Defaults.Exposed

Defaults.Exposed › Informes

Lo que tus cabeceras de servidor revelan a los atacantes: el informe de divulgación de la pila (2026)

Publicado 2026-06-29

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados de censo a partir de cabeceras de respuesta HTTP observadas (Server, X-Powered-By). Consulta cómo calificamos.

La mayor parte de la web revela voluntariamente con qué funciona: el 71,4% de los sitios nombran su servidor web en las cabeceras de respuesta, y el 8,1% van más allá y revelan su pila de aplicación, a menudo con la versión exacta. Nada de esto es obligatorio, y cada dato es una pista gratuita para un atacante que decide qué atacar. La divulgación de la versión es lo peor: una cabecera que anuncia software al final de su vida útil es una invitación.

Qué anuncia la web

La cabecera Server nombra el software del servidor web. A fecha de 2026-06-29, los valores más comunes entre el 71,4% de sitios que envían una:

Cabecera ServerProporción de sitios que envían una
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

El nombre del servidor por sí solo es de bajo riesgo. La verdadera exposición es X-Powered-By, que envía el 8,1% de los sitios — y que con frecuencia incluye una versión precisa. Los valores más comunes incluyen asp.net y compilaciones específicas de PHP como php/7.4.33.

Por qué importa la divulgación de la versión

Un atacante que rastrea internet en busca de una vulnerabilidad conocida filtra exactamente por estas cabeceras. Un sitio que anuncia php/7.4.33 — una versión de PHP al final de su vida útil que ya no recibe parches de seguridad — le está diciendo a cada escáner que puede ser explotable, antes de un solo sondeo. La divulgación no crea la vulnerabilidad, pero elimina el coste de reconocimiento del atacante y coloca un sitio sin parchear en lo más alto de la lista.

La solución es gratuita y no tiene ningún inconveniente para los visitantes: suprime o generaliza estas cabeceras. No hay ninguna razón funcional para difundir la versión de tu pila al público.

Cómo dejar de filtrar tu pila

  1. Elimina X-Powered-By por completo — no sirve de nada para los visitantes. (Una directiva en PHP/tu framework o un recorte de cabecera en el proxy.)
  2. Generaliza Server — elimina la versión, o la cabecera, en tu servidor web o CDN.
  3. Mantén la pila parcheada de todos modos — ocultar la versión gana tiempo, no sustituye a las actualizaciones.
  4. Vuelve a comprobar para confirmar que las cabeceras han desaparecido.

Preguntas frecuentes

¿Qué es la cabecera X-Powered-By? Una cabecera de respuesta que anuncia el framework de la aplicación y a menudo su versión exacta (por ejemplo, una compilación de PHP específica). Es opcional y no aporta ningún beneficio a los visitantes — solo a los atacantes. El 8,1% de los sitios envían una.

¿Es una vulnerabilidad revelar mi software de servidor? No por sí solo, pero es divulgación de información: permite a los atacantes filtrar vulnerabilidades conocidas en tu pila y versión específicas, reduciendo su reconocimiento a cero. La mejor práctica es suprimirla.

¿Debería ocultar la cabecera Server? Generalizarla (eliminar la versión) es buena práctica. La mayor ventaja es eliminar X-Powered-By y mantener el software parcheado.

¿Esto perjudica el SEO o a los visitantes? No. Estas cabeceras son invisibles para los usuarios e irrelevantes para los motores de búsqueda. Eliminarlas es puro beneficio.

Comprueba qué revelan tus cabeceras

Mira exactamente qué anuncia tu sitio — y qué eliminar — gratis y de forma privada.

Comprueba tu dominio → · El boletín de calificaciones de las cabeceras de seguridad HTTP → · Solo datos agregados. Datos almacenados y procesados en la UE.