¿Qué analizamos?
Las cabeceras HTTP de seguridad son instrucciones que el servidor envía al navegador indicando cómo debe comportarse para proteger al usuario. Su ausencia o mala configuración deja la puerta abierta a múltiples vectores de ataque.
Cabeceras verificadas
Strict-Transport-Security (HSTS)
Fuerza conexiones HTTPS, previene ataques de downgrade y man-in-the-middle.
Content-Security-Policy (CSP)
Controla qué recursos puede cargar la página, mitigando ataques XSS.
X-Frame-Options
Previene que la página sea embebida en iframes, protegiendo contra clickjacking.
X-Content-Type-Options
Evita el MIME-sniffing que podría ejecutar archivos maliciosos.
X-XSS-Protection
Activa el filtro anti-XSS del navegador (legacy pero aún relevante).
Referrer-Policy
Controla qué información de referencia se envía en las peticiones.
¿Por qué es importante?
Sin estas cabeceras, tu sitio web es vulnerable a ataques como Cross-Site Scripting (XSS), clickjacking, inyección de contenido malicioso y robo de información. Son una capa de defensa fácil de implementar pero frecuentemente olvidada.
Impacto si falla
- Ejecución de scripts maliciosos en el navegador del usuario
- Robo de cookies y tokens de sesión
- Engaño al usuario mediante clickjacking
- Inyección de contenido fraudulento
Marco legal aplicable
El Artículo 5 del RGPD establece el principio de integridad y confidencialidad de los datos. No implementar cabeceras de seguridad básicas puede considerarse una falta de diligencia en la protección de datos.
Sanciones potenciales
| Tipo de empresa | Multa orientativa |
|---|---|
| Microempresa | 5.000 - 40.000 € |
| PYME | 40.000 - 300.000 € |
| Gran empresa | Hasta 10M € o 2% facturación |