Advertencias de contenido mixto: qué significan y cómo solucionarlas

Jazmie Jamaludin

Has hecho lo correcto. Aseguraste tu sitio web para que aparezca el pequeño candado en la barra de direcciones, la señal tranquilizadora que les dice a los visitantes que su conexión es privada y segura. Y luego, un día, notas que el candado ha cambiado. Quizás ahora muestra un pequeño triángulo de advertencia, quizás la palabra "No seguro" se ha colado, o quizás un visitante te envía un correo electrónico preguntándote por qué tu sitio de repente parece sospechoso. No cambiaste nada obvio, así que ¿qué diablos pasó? La respuesta, la mayoría de las veces, es algo llamado contenido mixto, y es una de las razones más comunes por las que un sitio perfectamente seguro comienza a mostrar advertencias.

La buena noticia es que el contenido mixto suena mucho más alarmante de lo que es. Una vez que entiendes lo que realmente significa, se convierte en algo bastante simple de encontrar y arreglar. En esta guía te explicaremos, sin asumir ningún conocimiento técnico previo, qué es el contenido mixto, por qué los navegadores hacen tanto alboroto al respecto, cómo rastrear exactamente qué lo está causando en tu sitio y los pasos prácticos para solucionarlo de una vez por todas para que tu candado permanezca intacto y tus visitantes sigan tranquilos.

Qué significa realmente "seguro"

Antes de llegar al contenido mixto, ayuda entender lo que promete ese candado. Cuando tu sitio es seguro, cada fragmento de información que viaja entre tu visitante y tu sitio se cifra, de modo que cualquiera que lo intercepte en el camino solo ve galimatías. Esto protege contraseñas, detalles de pago e incluso qué páginas está leyendo alguien. La tecnología que realiza este cifrado es la misma que alimenta tu certificado SSL, y el candado es la forma en que el navegador le dice al visitante: "esta conexión es privada, puedes confiar en ella".

La palabra clave aquí es cada. Para que el navegador prometa una conexión totalmente privada, cada cosa en la página, el texto, las imágenes, el estilo, los scripts, todo, debe llegar a través de ese canal seguro y cifrado. Si incluso una pequeña pieza se cuela a través de una conexión antigua y sin cifrar, el navegador ya no puede decir honestamente que toda la página es privada. Y eso es precisamente lo que es el contenido mixto.

Un candado es una promesa
Le dice a los visitantes que toda la página es privada, por lo que un solo elemento inseguro rompe silenciosamente esa promesa para toda la página.
Fuente: Guía de Google web.dev sobre contenido mixto

Contenido mixto, explicado simplemente

El contenido mixto es exactamente lo que su nombre sugiere: una página que mezcla partes seguras e inseguras. La página en sí se carga de forma segura, a través de la conexión cifrada, pero en algún lugar de ella hay una instrucción para obtener algo, quizás una imagen, una fuente, un video o un fragmento de script, de una dirección antigua y sin cifrar. Así que terminas con una página mayormente segura que contiene uno o más ingredientes inseguros.

Piensa en ello como un paquete sellado y a prueba de manipulaciones al que alguien le ha hecho un pequeño agujero. El paquete es mayormente seguro, pero esa pequeña brecha significa que ya no puedes garantizar que no se haya introducido o sacado nada. El navegador ve esa brecha y, con bastante razón, se niega a dar a la página su certificación de salud completa. Dependiendo de cuál sea el ingrediente inseguro, el navegador mostrará una advertencia o, para los ingredientes más riesgosos, los bloqueará por completo, lo que puede dejar partes de tu página rotas o faltantes.

Por qué a los navegadores les importa tanto

Puede parecer excesivo degradar una página segura completa por una imagen insegura. Pero el navegador tiene una buena razón. Cualquier cosa obtenida a través de una conexión sin cifrar puede ser interceptada y manipulada en su camino hacia el visitante. Un script inseguro de aspecto inofensivo, por ejemplo, podría ser reemplazado silenciosamente por uno malicioso sin que nadie se dé cuenta. Al señalar ruidosamente el contenido mixto, los navegadores protegen a los visitantes de un riesgo real, aunque invisible. Es el mismo instinto protector que impulsa el tema más amplio de cómo los certificados mantienen la confianza de un sitio.

Los dos tipos de contenido mixto

No todo el contenido mixto se trata por igual. Los navegadores lo clasifican en dos grupos según lo peligroso que sea el ingrediente inseguro, y conocer la diferencia te dice cuán urgente es la solución.

Los dos tipos de contenido mixto y cómo los tratan los navegadores
Tipo Ingredientes típicos Qué hace el navegador
Pasivo Imágenes, audio, video Muestra una advertencia, debilita el candado
Activo Scripts, estilos, fuentes A menudo lo bloquea, puede romper la página
Cualquier tipo Contenido incrustado Elimina el estado seguro

El contenido mixto pasivo, como una imagen insegura, es el tipo más suave. No se puede utilizar fácilmente contra el visitante, por lo que el navegador generalmente solo muestra una advertencia y debilita el candado. El contenido mixto activo, como un script o estilo inseguro, es mucho más riesgoso porque puede cambiar la forma en que se comporta toda la página. Los navegadores tienden a bloquear esto por completo, razón por la cual el contenido mixto activo a menudo aparece como una página visiblemente rota en lugar de solo una advertencia. Reconocer con qué estás tratando te ayuda a juzgar qué tan rápido actuar, y encaja cómodamente junto con los otros errores comunes del sitio web que podrías encontrar.

Por qué aparece el contenido mixto en primer lugar

El contenido mixto rara vez aparece de la nada. Casi siempre se remonta a una de las pocas situaciones cotidianas, y conocerlas te ayuda a solucionarlo y evitarlo.

El sitio fue asegurado recientemente

La causa más común con diferencia. Cuando un sitio se actualiza de una configuración antigua e insegura a una segura, las direcciones de las páginas cambian, pero las muchas referencias enterradas dentro del contenido, que apuntan a imágenes, scripts, etc., a menudo todavía usan las direcciones antiguas e inseguras. La página en sí ahora es segura, pero aún solicita sus ingredientes de la manera antigua. Este es un efecto secundario clásico de una migración de sitio, razón por la cual la planificación cuidadosa es importante cada vez que cambias la forma en que tu sitio se configura con el tiempo.

El contenido fue copiado con direcciones antiguas

A veces, alguien pega una imagen, un video incrustado o un fragmento de código que lleva consigo una dirección antigua e insegura. Todo parece estar bien en el editor, pero ese ingrediente inseguro rompe silenciosamente el estado seguro de la página. Esto tiende a aparecer gradualmente, por lo que una auditoría periódica de la salud del sitio web es tan buena para detectarlo.

Un servicio externo aún usa direcciones antiguas

Si tu página extrae algo de otro servicio, una fuente, un widget, una herramienta de seguimiento, y ese servicio aún lo sirve de forma insegura, heredas su problema de contenido mixto. La solución aquí a veces significa actualizar a una versión más nueva del servicio o encontrar una alternativa segura.

Basta con una dirección antigua
La mayoría de las advertencias de contenido mixto se remontan a una única referencia insegura que quedó después de que un sitio fuera asegurado, lo que las hace mucho más fáciles de solucionar de lo que parecen al principio.
Fuente: Documentación web MDN de Mozilla sobre contenido mixto

Cómo encontrar lo que lo está causando

No puedes arreglar el contenido mixto hasta que sepas exactamente qué ingrediente es inseguro, y afortunadamente, tu navegador te lo dirá si se lo pides amablemente. Unos pocos enfoques entre ellos identificarán a cada culpable.

Pregúntale directamente al navegador

Cada navegador moderno tiene un panel integrado, a menudo llamado herramientas de desarrollo, que enumera cada advertencia de contenido mixto en una página junto con la dirección insegura exacta responsable. No necesitas ser técnico para leerlo. Abre el panel en una página que muestre una advertencia, busca los mensajes marcados sobre contenido inseguro o mixto, y verás precisamente qué se está cargando de la manera antigua. Es el camino más rápido de "algo está mal" a "aquí está lo que está mal".

Escanea todo el sitio

Revisar una página a la vez está bien para un sitio pequeño, pero para algo más grande querrás una herramienta que rastree cada página e informe todo el contenido mixto de una vez. Este es el mismo tipo de barrido automatizado utilizado para buscar enlaces rotos y otros problemas en todo un sitio, y ahorra enormes cantidades de tiempo.

Revisa tus registros

Tu servidor guarda un registro de cada solicitud, y las solicitudes inseguras también aparecen allí, a menudo revelando patrones que no detectarías al navegar. Aprender a hojear estos, con la ayuda de nuestra guía para leer los registros del sitio web, te da otra perspectiva sobre dónde se están colando los ingredientes inseguros.

Solucionar el contenido mixto de forma permanente

Una vez que sabes qué direcciones son las culpables, las soluciones son refrescantemente directas. La acción principal es casi siempre la misma: cambiar la dirección insegura por su equivalente seguro. En la gran mayoría de los casos, el mismo recurso ya está disponible a través de una conexión segura, por lo que la solución es simplemente apuntar a la versión segura en lugar de la antigua.

Para el contenido que controlas, eso significa actualizar las referencias dentro de tus páginas para que todas soliciten sus ingredientes de forma segura. Muchas plataformas ofrecen una forma de hacer esto de forma masiva, rastreando tu contenido y actualizando todas las direcciones antiguas e inseguras a la vez, lo cual es una bendición en un sitio grande. Para el contenido extraído de un servicio externo, la solución es actualizar a una versión de ese servicio que sirva de forma segura, o cambiar a un proveedor diferente que lo haga. Y para el ingrediente raro que simplemente no está disponible de forma segura en ningún lugar, la respuesta honesta es reemplazarlo con algo que sí lo esté.

Haz que el nuevo contenido sea seguro por defecto

La mejor solución es la que evita que el problema se repita. Cuando añadas imágenes, incrustaciones o código en el futuro, acostúmbrate a comprobar que todo utiliza direcciones seguras antes de publicar. Incorporar esta pequeña verificación a tu rutina, quizás como un elemento en tu lista de verificación de mantenimiento, evita que el contenido mixto se vuelva a colar silenciosamente con el paso de los meses. Combinarlo con la monitorización del tiempo de actividad que vigila tu estado seguro significa que te enterarás rápidamente si vuelve a aparecer una advertencia.

Por qué vale la pena hacerlo correctamente

Es tentador ignorar una advertencia de contenido mixto, especialmente si la página sigue funcionando en su mayor parte. Pero el costo es real y silenciosamente corrosivo. Los visitantes que ven un candado roto o una etiqueta de "no seguro" dudan, y en una página donde están a punto de ingresar una contraseña o detalles de pago, esa duda puede ser la diferencia entre una compra completada y una abandonada. La confianza, una vez dañada, tarda en reconstruirse.

También hay una dimensión de búsqueda. Las conexiones seguras son algo que los motores de búsqueda prefieren activamente, y un sitio que muestra advertencias de seguridad envía una señal inútil sobre su calidad y cuidado. Resolver el contenido mixto te mantiene del lado correcto de esa preferencia, y complementa el trabajo más amplio de presentar un sitio limpio y confiable, incluyendo asegurarse de que las páginas no sean rastreadas innecesariamente pero dejadas sin indexar. Un candado entero e intacto es una pequeña cosa que dice mucho sobre lo en serio que te tomas a tus visitantes.

Conclusión

El contenido mixto es uno de esos problemas que resulta intimidante hasta que lo comprendes, momento en el que se vuelve casi satisfactorio de solucionar. Es simplemente una página que mezcla partes seguras e inseguras, el navegador objeta porque ya no puede prometer total privacidad, y la cura es hacer que cada parte sea segura. Las causas son pocas y conocidas, las herramientas para encontrar a los culpables están integradas en tu navegador, y las soluciones suelen consistir en cambiar las direcciones antiguas por las seguras.

Así que si tu candado ha empezado a emitir advertencias, no te asustes y no lo ignores. Abre el panel del navegador, encuentra los ingredientes inseguros, actualízalos a sus equivalentes seguros y establece un pequeño hábito para mantener limpio el contenido nuevo. Haz eso, y tu candado permanecerá intacto, tus visitantes seguirán tranquilos y tu sitio mantendrá la confianza tranquila y completa que la buena seguridad debe brindar. Si prefieres que un experto revise tu sitio y lo limpie correctamente, nuestro equipo siempre estará encantado de echar una mano.

Preguntas frecuentes

¿Es el contenido mixto realmente peligroso o solo una advertencia molesta?+
Puede ser realmente arriesgado, dependiendo del tipo. Una imagen insegura es principalmente un problema de confianza y apariencia, pero un script o estilo inseguro puede ser interceptado y alterado en su camino hacia el visitante, lo que podría dañarlo. Por eso los navegadores bloquean directamente los tipos más arriesgados. Sin embargo, vale la pena solucionar incluso los casos más leves, porque el candado roto socava la confianza del visitante independientemente del nivel de peligro real.
Mi página se ve rota después de asegurar mi sitio. ¿Podría ser esta la razón?+
Muy probablemente, sí. Cuando se solicita un script o estilo de forma insegura en una página segura, el navegador a menudo lo bloquea por completo para proteger al visitante, y ese ingrediente faltante puede dejar la página con un aspecto roto, sin estilo o con funciones perdidas. Abrir el panel de desarrollador de tu navegador suele revelar las direcciones inseguras bloqueadas, y actualizarlas a sus versiones seguras suele restaurar la página de inmediato.
¿Tengo que corregir cada instancia, o solo las obvias?+
Idealmente, cada instancia. Una página solo se considera totalmente segura cuando cada ingrediente se carga de forma segura, por lo que incluso una imagen insegura pasada por alto mantiene el candado debilitado. El enfoque práctico es escanear todo el sitio para no perderse nada, arreglar todo lo que controlas en bloque siempre que sea posible y luego manejar cualquier servicio externo por separado. Apuntar a una página completamente limpia bien vale el pequeño esfuerzo adicional.
¿Cómo puedo evitar que el contenido mixto vuelva después de corregirlo?+
La prevención más fiable es un pequeño hábito: cada vez que añadas imágenes, incrustaciones o código, comprueba que utilizan direcciones seguras antes de publicar. Además de eso, un escaneo periódico de todo tu sitio detecta cualquier cosa que se cuele, y la supervisión de tu estado seguro te alerta si reaparece una advertencia. Muchas plataformas también pueden actualizar automáticamente las solicitudes inseguras, lo que actúa como una útil red de seguridad detrás de tus buenos hábitos.

Referencias

  1. Google web.dev. "¿Qué es el contenido mixto?" web.dev.
  2. Mozilla MDN Web Docs. "Contenido mixto." developer.mozilla.org.
  3. Centro de aprendizaje de Cloudflare. "¿Qué es HTTPS?" cloudflare.com.
Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS