Tabla de Contenidos
- 1 HTTPS: ya no es opcional, es obligatorio para toda landing page
- 2 Certificado SSL gratuito con Let’s Encrypt: instalación
- 3 Protección contra spam en formularios de landing page
- 4 reCAPTCHA v2 vs reCAPTCHA v3 vs hCaptcha vs honeypot: comparativa
- 5 Rate limiting para prevenir ataques de fuerza bruta
- 6 Headers de seguridad HTTP que protegen tu landing page
- 7 Seguridad web y su impacto en la confianza del visitante
- 8 Preguntas frecuentes
HTTPS: ya no es opcional, es obligatorio para toda landing page
Si tu landing page no tiene HTTPS (el candadito verde en la barra del navegador), Google Chrome la marca como «No seguro» justo al lado de tu URL. Eso es lo primero que ve el visitante antes de leer una sola palabra de tu contenido. Y en un mercado donde la confianza online sigue construyéndose, esa etiqueta de «No seguro» mata conversiones al instante.
HTTPS cifra la comunicación entre el navegador del visitante y tu servidor. Cuando alguien llena un formulario con su nombre, email y teléfono, HTTPS protege esos datos en tránsito. Sin HTTPS, los datos viajan en texto plano y cualquiera con acceso a la red podría interceptarlos.
Google confirmó en 2014 que HTTPS es un factor de ranking. No es el más importante, pero a igualdad de condiciones, una página con HTTPS se posiciona mejor que una sin HTTPS. Además, muchas funcionalidades modernas del navegador (geolocalización, notificaciones push, service workers para PWA) solo funcionan en sitios con HTTPS.
En Perú, donde el 83% del tráfico web viene de móvil y Chrome es el navegador dominante con más del 70% de cuota de mercado, no tener HTTPS es tirar dinero: cada visitante que ve «No seguro» tiene una razón instantánea para irse.
Certificado SSL gratuito con Let’s Encrypt: instalación
No necesitas pagar por un certificado SSL. Let’s Encrypt ofrece certificados SSL gratuitos que funcionan igual que los certificados de pago para la gran mayoría de usos.
La mayoría de proveedores de hosting en Perú y Latinoamérica ya incluyen Let’s Encrypt gratuito en sus planes. Si usas cPanel (el panel de control de hosting más común), busca la opción «SSL/TLS» o «Let’s Encrypt» y actívalo con un clic.
Si tu hosting no incluye SSL gratuito, Cloudflare ofrece un proxy con SSL gratuito que puedes configurar sin cambiar de hosting. Apuntas tus DNS a Cloudflare y ellos se encargan del certificado. Además, Cloudflare mejora la velocidad de carga con su CDN, lo que es un beneficio adicional.
Después de instalar el certificado, configura una redirección 301 de HTTP a HTTPS para que todas las visitas vayan automáticamente a la versión segura. En WordPress, plugins como Really Simple SSL hacen esto automáticamente.
Protección contra spam en formularios de landing page
Si tu landing page tiene un formulario de contacto, tarde o temprano vas a recibir spam. Bots automáticos que llenan formularios con datos falsos, enlaces maliciosos o intentos de inyección de código. El spam no solo es molesto, también contamina tus datos y desperdicia el tiempo de tu equipo de ventas revisando leads basura.
Hay varias capas de protección que puedes implementar, desde las más simples hasta las más sofisticadas. Lo ideal es combinar al menos dos métodos para maximizar la protección sin afectar la experiencia del usuario.
El método más común es CAPTCHA: un desafío que distingue humanos de bots. Pero no todos los CAPTCHAs son iguales, y algunos pueden reducir tus conversiones más de lo que protegen tu formulario.
reCAPTCHA v2 vs reCAPTCHA v3 vs hCaptcha vs honeypot: comparativa
| Método | Visibilidad para el usuario | Fricción | Efectividad anti-spam | Costo | Privacidad |
|---|---|---|---|---|---|
| reCAPTCHA v2 («No soy un robot») | Visible – checkbox | Media | Alta | Gratis | Baja (Google trackea) |
| reCAPTCHA v3 (invisible) | Invisible | Ninguna | Alta | Gratis | Baja (Google trackea) |
| hCaptcha | Visible – imágenes | Alta | Alta | Gratis | Media (mejor que Google) |
| Honeypot | Invisible | Ninguna | Media-Alta | Gratis | Alta (no trackea nada) |
| Cloudflare Turnstile | Mínima | Mínima | Alta | Gratis | Alta |
La recomendación para landing pages donde la conversión es prioridad: reCAPTCHA v3 o honeypot. Ambos son invisibles para el usuario, lo que significa cero fricción y cero impacto en tu tasa de conversión.
reCAPTCHA v3 funciona en segundo plano: asigna un «score» a cada visitante (de 0.0 a 1.0) según su comportamiento. Si el score es bajo (sospechoso de bot), el formulario no se envía. El usuario nunca ve nada ni hace nada diferente.
El honeypot es la solución más elegante técnicamente: agregas un campo oculto en tu formulario que los humanos no ven pero los bots sí llenan. Si el campo oculto tiene datos, sabes que fue un bot y rechazas el envío. Sin JavaScript externo, sin dependencia de Google, sin tracking de privacidad.
Cloudflare Turnstile es la alternativa más reciente y combina lo mejor de ambos mundos: alta seguridad con mínima fricción y mejor respeto por la privacidad del usuario que reCAPTCHA de Google.
Rate limiting para prevenir ataques de fuerza bruta
El rate limiting restringe la cantidad de envíos de formulario que una misma IP puede hacer en un período de tiempo. Si alguien intenta enviar tu formulario 50 veces en un minuto, el rate limiting bloquea los envíos después del tercero o quinto intento.
Esto protege contra dos amenazas: bots que intentan enviar spam masivo y ataques de fuerza bruta contra formularios de login. Para landing pages, el rate limiting previene que un solo bot llene tu bandeja de leads falsos.
La implementación más simple es a nivel de servidor. Si usas Cloudflare (que deberías, es gratuito), puedes configurar reglas de rate limiting que bloqueen IPs que hagan más de X solicitudes por minuto a tu formulario.
En WordPress, plugins como Wordfence o Limit Login Attempts Reloaded ofrecen rate limiting básico en su versión gratuita.
Headers de seguridad HTTP que protegen tu landing page
Los headers de seguridad HTTP son configuraciones del servidor que protegen tu landing page contra ataques comunes. No los ve el usuario, pero son una capa importante de defensa.
Los headers más importantes para landing pages:
- X-Content-Type-Options: nosniff – Evita que el navegador interprete archivos de forma incorrecta.
- X-Frame-Options: SAMEORIGIN – Impide que tu landing page sea cargada dentro de un iframe de otro sitio (protección contra clickjacking).
- Strict-Transport-Security (HSTS) – Fuerza al navegador a usar siempre HTTPS, incluso si el usuario escribe HTTP.
- Content-Security-Policy – Controla qué recursos (scripts, imágenes, fuentes) puede cargar tu landing page, previniendo inyección de código malicioso.
En WordPress, el plugin «Headers Security Advanced & HSTS WP» permite configurar todos estos headers sin tocar código del servidor. También puedes configurarlos directamente en el archivo .htaccess si usas Apache o en la configuración de Nginx.
Seguridad web y su impacto en la confianza del visitante
| Medida de seguridad | Nivel protección | Impacto en conversión | Impacto en seguridad | Dificultad |
|---|---|---|---|---|
| HTTPS / SSL | Básico | Positivo (elimina «No seguro») | Alto | Baja |
| reCAPTCHA v3 | Medio | Neutro (invisible) | Alto | Baja |
| Honeypot | Medio | Neutro (invisible) | Medio-Alto | Baja |
| Rate limiting | Medio | Neutro | Alto | Media |
| Headers de seguridad | Avanzado | Neutro | Alto | Media |
| reCAPTCHA v2 | Medio | Negativo (fricción) | Alto | Baja |
| hCaptcha | Medio | Negativo (más fricción) | Alto | Baja |
La seguridad visible (HTTPS, sellos de seguridad) genera confianza directa en el visitante. La seguridad invisible (reCAPTCHA v3, honeypot, headers) protege sin añadir fricción. La combinación de ambas es lo que necesitas: que el visitante se sienta seguro y que efectivamente lo esté.
Preguntas frecuentes
Mi landing page necesita HTTPS obligatoriamente?
Sí. Sin HTTPS, Google Chrome muestra «No seguro» junto a tu URL, lo que ahuyenta visitantes. Además, HTTPS es un factor de ranking en Google y protege los datos de tus formularios. Puedes obtener un certificado SSL gratuito con Let’s Encrypt.
Los captchas reducen las conversiones de mi landing page?
Depende del tipo. reCAPTCHA v2 (el checkbox «No soy un robot») y hCaptcha (seleccionar imágenes) añaden fricción y pueden reducir conversiones entre 5% y 15%. reCAPTCHA v3 y honeypot son invisibles y no afectan la conversión.
Cómo evito el spam en mis formularios?
Combina dos métodos: reCAPTCHA v3 (invisible, alta efectividad) + honeypot (campo oculto anti-bot). Esa combinación elimina más del 95% del spam sin afectar la experiencia del usuario.
Qué es un honeypot y cómo funciona?
Es un campo oculto en tu formulario que los usuarios no ven pero los bots sí llenan. Si el campo tiene datos al enviarse, el formulario se rechaza automáticamente. No requiere JavaScript externo ni afecta la privacidad del visitante.
Google penaliza los sitios sin SSL?
No penaliza directamente, pero HTTPS es un factor positivo de ranking. Más importante: Chrome marca tu sitio como «No seguro» sin HTTPS, lo que reduce drásticamente la confianza del visitante y tus conversiones.
La seguridad de tu landing page protege tanto a tus visitantes como a tu negocio. Si quieres una landing page con HTTPS, anti-spam y todas las medidas de seguridad implementadas, en KOM las diseñamos desde S/950. Escríbenos al WhatsApp +51 923 222 223.
