2026-07-14

Encabezados de seguridad HTTP: Referencia completa

Encabezados de seguridad: Protegiendo tu sitio web con respuestas HTTP

Los encabezados de seguridad HTTP son una forma poderosa de proteger tu sitio web de ataques comunes. Son instrucciones que tu servidor envía al navegador, indicándole cómo comportarse. Unos pocos encabezados bien elegidos pueden prevenir categorías enteras de ataques sin cambios en el código de tu aplicación.

Los encabezados más importantes

Content-Security-Policy (CSP) es el encabezado de seguridad más potente. Le dice al navegador qué fuentes están permitidas para cargar scripts, estilos, imágenes y otros recursos. Si un atacante logra inyectar una etiqueta script que apunte a su servidor, CSP la bloquea. CSP también puede prevenir scripts en línea, eval y otros patrones peligrosos. Es la defensa más eficaz contra ataques de cross-site scripting.

Strict-Transport-Security (HSTS) le dice al navegador que siempre use HTTPS al conectarse a tu sitio, incluso si el usuario escribe http:// o hace clic en un enlace HTTP simple. Esto previene ataques de intermediario donde un atacante intercepta la solicitud HTTP inicial y redirige al usuario a un sitio falso.

X-Frame-Options evita que tu sitio sea incrustado en un iframe en otro dominio. Esto protege contra ataques de clickjacking, donde un atacante engaña a los usuarios para que hagan clic en algo que no pretendían superponiendo un iframe transparente sobre una página engañosa.

Encabezados de protección adicionales

X-Content-Type-Options evita que el navegador adivine el tipo MIME de un archivo. Si sirves un archivo como text/plain, el navegador no intentará interpretarlo como JavaScript, incluso si parece un script. Esto previene un tipo de ataque llamado MIME sniffing.

Referrer-Policy controla cuánta información de referente se envía cuando un usuario hace clic en un enlace a otro sitio. Una política estricta como 'strict-origin-when-cross-origin' envía la URL completa para solicitudes del mismo origen, pero solo el origen para solicitudes de origen cruzado, protegiendo la privacidad del usuario.

Permissions-Policy (antes Feature-Policy) te permite controlar qué funciones del navegador puede usar tu sitio. Puedes deshabilitar la cámara, el micrófono, la geolocalización y otras funciones que no necesites, reduciendo la superficie de ataque.

Implementación de encabezados de seguridad

Puedes configurar encabezados de seguridad en la configuración de tu servidor web (NGINX, Apache, Caddy), en tu framework de aplicación, o a través de un CDN como Cloudflare. Existen herramientas como el Observatorio de Mozilla que escanean tu sitio y te indican qué encabezados faltan o están mal configurados.

Comienza con un conjunto simple de encabezados y agrega gradualmente más a medida que entiendas su impacto. Los más importantes para implementar primero son HSTS, CSP, X-Frame-Options y X-Content-Type-Options. Prueba tu sitio después de cada cambio para asegurarte de que no has roto nada — especialmente CSP, que puede ser complicado de configurar correctamente.

Trabajemos juntos

¿Necesitas más información, ayuda con tu proyecto o desarrollar una idea?

Ya sea una pregunta sencilla, una duda rápida o una charla de 5 minutos, envíame un mensaje—no cuesta nada y siempre estoy listo para ayudar. Me gusta escuchar para entender el problema, ser creativo en las soluciones y centrarme en ideas simples, confiables y fáciles de implementar rápidamente.

Contáctame

Cambiar Tema

Elige un tema especializado para explorar: