AISeenTry Free
Try Free
Volver al blog
SecurityHeadersOWASP

Cabeceras de seguridad HTTP: la guía completa 2026

Las cabeceras de seguridad faltantes son una de las vulnerabilidades más comunes en sitios web. Aprende qué hace cada cabecera, por qué importa y cómo agregarla en menos de 5 minutos.

A
Equipo AISeen
··8 min read

Las cabeceras de seguridad HTTP son configuraciones de servidor de una sola línea que instruyen a los navegadores sobre cómo manejar el contenido de tu sitio. Previenen una amplia gama de ataques — desde clickjacking hasta cross-site scripting — sin requerir cambios en el código de tu aplicación.

Las seis cabeceras críticas

1. Content-Security-Policy (CSP)

CSP es la cabecera más poderosa para prevenir ataques XSS. Define una lista blanca de fuentes desde las que se pueden cargar scripts, estilos y otros recursos.

Comienza con una política de solo informe para auditar violaciones antes de aplicarlas:

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-violations

2. Strict-Transport-Security (HSTS)

HSTS obliga a los navegadores a usar HTTPS para todas las solicitudes futuras a tu dominio, incluso si el usuario escribe http://.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

3. X-Frame-Options / frame-ancestors

Previene que tus páginas sean incrustadas en iframes en otros sitios (clickjacking). La directiva CSP moderna frame-ancestors reemplaza la cabecera antigua X-Frame-Options.

4. X-Content-Type-Options

Detiene el MIME-sniffing del navegador. Una línea, protección máxima:

X-Content-Type-Options: nosniff

5. Referrer-Policy

Controla cuánta información de referente se incluye en las solicitudes salientes. strict-origin-when-cross-origin es el valor predeterminado recomendado.

6. Permissions-Policy

Restringe el acceso a las APIs del navegador (cámara, micrófono, geolocalización). Incluso si no usas estas APIs, restringirlas previene que scripts de terceros las abusen.

Cómo AISeen verifica tus cabeceras

El AISeen Security Score audita las seis cabeceras críticas más la configuración HTTPS, flags de cookies y fugas de información (divulgación de versión del servidor en cabeceras de respuesta).

Frequently Asked Questions

¿Cómo agrego cabeceras de seguridad en Next.js?
Agrega una función headers() a next.config.js. La función devuelve un array de objetos de cabecera, cada uno con un patrón de origen y un array de pares {key, value}. Los despliegues en Vercel también soportan agregar cabeceras vía vercel.json.
¿Agregar un CSP romperá mi sitio?
Un CSP estricto puede bloquear scripts y estilos en línea. Usa primero Content-Security-Policy-Report-Only para monitorear violaciones en producción sin romper nada, luego refuerza la política incrementalmente.
¿Qué considera AISeen Security Score como crítico?
La presencia HTTPS, HSTS y X-Content-Type-Options están marcados como Críticos. CSP, X-Frame-Options y Permissions-Policy son Alto. Las fugas de información (divulgación de cabecera de servidor) son Medio.

Check your site's scores now

SEO, GEO, Security, Speed & more — free audit in under 30 seconds.

Audit your site free →

Related articles

GEO

Qué es el GEO Score y por qué importa en 2026

·5 min read
Speed

Lista de verificación de Core Web Vitals: optimización de velocidad en 2026

·7 min read