¿Qué es TLS (Transport Layer Security)?

Carrie SmahaCarrie Smaha Lectura de 10 minutos
¿Qué es TLS (Transport Layer Security)? - Imagen principal

Si tu empresa acepta pagos, recopila información de los clientes o gestiona algo más que una simple página web estática, el protocolo TLS ya te está protegiendo. El protocolo TLS (Transport Layer Security) es esa tecnología invisible que convierte el «http» en «https» y garantiza la privacidad de los datos de los clientes mientras se transmiten por Internet. En esta guía te explicamos qué es el TLS, por qué es importante para tu empresa, cómo ha evolucionado a lo largo de los años y qué papel desempeña tu proveedor de alojamiento web a la hora de mantenerlo actualizado.

Índice

¿Qué es el TLS y por qué es importante para tu negocio?

TLS (Transport Layer Security) es un protocolo de seguridad que cifra la conexión entre el navegador de un visitante y tu sitio web. Todo lo que se envía a través de esa conexión, incluidas las credenciales de inicio de sesión, los números de tarjetas de crédito, los formularios de contacto enviados y los datos de las cuentas, se cifra durante la transmisión para que nadie pueda leerlo.

Para el dueño de un negocio, el TLS ofrece tres ventajas prácticas:

  • Protege los datos de los clientes, lo que te evita aparecer en los titulares por filtraciones de datos.
  • Transmite confianza gracias al prefijo «https».
  • Cumple con los requisitos normativos y de cumplimiento que se aplican a casi todos los sitios web modernos.

Este último punto es más importante de lo que muchos propietarios creen. El RGPD, el PCI DSS y la HIPAA exigen «medidas técnicas adecuadas» para proteger los datos personales, y el cifrado TLS es una de las medidas básicas que esperan los reguladores. Un sitio web que no cuente con un certificado TLS válido se considera un riesgo, no una opción predeterminada neutra.

También está la simple cuestión de la percepción de los clientes. Los navegadores modernos marcan cualquier sitio web que no utilice TLS como «No seguro», lo cual es suficiente para que la mayoría de los compradores se vayan a otra parte antes incluso de ver tu oferta.

¿Cómo evolucionó el TLS a partir del SSL?

La historia del cifrado web es la razón por la que la mayoría de la gente sigue diciendo «SSL» cuando en realidad se refiere a «TLS». Entender la diferencia te ayuda cuando lees la documentación de los proveedores o hablas con tu desarrollador.

Una breve historia de SSL y TLS

Secure Sockets Layer (SSL) fue desarrollado por Netscape en 1994 para hacer posible el comercio electrónico en sus inicios. SSL 1.0 nunca se lanzó al público, SSL 2.0 tenía graves fallos y SSL 3.0, lanzado en 1996, se convirtió en la base sobre la que se construyó todo lo demás.

El Grupo de Trabajo de Ingeniería de Internet (IETF) se hizo cargo del protocolo en 1999 y publicó TLS 1.0 como sucesor directo de SSL 3.0. Aunque TLS es técnicamente un protocolo diferente, comparte los principios básicos con SSL, por lo que ambos nombres siguen utilizándose indistintamente en el ámbito comercial.

Esa confusión en la denominación se ha arraigado. Muchos proveedores siguen vendiendo «certificados SSL» aunque esos certificados protegen las conexiones mediante TLS. La denominación no se ha adaptado a la tecnología.

Diferencias clave entre SSL y TLS

TLS es más seguro que SSL en varios aspectos. Utiliza algoritmos criptográficos modernos, funciones hash más robustas para verificar la integridad de los datos y ofrece una mayor protección contra los ataques que intentan forzar la conexión a una versión más débil. SSL 3.0, en particular, es vulnerable a ataques conocidos como POODLE.

En resumen: todos los navegadores y servidores que están en funcionamiento hoy en día usan TLS, aunque en la publicidad se hable de «SSL». Si vas a comprar un certificado, lo que estás comprando es TLS, independientemente de cómo lo denomine la página del producto.

¿Cómo funciona el TLS en pocas palabras?

No hace falta ser un experto en criptografía para entender el TLS, pero tener una idea básica ayuda a la hora de leer informes de seguridad o hablar con tu proveedor de alojamiento web.

Piensa en el TLS como un sobre sellado con una firma a prueba de manipulaciones. Antes de sellar el sobre, el navegador y el servidor llevan a cabo un rápido proceso de verificación para confirmar que son quienes dicen ser. A ese proceso se le llama «handshake».

El protocolo de enlace TLS, paso a paso

El protocolo de enlace se inicia automáticamente en cuanto el navegador carga una página segura. Esto es lo que ocurre entre bastidores:

  1. El navegador envía un mensaje «Client Hello» en el que se enumeran las versiones de TLS y los métodos de cifrado que admite.
  2. El servidor responde con «Server Hello», elige la opción más segura que ambos soporten y envía su certificado TLS para demostrar su identidad.
  3. El navegador compara el certificado con una lista de autoridades de certificación de confianza integrada en el sistema operativo.
  4. Ambas partes acuerdan una clave de sesión compartida y pasan a utilizarla durante el resto de la conversación.

Todo el proceso dura una fracción de segundo. Una vez finalizado, empieza la transferencia de datos propiamente dicha, y todo lo que se envía en cualquier dirección está encriptado.

Infografía que explica las conexiones HTTPS

Por qué TLS utiliza dos tipos de cifrado

TLS combina dos tipos de criptografía porque cada uno resuelve un problema diferente.

Durante el protocolo de enlace se utiliza el cifrado asimétrico. El servidor tiene una clave pública (que se comparte con todo el mundo) y una clave privada (que se mantiene en secreto). Cualquiera puede cifrar datos con la clave pública, pero solo el servidor puede descifrarlos. Así es como ambas partes acuerdan de forma segura un secreto compartido sin enviarlo nunca sin cifrar.

El cifrado simétrico toma el relevo una vez finalizado el protocolo de enlace. Los algoritmos como el AES son mucho más rápidos que los métodos asimétricos, por lo que resultan más adecuados para gestionar el flujo real de datos una vez establecida la conexión.

Es precisamente esta combinación la que hace que el protocolo TLS sea lo suficientemente seguro y rápido como para utilizarlo cada vez que se carga una página. Los conjuntos de cifrado robustos con «secretismo perfecto hacia adelante» añaden otra capa de protección, ya que garantizan que, aunque más adelante se robara la clave privada del servidor, las sesiones anteriores seguirían siendo privadas.

¿Cuáles son las diferentes versiones de TLS y cuál deberías usar?

TLS ha pasado por varias revisiones, y la versión que usa tu servidor tiene consecuencias reales para la seguridad.

  • TLS 1.0 (1999) y TLS 1.1 (2006): Ambos están obsoletos. Los principales navegadores dejaron de admitirlos en 2020. Si tu servidor aún los permite, los escáneres de seguridad marcarán tu sitio web.
  • TLS 1.2 (2008): Sigue considerándose seguro cuando se configura con conjuntos de cifrado modernos. Es la versión mínima aceptable para la mayoría de los marcos de cumplimiento actuales.
  • TLS 1.3 (2018): El estándar actual, definido en el RFC 8446. Es más rápido, más sencillo y elimina los conjuntos de cifrado antiguos que provocaban la mayoría de las vulnerabilidades en el pasado.

Para la mayoría de las empresas, la configuración adecuada consiste en habilitar TLS 1.2 y TLS 1.3, y deshabilitar las versiones anteriores a nivel del servidor. Herramientas como el Generador de configuración SSL de Mozilla ofrecen ajustes listos para usar para los servidores web más comunes, y Qualys SSL Labs evaluará tu configuración actual en apenas un minuto.

Si esa frase te ha sonado a chino, eres justo el tipo de empresario al que le conviene el alojamiento gestionado. Te lo cuento con más detalle a continuación.

¿En qué situaciones se encuentra tu empresa con el protocolo TLS a diario?

El TLS no se limita a los sitios web. Casi todos los servicios online seguros lo utilizan en segundo plano.

  • Los sitios web y las tiendas online usan TLS a través de HTTPS para proteger los inicios de sesión, los procesos de pago y el envío de formularios.
  • El correo electrónico utiliza TLS a través de SMTPS, IMAPS y POP3S para garantizar la privacidad de los mensajes durante su transmisión. Los proveedores actuales rechazan los servidores de correo que no utilizan TLS.
  • Las conexiones VPN como OpenVPN se basan en el protocolo TLS para los empleados que trabajan a distancia y las sucursales.
  • Las API y las integraciones entre plataformas (procesadores de pagos, CRM, herramientas de marketing) casi siempre requieren TLS para que se acepte la conexión.
  • Los servicios de voz y mensajería protegen las llamadas y los chats con variantes de TLS, como SIPS.

Si gestionas un negocio en línea de cualquier tipo, tus clientes, proveedores y empleados utilizan constantemente conexiones protegidas por TLS, a menudo sin darse cuenta.

¿Qué son los certificados TLS y cómo se consiguen?

Un certificado TLS es el documento que demuestra que tu dominio es lo que dice ser. Contiene tu nombre de dominio, tu clave pública, la firma de la autoridad emisora y una fecha de caducidad. Los navegadores confían en el certificado porque confían en la autoridad que lo ha firmado.

Hay tres tipos habituales:

  • Validación de dominio (DV): Solo confirma que tienes el control del dominio. Es rápido, gratuito o de bajo coste, y es la opción ideal para la mayoría de las páginas web de pequeñas empresas. Proveedores como Let’s Encrypt emiten certificados DV de forma gratuita.
  • Validado por la organización (OV): Requiere la verificación de la empresa titular del dominio. Un paso adelante razonable para las empresas que quieren demostrar su identidad a los visitantes.
  • Validación extendida (EV): Implica el proceso de verificación más exhaustivo. Antes se mostraba con una barra de direcciones verde, aunque los navegadores modernos ya no muestran ese indicador de forma destacada.

Los certificados caducan, normalmente cada 90 días en el caso de los certificados gratuitos y una vez al año en el de las opciones de pago. Un certificado caducado hace que tu sitio web sea inaccesible para la mayoría de los visitantes, por eso es tan importante la renovación automática. Las herramientas basadas en el protocolo ACME se encargan de esto sin necesidad de intervención manual, y la mayoría de las plataformas de alojamiento de calidad lo automatizan por ti.

¿El protocolo TLS ralentiza tu sitio web?

Antes, el uso de TLS suponía una pérdida real de rendimiento. Eso dejó de ser así hace años.

El protocolo de establecimiento de conexión añade un poco de latencia a la primera conexión, pero hay varias mejoras que hacen que el impacto sea mínimo:

  • La reanudación de la sesión permite a los visitantes habituales saltarse la mayor parte del proceso de autenticación.
  • El modo 0-RTT de TLS 1.3 permite que los datos empiecen a fluir desde el primer intercambio de datos para los visitantes que vuelven.
  • El uso de OCSP elimina los viajes de ida y vuelta adicionales que los navegadores solían realizar al comprobar la validez de los certificados.
  • La aceleración por hardware en los procesadores modernos gestiona el cifrado AES sin apenas impacto apreciable en la CPU.

En la mayoría de los sitios web que funcionan en un servidor en buen estado, los usuarios no notan ninguna diferencia de rendimiento entre HTTP y HTTPS. Donde el rendimiento de TLS sí importa es a gran escala, en sitios de comercio electrónico con mucho tráfico o en API que gestionan miles de solicitudes por segundo. En esas cargas de trabajo, contar con una infraestructura dedicada y delegar el TLS a hardware especializado o a un alojamiento en servidores dedicados permite mantener unos tiempos de respuesta constantes incluso bajo carga.

¿Qué requisitos normativos exigen el uso de TLS?

Si tu negocio está sujeto a regulación, el TLS no es opcional.

  • La norma PCI DSS exige el uso de TLS 1.2 o una versión superior en cualquier sistema que transmita datos de titulares de tarjetas.
  • La HIPAA no menciona explícitamente el TLS, pero lo considera un requisito básico para la información sanitaria protegida en tránsito.
  • El RGPD exige «medidas técnicas adecuadas» para los datos personales, y los auditores suelen interpretar que esto incluye el protocolo TLS actual.
  • Las auditorías SOC 2 e ISO 27001 exigen que se documente la configuración de TLS y la gestión de certificados.

El problema es que el cumplimiento no es algo que se compruebe una sola vez. Constantemente se descubren nuevas vulnerabilidades en los algoritmos de cifrado, las directrices del NIST para TLS se actualizan, y lo que superó una auditoría hace dos años puede que hoy no la supere. Mantener TLS al día con los estándares actuales es un trabajo continuo.

¿Quién se encarga de mantener al día tu configuración TLS?

Esto es algo que los empresarios suelen pasar por alto hasta que no superan una prueba de seguridad. El TLS no es una tecnología que se pueda «configurar una vez y olvidarse».

Las suites de cifrado quedan obsoletas. Se lanzan nuevas versiones de los protocolos. Los certificados caducan. Los marcos de cumplimiento elevan sus requisitos mínimos. Quienquiera que gestione tu servidor es responsable de estar al tanto de todo esto y de aplicar los cambios antes de que algo falle o no supere una auditoría.

En un servidor autogestionado, esa responsabilidad recae sobre ti o sobre tu desarrollador. Tienes que estar al tanto de los anuncios de los fabricantes de navegadores, actualizar las bibliotecas de OpenSSL, volver a generar certificados, probar las configuraciones de cifrado y comprobar que no haya fallado nada en las etapas posteriores. Muchos equipos pequeños se dan cuenta de esto por las malas, tras un análisis fallido o una renovación olvidada.

El alojamiento gestionado cambia las reglas del juego. Con el alojamiento VPS gestionado o el alojamiento en servidor dedicado gestionado de InMotion Hosting, el equipo de operaciones se encarga de todo lo necesario:

  • AutoSSL emite y renueva automáticamente certificados TLS gratuitos para todos los dominios en cPanel.
  • El software del servidor, las bibliotecas OpenSSL y las configuraciones de cifrado se mantienen en las versiones compatibles.
  • Los parches de seguridad que afectan a TLS se aplican como parte del ciclo de mantenimiento habitual.
  • Los ajustes de configuración necesarios para cumplir con los requisitos de PCI u otras auditorías de cumplimiento pueden ser realizados por el equipo de soporte, sin necesidad de recurrir a un ingeniero de sistemas interno.

Para las empresas que necesitan un plus de asistencia, el paquete Premier Care incluye supervisión proactiva, protección contra malware y acceso directo a las horas de consultoría de InMotion Solutions para tareas relacionadas con la seguridad y el rendimiento.

En pocas palabras, la ventaja es que tu configuración de TLS se mantiene al día sin que tengas que estar al tanto de las novedades del sector. Tú te aseguras del cumplimiento técnico y tu equipo puede centrarse en el negocio.

TLS es la base, el alojamiento es donde se aloja

TLS es el estándar que hace posible realizar negocios de forma segura en Internet. El protocolo ha madurado hasta convertirse en algo silenciosamente fiable, y la pregunta práctica para la mayoría de los empresarios ya no es si deben utilizarlo, sino quién se encarga de mantenerlo correctamente configurado a lo largo del tiempo.

Si tu configuración actual te obliga a estar pendiente de las renovaciones de certificados, las actualizaciones de cifrado y los cambios en materia de cumplimiento normativo por tu cuenta, habla con nuestro equipo. Los planes de servidores VPS gestionados y servidores dedicados InMotion Hostingincluyen asistencia personalizada, mantenimiento de la seguridad y automatización de certificados, lo que garantiza que tu configuración TLS se mantenga al día con los estándares actuales. Nuestro equipo de asistencia también puede ayudarte a prepararte para auditorías de cumplimiento de la norma PCI u otras normativas sin que tengas que meterte en el laberinto de la administración de servidores.

Comparte este artículo
Carrie Smaha
Carrie Smaha Director de Operaciones de Marketing

Carrie Smaha una directora sénior de operaciones de marketing con más de 20 años de experiencia en estrategia digital, desarrollo web y gestión de proyectos de TI. Se especializa en programas de comercialización y soluciones SaaS para WordPress alojamiento VPS, y trabaja en estrecha colaboración con equipos técnicos y clientes para ofrecer plataformas escalables y de alto rendimiento. En InMotion Hosting, impulsa iniciativas de marketing de productos que combinan conocimientos estratégicos con profundidad técnica.

Más artículos de Carrie
Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.

 

Nuevos contenidos y ofertas especiales
Obtenga alojamiento web fiable

Chat: Chatee con Ventas
Correo electrónico: [email protected]
Llame al 757-416-6575 x1

Obtenga alojamiento web que crece con su negocio. Nuestra plataforma de alojamiento "todo en uno" le ofrece todo lo que su sitio web necesita para crecer, para que pueda centrarse en lo más importante para usted y su negocio.