Defaults.Exposed

Defaults.Exposed › Informes

El boletín de notas de las cabeceras de seguridad HTTP: cómo puntúa la web en 2026

Publicado 2026-06-29

Cifras a fecha de 2026-06-29 · metodología v7. Datos de censo agregados de 261 millones de dominios calificados. Las comprobaciones de cabeceras se observan en las respuestas que pudimos alcanzar. Consulta cómo calificamos.

Las cabeceras de seguridad HTTP están entre las defensas más baratas de la web —unas pocas líneas de configuración, sin coste— y los datos muestran que casi siempre se omiten. En 261 millones de dominios, solo el 4,03% establece correctamente cada cabecera esencial. Cada cabecera bloquea un ataque específico y real —clickjacking, inyección de contenido, degradación de protocolo, fuga de referente— y a cada una le falta en la gran mayoría de los sitios.

El boletín de calificaciones

Más alto es mejor: la proporción de dominios que establecen cada cabecera correctamente. A fecha de 2026-06-29:

CabeceraQué detieneDominios que la establecen
HSTS (Strict-Transport-Security)Degradación de HTTPS a HTTP22,91% de los sitios HTTPS
Content-Security-PolicyCross-site scripting / inyección de contenido8,87%
X-Frame-Options / frame-ancestorsClickjacking14,48%
X-Content-Type-Options (nosniff)Ataques de confusión de tipo MIME16,65%
Referrer-PolicyFiltrar las URL del visitante a terceros10,10%
Todas las anteriores («seguro por defecto»)El conjunto completo4,03%

Content-Security-Policy —la defensa más fuerte contra el cross-site scripting— es el fallo principal: solo el 8,87% de los dominios envía una eficaz. Y solo el 4,03% acierta con todo el conjunto.

¿Por qué tan bajo, si son gratis?

La mayoría de los servidores y plataformas no instalan las cabeceras por defecto, así que solo aparecen cuando alguien las añade deliberadamente. No hay ninguna advertencia alarmante por su ausencia: a diferencia de un certificado caducado, una cabecera ausente es invisible para el propietario del sitio y para los visitantes, hasta que se explota. Esa invisibilidad es exactamente por lo que la adopción se queda en cifras de un solo dígito para las cabeceras que más importan.

¿Qué cabeceras debería priorizar?

Para la mayoría de los sitios, en orden:

  1. HSTS — una vez que estás en HTTPS, asegúralo. Arreglar HSTS.
  2. Protección contra clickjacking — una cabecera de una línea que evita que tus páginas se incrusten en marcos. Arreglar clickjacking.
  3. X-Content-Type-Options: nosniff y Referrer-Policy — triviales de añadir. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — la más potente y la que más trabajo da; vale la pena hacerla con cuidado. Arreglar CSP.

Preguntas frecuentes

¿Qué son las cabeceras de seguridad HTTP? Instrucciones que un servidor envía con cada página, indicando al navegador que aplique protecciones: bloquear el framing, rechazar contenido mixto, restringir scripts. Son configuración gratuita, no software.

¿Por qué solo el 4,03% de la web las establece todas? Porque son opcionales e invisibles. Nada se rompe ni avisa cuando faltan, así que la mayoría de los sitios nunca las añaden, hasta que un ataque explota la brecha.

¿Cuál es la cabecera más importante? HSTS y una Content-Security-Policy dan la mayor protección. CSP es la defensa más fuerte contra el cross-site scripting, pero requiere más cuidado al desplegarla.

¿Cómo veo qué cabeceras le faltan a mi sitio? Ejecuta una comprobación gratuita y privada (abajo): enumera cada cabecera y si la has establecido.

Comprueba tus cabeceras de seguridad gratis

Consulta tu boletín completo de cabeceras —y exactamente qué añadir— de forma privada y solo para el propietario.

Comprueba tu dominio → · Arreglar CSP → · Arreglar HSTS → · Cómo calificamos → · Solo datos agregados. Datos almacenados y procesados en la UE.