Verificador de Cabeceras de Seguridad Gratis — Prueba Tu Sitio en Segundos
Pega tu URL y ve qué cabeceras HTTP de seguridad le faltan a tu sitio. Gratis, sin cuenta. Revisa CSP, HSTS, X-Frame-Options y 5 más en menos de 10 segundos.
Rod
Founder & Developer
Tu sitio probablemente tiene cabeceras de seguridad faltantes. La mayoría los tiene. Pega tu URL en el Verificador de Cabeceras de Seguridad gratuito y lo sabes en menos de 10 segundos — sin cuenta. Obtienes un score de 0 a 100 y el detalle de qué cabeceras están presentes, cuáles faltan y cuáles están mal configuradas.
Esto es solo sobre la herramienta. Si ya viste tu score y quieres la guía de configuración paso a paso para Next.js, está en el post de security headers para Next.js (en inglés por ahora).
Qué hace el verificador de cabeceras de seguridad
La herramienta hace una petición a tu URL, lee las cabeceras HTTP de la respuesta, y verifica 8 cabeceras de seguridad que los navegadores usan para proteger a tus usuarios. Cada una sale como pasa, falla o mal configurada, y eso se suma a un score de 0-100.
| Cabecera | Qué revisa |
|---|---|
| Content-Security-Policy | Presencia y validación básica de directivas |
| Strict-Transport-Security | Presencia, valor de max-age, includeSubDomains |
| X-Frame-Options | Valor DENY o SAMEORIGIN |
| X-Content-Type-Options | Valor nosniff |
| Referrer-Policy | Presencia y nivel de restricción |
| Permissions-Policy | Presencia |
| Cross-Origin-Opener-Policy | Presencia |
| Cross-Origin-Resource-Policy | Presencia |
El check completo corre en menos de 10 segundos. Los resultados aparecen directo en la página — sin email, sin cuenta, sin espera.
Verifica tus cabeceras de seguridad gratis — pega tu URL y obtén tu score.
Por qué importan las cabeceras de seguridad
Las cabeceras HTTP de seguridad son instrucciones que tu servidor manda a los navegadores. Le dicen al navegador qué confiar, qué bloquear y cómo manejar tu contenido. Cuando faltan, el navegador cae de regreso a defaults permisivos — que es exactamente en lo que cuentan los atacantes.
Las cabeceras de seguridad faltantes no son un detalle menor de configuración. El OWASP Top 10 las lista en A05:2021 — Configuración Incorrecta de Seguridad. Es uno de los hallazgos más consistentes en cualquier revisión de seguridad de aplicaciones web.
La razón por la que es tan común en 2026: la mayoría de los proyectos arrancan con el scaffold del framework y se hacen deploy antes de que alguien configure las cabeceras. Las herramientas de IA como Cursor y v0 no las agregan por defecto. Vercel tampoco. El reporte State of Software Security 2025 de Veracode encontró que el 45% del código generado por IA llega a producción con al menos una vulnerabilidad — y las cabeceras faltantes son de los hallazgos más frecuentes que vemos en escaneos reales. Va directo con los problemas de seguridad más amplios del código generado por IA que aparecen en todos los stacks.
El resultado: incluso apps bien construidas sacan menos de 40 en su primer check de headers.
Las 8 cabeceras que revisa la herramienta
Content-Security-Policy
Le dice al navegador qué scripts, estilos y recursos pueden cargar en tu página. Es tu defensa principal contra cross-site scripting (XSS). Sin ella, un script inyectado corre con acceso completo a tu DOM y cookies.
Strict-Transport-Security (HSTS)
Fuerza a los navegadores a conectarse por HTTPS aunque el usuario escriba http://. Previene ataques de downgrade de protocolo, donde un atacante en la red intercepta una conexión no-HTTPS antes de que ocurra cualquier redirect.
X-Frame-Options
Evita que tu página cargue dentro de un iframe en otro dominio. Es la protección contra clickjacking — donde un atacante pone una versión invisible de tu página sobre un sitio señuelo para engañar a los usuarios a hacer clic en cosas que no querían.
X-Content-Type-Options
Detiene el MIME sniffing — que los navegadores adivinen el tipo de contenido de una respuesta basándose en su contenido en lugar del Content-Type declarado. Sin esta cabecera, un navegador podría ejecutar un archivo subido como JavaScript si parece código.
Referrer-Policy
Controla cuánto de tu URL se comparte cuando los usuarios hacen clic en links a otros sitios. Sin ella, los navegadores pueden enviar URLs completas — incluyendo query strings con IDs de usuario o tokens — a cada dominio externo.
Permissions-Policy
Controla a qué APIs del navegador puede acceder tu página: cámara, micrófono, geolocalización, pagos. La mayoría de las apps no usan ninguna de estas. Una política restrictiva limita el daño si se inyecta un script malicioso de terceros.
Cross-Origin-Opener-Policy
Aísla tu contexto de navegación de ventanas de otros orígenes. Evita que otras páginas accedan a tu objeto window, lo que bloquea una categoría de fugas de información cross-site y ataques estilo Spectre en navegadores que lo soportan.
Cross-Origin-Resource-Policy
Controla qué orígenes pueden cargar tus recursos. Evita que otros sitios embeba tus respuestas de API o assets de formas que no pretendías.
El OWASP Secure Headers Project mantiene los valores recomendados para todas estas. El verificador valida contra esas recomendaciones.
Qué significa tu score
El score es un valor ponderado de 0-100 basado en qué cabeceras están presentes y correctamente configuradas. Las cabeceras de mayor impacto como CSP y HSTS tienen más peso que las de menor impacto.
| Rango | Qué significa |
|---|---|
| 0 – 40 | Faltan varias cabeceras críticas. Empieza por CSP y HSTS. |
| 41 – 70 | Algunas cabeceras están, pero la configuración tiene huecos. |
| 71 – 90 | Buena base. Faltan algunas cabeceras o podrían ser más estrictas. |
| 91 – 100 | Las 8 cabeceras presentes y correctamente configuradas. |
La mayoría de los deploys nuevos sacan entre 10 y 35. No es un reflejo de tu nivel — es un reflejo de cómo los frameworks y plataformas de hosting hacen deploy por defecto. El arreglo normalmente es un solo archivo de configuración.
Qué hacer si tu score es bajo
El verificador te dice qué falta. La guía de configuración te dice cómo agregarlo.
Para apps Next.js, todo va en next.config.ts. El post de configuración de security headers para Next.js (en inglés) tiene el bloque de configuración completo listo para copiar y pegar — CSP, HSTS, X-Frame-Options y el resto. También cubre el enfoque de nonce para App Router, que necesitas si quieres un CSP que no rompa tu hidratación.
Para otros stacks, el approach es parecido — middleware o config del framework, no código de la aplicación.
Check manual rápido mientras estás aquí:
curl -I https://tu-dominio.comBusca content-security-policy, strict-transport-security y x-frame-options en el output. Si no los ves, el verificador te muestra el panorama completo. Corre tu URL en el Verificador de Cabeceras de Seguridad gratuito para ver el desglose con score y hallazgos específicos.
Después de arreglar tus cabeceras, si quieres ir más profundo — escanear tu codebase por secretos expuestos, dependencias con vulnerabilidades o verificaciones de autenticación faltantes — eso es lo que hace el scanner completo de Data Hogo. El plan gratuito en /es/pricing incluye 3 escaneos por mes, sin tarjeta de crédito.
También puedes revisar otros dos quick wins comunes:
- Verificador de archivo .env — confirma que tu
.envno sea accesible públicamente en tu dominio deployado - Verificador de score de seguridad — corre un escaneo completo de la superficie de tu URL deployada y da un score de seguridad general
Preguntas frecuentes
¿Cómo reviso si mi sitio tiene cabeceras de seguridad?
Pega tu URL en el Verificador de Cabeceras de Seguridad gratuito de Data Hogo. Revisa 8 cabeceras HTTP de seguridad en segundos y te da un score de 0 a 100 — sin cuenta. También puedes revisarlo manualmente con curl -I https://tu-dominio.com y buscar content-security-policy, strict-transport-security y x-frame-options en la respuesta.
¿Qué cabeceras de seguridad debería tener todo sitio web?
Como mínimo: Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy. El OWASP Secure Headers Project recomienda agregar también Cross-Origin-Opener-Policy y Cross-Origin-Resource-Policy. No tener ninguna de estas cae dentro del OWASP A05:2021 Configuración Incorrecta de Seguridad.
¿Vercel agrega cabeceras de seguridad automáticamente?
No. Los planes Free y Pro de Vercel no agregan cabeceras de seguridad por defecto. Un deploy nuevo de Next.js en Vercel normalmente saca menos de 30 en un check de headers — vas a ver las cabeceras propias de Vercel como x-vercel-id en la respuesta, pero ni Content-Security-Policy ni Strict-Transport-Security. Las configuras tú mismo en next.config.ts. La referencia de Content-Security-Policy en MDN tiene el detalle de las directivas.
¿Cuál es la diferencia entre securityheaders.com y el verificador de Data Hogo?
Ambos revisan cabeceras HTTP contra un conjunto de buenas prácticas. Data Hogo da un score numérico de 0-100, explica cada hallazgo en español, enlaza a guías de configuración específicas por stack (no documentación genérica), y es el único verificador de headers con soporte nativo en español. El formato de score también facilita ver el avance conforme vas agregando cabeceras.
Verifica tus cabeceras de seguridad gratis — sin cuenta, resultados en segundos.
Posts Relacionados
¿Cuál Es el Score de Seguridad de Tu App? Haz el Quiz Gratis
10 preguntas sobre la seguridad de tu app. Obtén un score de 0 a 100 en 5 áreas: secretos, autenticación, headers, base de datos, dependencias. Gratis, sin cuenta, 3 minutos.
Escáner de .env Expuesto Gratis — Revisa 13 Rutas en Un Clic
¿Tu archivo .env está accesible públicamente? Pega tu URL y revisa 13 rutas comunes al instante. Gratis, sin cuenta. Un 200 en cualquier ruta significa que tus secretos están expuestos.