Defaults.Exposed › Informes
Lo que tus cabeceras de servidor revelan a los atacantes: el informe de divulgación de la pila (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados de censo a partir de cabeceras de respuesta HTTP observadas (
Server,X-Powered-By). Consulta cómo calificamos.
La mayor parte de la web revela voluntariamente con qué funciona: el 71,4% de los sitios nombran su servidor web en las cabeceras de respuesta, y el 8,1% van más allá y revelan su pila de aplicación, a menudo con la versión exacta. Nada de esto es obligatorio, y cada dato es una pista gratuita para un atacante que decide qué atacar. La divulgación de la versión es lo peor: una cabecera que anuncia software al final de su vida útil es una invitación.
Qué anuncia la web
La cabecera Server nombra el software del servidor web. A fecha de 2026-06-29, los valores más comunes entre el 71,4% de sitios que envían una:
| Cabecera Server | Proporción de sitios que envían una |
|---|---|
| cloudflare | 21,7% |
| nginx | 16,0% |
| apache | 14,9% |
| openresty | 9,2% |
| squarespace | 4,9% |
El nombre del servidor por sí solo es de bajo riesgo. La verdadera exposición es X-Powered-By, que envía el 8,1% de los sitios — y que con frecuencia incluye una versión precisa. Los valores más comunes incluyen asp.net y compilaciones específicas de PHP como php/7.4.33.
Por qué importa la divulgación de la versión
Un atacante que rastrea internet en busca de una vulnerabilidad conocida filtra exactamente por estas cabeceras. Un sitio que anuncia php/7.4.33 — una versión de PHP al final de su vida útil que ya no recibe parches de seguridad — le está diciendo a cada escáner que puede ser explotable, antes de un solo sondeo. La divulgación no crea la vulnerabilidad, pero elimina el coste de reconocimiento del atacante y coloca un sitio sin parchear en lo más alto de la lista.
La solución es gratuita y no tiene ningún inconveniente para los visitantes: suprime o generaliza estas cabeceras. No hay ninguna razón funcional para difundir la versión de tu pila al público.
Cómo dejar de filtrar tu pila
- Elimina
X-Powered-Bypor completo — no sirve de nada para los visitantes. (Una directiva en PHP/tu framework o un recorte de cabecera en el proxy.) - Generaliza
Server— elimina la versión, o la cabecera, en tu servidor web o CDN. - Mantén la pila parcheada de todos modos — ocultar la versión gana tiempo, no sustituye a las actualizaciones.
- Vuelve a comprobar para confirmar que las cabeceras han desaparecido.
Preguntas frecuentes
¿Qué es la cabecera X-Powered-By? Una cabecera de respuesta que anuncia el framework de la aplicación y a menudo su versión exacta (por ejemplo, una compilación de PHP específica). Es opcional y no aporta ningún beneficio a los visitantes — solo a los atacantes. El 8,1% de los sitios envían una.
¿Es una vulnerabilidad revelar mi software de servidor? No por sí solo, pero es divulgación de información: permite a los atacantes filtrar vulnerabilidades conocidas en tu pila y versión específicas, reduciendo su reconocimiento a cero. La mejor práctica es suprimirla.
¿Debería ocultar la cabecera Server?
Generalizarla (eliminar la versión) es buena práctica. La mayor ventaja es eliminar X-Powered-By y mantener el software parcheado.
¿Esto perjudica el SEO o a los visitantes? No. Estas cabeceras son invisibles para los usuarios e irrelevantes para los motores de búsqueda. Eliminarlas es puro beneficio.
Comprueba qué revelan tus cabeceras
Mira exactamente qué anuncia tu sitio — y qué eliminar — gratis y de forma privada.
Comprueba tu dominio → · El boletín de calificaciones de las cabeceras de seguridad HTTP → · Solo datos agregados. Datos almacenados y procesados en la UE.