Certificados SSL EV: El Equivalente en Seguridad de Un Inodoro de Oro

Publicado: por Dallas Kashuba
Certificados SSL EV: El Equivalente en Seguridad de Un Inodoro de Oro thumbnail

Si estuviéramos en 2010, te diría que compraras un certificado SSL de Validación Extendida (EV).

En aquel entonces, los certificados EV hacían que la barra de direcciones se volviera verde, mostraban el nombre legal de la empresa en la barra del navegador y mostraban un candado visible que confirmaba la autenticidad del sitio.

Fuente – Certificado SSL EV de Thawte mostrado en diferentes navegadores

Pero no estamos en 2010. Y los certificados EV están más que muertos hoy en día. 

Actualmente, pagar por un certificado SSL es como comprar un inodoro de oro. El mismo resultado, pero mucho más caro.

Lo Que Realmente Hacían los Certificados EV (y Por Qué Importaba)

Los certificados básicos de Validación de Dominio (DV) que ves hoy en día solo verifican que controlas un dominio. Cualquiera puede obtener uno de estos certificados.

Los certificados de Validación Extendida requieren una verificación empresarial exhaustiva. Hablamos de documentos legales, llamadas telefónicas, confirmación de dirección y pruebas de que tu empresa existe y está operando.

El proceso puede tardar días o semanas e implica verificación humana en cada paso.

El resultado final era que el nombre de tu empresa se mostraba en el navegador, como en este ejemplo de Comodo (uno de los principales proveedores de certificados SSL).

Comparación lado a lado de la interfaz del navegador antes y después de los cambios visuales del SSL EV: el nombre de la empresa y la barra verde han desaparecido, reemplazados por una visualización simple de la URL.

Pero como puedes ver ahora, ni siquiera Comodo muestra indicadores de un certificado SSL EV. 

Recibe contenido directamente en tu bandeja de entrada

Suscríbete ahora para recibir todas las últimas actualizaciones, directamente en tu bandeja de entrada.

¿Por Qué los Certificados SSL EV Son una Mala Elección Hoy en Día?

Lo que hacía valiosos a los certificados EV eran sus indicadores visuales. Y fueron los navegadores los principales responsables de eliminarlos.

El Cambio que Mató a los Certificados EV

En algún momento después de 2015, los certificados SSL se convirtieron en el estándar para los sitios web.

El ícono del candado pasó de ser una señal de confianza a una simple expectativa.

Para eliminar redundancias, Chrome eliminó la barra de direcciones verde en 2018 y reemplazó el ícono del candado por el ícono de ajustes en 2023. Firefox eliminó los indicadores EV en 2019, y otros navegadores siguieron su ejemplo.

Cualquier sitio web sin un certificado SSL válido se marcaba como “No seguro.”

Los usuarios debían hacer clic en “Avanzado” y luego en “Acceder al sitio de todas formas (no seguro)” antes de poder ver la página.

Advertencia de seguridad de Chrome para expired.badssl.com con las opciones “Continuar (no seguro)” y “Ocultar opciones avanzadas” resaltadas.

Con eso, la propuesta de valor de los certificados SSL EV se desvaneció. ¡Aun así, sigues viendo empresas que los venden como si nada hubiera cambiado!

Los Navegadores También Descubrieron que EV No Ayuda

La eliminación de los indicadores visuales no fue arbitraria. Estuvo respaldada por investigaciones.

La barra de direcciones verde podía parecer valiosa en capturas de pantalla en primer plano.

Pero cuando el equipo de seguridad de Google estudió si la verificación costosa proporcionaba beneficios reales en cuanto a seguridad, descubrieron que “la interfaz de usuario de EV no protege a los usuarios como se pretendía.”

Los usuarios no toman decisiones de seguridad diferentes si los indicadores EV están presentes o no. Mozilla llegó a conclusiones similares tras sus propias investigaciones.

¿La conclusión? Gastar en certificados EV no se traduce en una mejor protección frente a amenazas reales como el phishing o los sitios maliciosos.

La Mayoría de los Usuarios Ya No Ve Información EV

Una vez que se lanzaron Chrome 77 y Firefox 70, alrededor de 2018, la última información visible sobre EV también desapareció.

Ejemplo de un certificado SSL válido en acción: el navegador confirma que la conexión es segura, usualmente mostrado con un ícono de candado.

El nombre de la empresa, el estado de validación extendida y la información empresarial verificada — todo fue escondido bajo el ícono de ajustes y requería que los usuarios hicieran clic para ver los detalles del certificado.

Por lo tanto, la mayoría de los usuarios nunca ve los detalles EV que supuestamente justificaban su precio elevado.

Un Certificado es un Certificado: Todos Ofrecen la Misma Cifra de Encriptación

La función de un certificado SSL es encriptar los datos que viajan desde el navegador del visitante hasta el servidor de la empresa. Esto garantiza que los actores malintencionados no puedan espiar ni interceptar la información. 

Comparación visual entre conexiones inseguras (HTTP) y seguras (HTTPS), mostrando cómo los certificados SSL protegen los datos en tránsito.

Cualquier Certificado SSL Puede Encriptar Datos de la Misma Forma

Los algoritmos de cifrado son idénticos: RSA-2048 para el intercambio de claves, SHA-256 para las firmas digitales, y AES para la encriptación simétrica.

El navegador establece el mismo túnel seguro sin importar qué autoridad certificadora emitió el certificado o cuánto pagaste por él.

Ya sea que estés usando un certificado SSL gratuito o uno de $500 USD con Validación Extendida, la seguridad real que protege los datos de tus usuarios es exactamente la misma.

Con los certificados EV, solo estás pagando por el papeleo extra sin ningún beneficio adicional.

¿Cuál es la Mejor Opción en 2025 y Más Allá?

Let’s Encrypt revolucionó el mercado SSL al ofrecer certificados gratuitos, automatizados y tan seguros como las alternativas costosas. Ahora, cualquier persona con un dominio puede obtener un certificado SSL. 

Let’s Encrypt Domina el Mercado por una Razón

Let’s Encrypt, el proveedor gratuito de certificados de validación de dominio (DV), controla el 63% de todo el mercado de certificados SSL. El resto está repartido entre otros proveedores de certificados DV y EV.

La empresa emitió más de mil millones de certificados para 2020.

Aumento constante en la adopción de SSL: Este gráfico resalta el crecimiento explosivo en los certificados SSL emitidos diariamente por Let's Encrypt desde 2016 hasta 2025.

Fuente

Y ahora, Let’s Encrypt emite más de 7 millones de certificados nuevos por día.

La Automatización es Mejor que los Procesos Manuales

Mientras la industria SSL vendía certificados costosos con procesos manuales de verificación que tardaban días o semanas, Let’s Encrypt introdujo automatización y eficiencia.

El protocolo ACME permite que los certificados se emitan, instalen y renueven sin intervención humana, a menudo en minutos en lugar de días.

Esta automatización garantiza seguridad junto con comodidad.

Las autoridades certificadoras (CA) ahora pueden usar certificados de corta duración (por ejemplo, 90 días).

Incluso si un atacante obtiene acceso a la clave privada de una CA (la clave que le dice al navegador que el certificado es válido), solo será válida durante 90 días. Después de eso, se genera una nueva clave y las anteriores se invalidan.

¿90 días te parece mucho? Los proveedores SSL ya están tomando medidas para reducir ese plazo aún más.

Certificados de Corta Duración Hacen que la Verificación Manual Sea Casi Imposible

La industria SSL se está moviendo hacia periodos de validez cada vez más cortos para los certificados.

Se espera que el límite máximo de validez sea de 200 días en 2026, 100 días en 2027 y apenas 47 días en 2029.

Imagina tener que pasar por el proceso manual de verificación de un certificado EV — con documentos legales, llamadas telefónicas y verificación empresarial — cada 47 días.
La carga administrativa sería abrumadora, haciendo que ya no valga la pena.

Eso probablemente explica por qué solo hay 21,000 sitios web con un certificado EV en 2025.

Los Certificados de Validación de Dominio (DV) Suelen Ser Todo lo que Necesitas

Los certificados DV (ya sean gratuitos o de pago) ofrecen varias ventajas sobre los costosos certificados EV:

  • Cifrado idéntico: Tus usuarios obtienen la misma seguridad
  • Renovación automática: Sin riesgo de interrupciones por expiración
  • Despliegue más rápido: Minutos en lugar de días o semanas
  • Sin carga administrativa: Sin papeleo, llamadas ni verificación comercial
  • Preparados para el futuro: Diseñados para los periodos de validez más cortos que vendrán en 2029

Certificados DV gratuitos como Let’s Encrypt y Cloudflare ofrecen el mismo nivel de protección que cualquier otro certificado. Si eso es todo lo que necesitas, opta por uno gratuito.

Para grandes organizaciones o negocios de comercio electrónico que requieren soporte al cliente, fechas de vencimiento más largas y sellos de seguridad para generar confianza, un certificado DV firmado profesionalmente tiene mucho sentido.

¿Usan Certificados EV las Grandes Empresas? ¿Realmente Alguien los Necesita?

Si los certificados EV fueran realmente necesarios para la seguridad y la confianza, esperarías que las empresas más grandes del mundo los usaran.

Pero no lo hacen.

Incluso Amazon, Netflix y Walmart Usan Certificados Gratuitos

Troy Hunt, el creador de Have I Been Pwned, compartió un tweet cuando Chrome comenzó a experimentar con la eliminación del indicador EV en el navegador durante la primera mitad de 2018.

Este tuit resalta el declive de la visibilidad del SSL EV: el cambio de Chrome al dejar de mostrar los nombres de las organizaciones en la barra de direcciones indica una tendencia más amplia hacia indicadores simplificados con solo el ícono de candado.

Fuente

Amazon, Netflix, Walmart, eBay, Target, Best Buy: Empresas con presupuestos de seguridad ilimitados, equipos de expertos y millones de clientes que ingresan información sensible a diario — todas usan certificados estándar de Validación de Dominio (DV).

Cuando Shopify y Amazon procesan miles de millones en transacciones usando certificados SSL gratuitos, ¿de qué exactamente afirman protegerte los proveedores de certificados EV que un certificado gratuito no pueda?

Estas empresas no están escatimando en seguridad. Simplemente utilizan certificados que ofrecen la misma encriptación, sin la burocracia ni los costos innecesarios de documentación.

¿Tiene Sentido Financiero Pagar por Certificados EV?

La economía de los certificados EV no tiene sentido cuando se analiza lo que realmente estás obteniendo.

Estás Pagando por Intereses del Propio Sector

El Certificate Authority Browser Forum (CA/B Forum) establece los estándares de la industria, pero en esencia, es una coalición de proveedores de certificados que crean reglas para vender certificados más caros.

Un usuario de Reddit que afirmó haber trabajado para una autoridad certificadora respondió a la pregunta: “¿Cuál es el propósito de los certificados SSL de alta gama?”

Su respuesta: no hay diferencia entre un SSL costoso y uno estándar. Es solo una forma en que las autoridades certificadoras te venden más certificados.

Este comentario en Reddit destaca un escepticismo creciente: muchos ven los certificados SSL —especialmente los premium— como algo más relacionado con el lucro que con la protección, con poca diferencia práctica en términos de seguridad.

Esto crea conflictos de interés obvios, ya que las mismas empresas que venden certificados costosos son quienes escriben las reglas sobre cuándo son “necesarios.”

Esas Garantías de Millones de Dólares Son Solo Estrategias de Marketing 

Los certificados EV vienen con garantías, normalmente entre $10,000 y $2 millones, según el tipo de certificado. Estas garantías supuestamente te protegen si la autoridad certificadora comete errores que provocan brechas de seguridad.

Pero, según expertos como Troy Hunt, estas garantías siempre han sido un truco de marketing.

Scott Helme, fundador de Report URI, también mencionó 3 escenarios cubiertos por estas garantías.

Pero Ninguno de Estos Escenarios Realmente Te Permite Hacer un Reclamo. Para empezar, no se puede emitir un certificado sin información válida, así que el primer punto queda descartado de inmediato. El segundo y tercer escenario también carecen de fundamento.

Te recomiendo leer tanto el artículo de Scott Helme como el de Troy Hunt para entender con mayor claridad por qué yo también llamo a estas garantías estrategias de marketing.

¿Entonces Alguna Vez Necesitas un Certificado EV?

A pesar de todo lo que mencionamos arriba, los certificados EV sí tienen algunos usos.

Aquí tienes algunos casos específicos donde podrías necesitar recurrir a un certificado EV: 

  • Instituciones financieras bajo regulaciones estrictas: Algunos marcos de cumplimiento como PCI DSS o regulaciones bancarias específicas exigen certificados EV. Si tu regulador lo requiere, no tienes opción.
  • Dispositivos de TI heredados: Algunos sistemas antiguos, especialmente hardware empresarial de principios de los 2000, no reconocen los certificados raíz de Let’s Encrypt. Esto es cada vez más raro a medida que se reemplazan los sistemas viejos.
  • Políticas empresariales que requieren tipos específicos de certificados: Algunas corporaciones grandes tienen políticas internas que obligan a usar certificados EV en sitios públicos. Suele ser más por gestión de riesgos corporativos que por una necesidad real de seguridad.
  • Firma de código y firma de documentos: Let’s Encrypt solo emite certificados DV. Si necesitas firmar descargas de software o documentos, tendrás que obtener certificados de autoridades tradicionales.

Para la Gran Mayoría de Sitios Web como blogs, tiendas de comercio en línea, aplicaciones SaaS, sitios de marketing y la mayoría de los sitios comerciales no se benefician en absoluto de un certificado EV frente a una alternativa gratuita.

¿Entonces Deberías Usar Certificados Gratuitos y Seguir Adelante?

En mi opinión, la respuesta es un rotundo SÍ. De hecho, para el 99% de los sitios web, la respuesta es sí. 

Esta es la razón:

El Mercado Ya Decidió

Los certificados de Validación de Dominio dominan el mercado. 

Gráfico de pastel que muestra que la mayor parte del uso de SSL proviene de opciones predeterminadas o gratuitas como Let's Encrypt, mientras que los certificados de pago representan solo una pequeña porción.

Según BuiltWith, hay más de 258 millones de certificados SSL en internet a junio de 2025. La mayoría son gratuitos, automáticos y brindan excelente seguridad.

Nota: Verás que “SSL By Default” tiene la mayor cuota aquí. Sin embargo, Let’s Encrypt también vende certificados bajo esa modalidad. Así que, aunque aparezca por separado, yo los consideraría parte del mismo grupo.

Invierte Tu Dinero en Seguridad que Realmente Importe

El tiempo y dinero que ahorres puede destinarse a medidas de seguridad que realmente importan: mejor infraestructura de hosting, monitoreo de seguridad, copias de seguridad regulares, firewalls para aplicaciones web o pruebas de penetración.

La mayoría de los proveedores de hosting — como DreamHost — ya ofrecen integración con Let’s Encrypt con un solo clic. Si el tuyo no lo hace, quizá sea momento de buscar un proveedor que entienda que estamos en 2025, no en 2010.

Deja de Sobrepensarlo: Un Certificado DV es Todo lo que Necesitas

Los certificados de Validación Extendida (EV) son soluciones costosas para problemas que en su mayoría pueden resolverse gratis. No me refiero a las industrias altamente reguladas que sí necesitan certificados EV — para el resto del mundo, un certificado DV es más que suficiente.

El cifrado es idéntico, los navegadores eliminaron los indicadores visuales, y ni siquiera las empresas más grandes los usan.

Esto es lo que realmente deberías hacer: 

  • Inicia sesión en el panel de control de tu hosting
  • Activa el SSL gratuito con un solo clic
  • ¡Y listo!

Tus usuarios obtendrán la misma encriptación que protege a Amazon y Shopify.

Si tu proveedor de hosting no ofrece SSL gratuito, necesitas cambiarte a un proveedor de alojamiento como DreamHost, que sí lo ofrece.

Ahorra tu dinero para invertirlo en seguridad que realmente importa: copias de seguridad, monitoreo o un firewall para aplicaciones web.

Esas herramientas protegerán tu sitio mucho mejor que pagar cientos de dólares al año por papeleo premium.
¿Prefieres dejar los aspectos técnicos en manos de profesionales? ¡Te tenemos cubierto con nuestros servicios de gestión profesional de sitios web!

Servicios Profesionales – Gestión de Sitios Web

Nosotros Nos Encargaremos de Las Cuestiones Técnicas

Obtén rendimiento y confiabilidad de nivel empresarial para tu sitio web. Déjale el backend a los expertos: mientras tú te centras en tu negocio.

Ver más
Foto de Dallas Kashuba

Dallas Kashuba