas de contenido mixto, si el certificado está próximo a caducar y si la configuración técnica es correcta. No hace falta saber nada técnico para interpretarlas: una nota A o A+ en SSL Labs significa que todo está bien.
Y de paso, si tienes curiosidad, entra en la web de un competidor tuyo y comprueba si tienen HTTPS. Muchos autónomos y pequeños negocios todavía no lo tienen bien configurado. Eso es una ventaja directa para ti si lo tienes tú.
Comprobar el SSL de tu web lleva menos de un minuto.
Lo que debes hacer hoy mismo
Sin rodeos. Aquí está la lista corta:
Si no tienes web aún: contrata hosting que incluya SSL gratis. Todos los grandes lo incluyen. Asegúrate antes de firmar.
Si ya tienes web: abre tu dominio en el navegador ahora. ¿Candado y HTTPS? Perfecto. ¿No? Entra en el panel de control del hosting, activa el certificado SSL. Si no sabes cómo, llama al soporte. Es un trabajo de cinco minutos que debería costar cero euros.
Si tienes tienda online: además del SSL, comprueba que el formulario de pago usa TLS 1.2 o superior. Tu pasarela de pago (Stripe, PayPal, Redsys) lo hace automáticamente, pero asegúrate de que la integración está actualizada.
Avisa a Google: si acabas de migrar de HTTP a HTTPS, publica tu sitemap en Google Search Console para que Google indexe la versión segura cuanto antes.
En dos o tres semanas: pasa SSL Labs por tu dominio para asegurarte de que no hay errores de contenido mixto ni problemas de configuración.