Las cabeceras de seguridad HTTP son cabeceras de respuesta que el servidor envía al navegador junto a cada página. Refuerzan la seguridad del sitio con varias órdenes: fuerzan HTTPS, restringen qué scripts se ejecutan e impiden embeber la página en un iframe ajeno.
Su objetivo es mitigar ataques habituales como el XSS o el clickjacking. Están documentadas por el OWASP Secure Headers Project y por MDN.
Las cabeceras principales
Un conjunto reducido de cabeceras cubre la mayoría del riesgo:
- Strict-Transport-Security (HSTS): obliga al navegador a usar siempre HTTPS y a no aceptar la versión sin cifrar.
- Content-Security-Policy (CSP): define qué fuentes de scripts, estilos e imágenes están permitidas. Así neutraliza la mayoría de los ataques XSS.
- X-Content-Type-Options: impide que el navegador adivine tipos de archivo.
- X-Frame-Options: evita que la página se cargue dentro de un iframe de otro sitio.
- Referrer-Policy: controla qué información de origen se filtra al navegar.
- Permissions-Policy: restringe el acceso a cámara, micrófono o geolocalización.
La cabecera HSTS, que fuerza el uso de HTTPS, está estandarizada en el RFC 6797. El IETF lo publicó en 2012 (fuente: IETF).
En conjunto, estas cabeceras mitigan XSS, clickjacking y la degradación silenciosa de HTTPS a HTTP.
Por qué no llegan por defecto
Un servidor recién instalado no envía estas cabeceras. Hay que configurarlas de forma explícita en el servidor web o en la aplicación.
Por eso un sitio puede estar perfectamente funcional y, aun así, suspender una auditoría de seguridad. Herramientas públicas, como las del OWASP Secure Headers Project, permiten verificar qué cabeceras faltan y calificar el nivel de protección de cualquier web.
Cómo lo usamos en SMedialab
Aplicamos estas cabeceras como parte del hardening de cada servidor que administramos. En los VPS con panel Hestia donde alojamos a nuestros clientes:
- Configuramos HSTS sobre los certificados que gestionamos.
- Definimos una Content-Security-Policy ajustada a los recursos reales de cada web.
- Activamos el resto de cabeceras del conjunto.
Controlamos a la vez el servidor, el dominio, el correo y los certificados de estos clientes. Por eso podemos endurecer la configuración sin romper integraciones legítimas. Además, revisamos las cabeceras en cada cambio de la web dentro del mantenimiento.
Esto forma parte de nuestro alojamiento web gestionado, concretamente del mantenimiento de hosting, donde el hardening HTTP se revisa de forma continua.
¿Tu web suspende una auditoría de cabeceras de seguridad? Escríbenos y reforzamos tu servidor sin romper nada.