hsts

¿Tu web es segura de verdad o solo lo parece? Hoy en día, tener HTTPS ya no es un extra, es lo mínimo. Pero hay algo más que puedes hacer para protegerla desde el primer segundo: activar HSTS.

HSTS es una tecnología que refuerza la seguridad de tu sitio evitando que alguien se cuele justo en ese momento en el que el navegador decide si usar HTTP o HTTPS. Es como decirle al navegador: “no lo pienses, aquí siempre vas por el camino seguro”.

El problema es que muchos sitios creen que lo tienen bien configurado… y no es así. Por eso, en esta guía verás cómo comprobar si tu web ya usa HSTS y cómo activarlo paso a paso si aún no lo tienes.

Vamos a centrarnos en lo que realmente importa: cómo se ve desde fuera, cómo lo puedes activar tú y qué errores debes evitar.

Cómo saber si tu web tiene HSTS y cómo activarlo paso a paso

TABLA DE CONTENIDOS

Qué es HSTS explicado de forma sencilla

HSTS son las siglas de "HTTP Strict Transport Security". Suena complejo, pero no lo es tanto.

Imagina que tu web es una tienda. HTTPS es la puerta blindada. Pero si alguien intenta entrar por la puerta trasera (HTTP), puede que se cuele un ladrón antes de que se active la alarma. HSTS es el cartel que le dice al navegador: "Esta tienda solo se abre por la puerta blindada. Siempre".

Sin HSTS, un atacante podría interceptar esa primera conexión. ¿Por qué? Porque aunque tu web esté bien configurada con HTTPS, muchos navegadores hacen la primera petición usando HTTP si el usuario escribe solo el dominio (sin https:// delante).

Luego la web redirige automáticamente a HTTPS, sí, pero durante ese breve momento, la conexión no está cifrada todavía. Ahí es donde entra el riesgo: alguien en la misma red podría interceptar esa petición, manipularla o redirigirla a un sitio falso.

Con HSTS, el navegador lo tiene claro desde el principio y no acepta nada que no sea HTTPS. Así se evita que alguien "engañe" al navegador en ese primer paso.

contratar hosting


Qué problemas podemos encontrar si activamos HSTS

HSTS es muy útil, pero no es magia. Si lo activas en tu web, debes asegurarte de que todo lo que cargues esté también usando HTTPS. Eso incluye imágenes, scripts, hojas de estilo, fuentes externas, etc.

Si alguno de estos recursos sigue usando HTTP, el navegador lo bloqueará. No habrá advertencias ni avisos para el usuario, simplemente ese contenido no se cargará. Esto puede provocar que tu web se vea mal o que ciertas funciones no funcionen.

Por eso, antes de activar HSTS de forma permanente, es importante revisar que no haya contenido mixto (HTTP y HTTPS) en tu sitio. Herramientas como Lighthouse o el inspector del navegador pueden ayudarte a detectarlo rápidamente.

Elemento ¿Puede causar error con HSTS?
Imagen con URL HTTP Sí, no se carga
Script de terceros sin HTTPS Sí, bloqueado por el navegador
Subdominio sin SSL Sí, dejará de ser accesible

Cómo comprobar si tu web ya tiene HSTS activo

La forma más sencilla y visual de saber si tu web tiene HSTS es usando una herramienta como hstspreload.org. Es gratuita, rápida y te dice exactamente qué le falta a tu dominio para estar protegido.

Solo tienes que introducir tu dominio y verás un informe dividido en secciones: encabezado HSTS, redirecciones, inclusión de subdominios, etc.

Qué significa cada punto del análisis

  • HTTPS válido: tu certificado SSL está activo. Sin esto, nada funciona.
  • Redirección a HTTPS: si alguien accede por HTTP, debe ser redirigido automáticamente.
  • Encabezado Strict-Transport-Security: es el aviso que el navegador necesita para aplicar la política HSTS.
  • includeSubDomains: asegura que todos los subdominios también usan HTTPS.
  • preload: indica si tu dominio está o puede estar en la lista de sitios seguros precargados en los navegadores.

Si alguno de estos puntos falla, la herramienta te lo marca con claridad y te da pistas para solucionarlo.

ejemplo-hsts-no-activado

Qué necesitas para activar HSTS correctamente

Requisito ¿Para qué sirve?
Certificado SSL válido Cifra la conexión y permite usar HTTPS
Redirección de HTTP a HTTPS Evita que el navegador cargue la versión insegura
Encabezado HSTS Le indica al navegador que siempre use HTTPS

Implementar HSTS no es complicado, pero debes hacerlo con cuidado. Aquí tienes lo que necesitas:

Certificado SSL al día

Tu web debe tener un certificado SSL/TLS válido. Si está caducado o mal configurado, el navegador lo bloqueará directamente. SI tienes un hosting web con Axarnet , no tendrás ningún problema con esto, ya que ofrecemos certificados SL gratis en todos nuestros alojamientos web.

Redirección de HTTP a HTTPS

Todas las visitas a tu web deben ser redirigidas automáticamente a la versión HTTPS. Puedes hacerlo desde .htaccess si usas Apache, aquí te los explicamos paso a paso, o desde la configuración del servidor si usas Nginx.

Añadir el encabezado Strict-Transport-Security

Esta es la línea importante que tienes que incluir en la configuración del servidor. Dependiendo del tipo de servidor que uses, deberás editar un archivo diferente:

En Apache: Añade esta línea en el archivo .htaccess que suele estar en la raíz de tu web, dentro del bloque <IfModule mod_headers.c>, o directamente en la configuración del virtual host si tienes acceso:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ejemplo-linea-strict-transport

En Nginx: Añade esta línea dentro del bloque server {} del archivo de configuración de tu sitio (normalmente en /etc/nginx/sites-available/ o similar):

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

Esto le dice al navegador que recuerde la política durante un año (31.536.000 segundos), que lo aplique también a subdominios y que puede incluir el sitio en la lista de preload.

Si todo funciona bien y y vuelves a pasar por la web de hstspreload.org verás algo como esto:

hsts-activado

Qué es el preload y cómo activarlo

Una cosa es tener HSTS activo y otra distinta es que tu dominio esté en la lista preload que utilizan los navegadores como Chrome, Firefox o Edge.

Cuando un dominio está en esa lista, los navegadores saben de antemano que deben usar HTTPS, incluso antes de que el usuario visite la web por primera vez. Es una forma de reforzar aún más la seguridad desde el primer momento.

Si ya has configurado correctamente HSTS y la herramienta hstspreload.org te da el visto bueno, puedes solicitar la inclusión en la lista preload marcando la casilla que aparece justo debajo del informe. Solo tienes que confirmar que entiendes lo que implica y hacer clic en "Submit".

enviar-web-verificacion-preload

La solicitud será revisada y si todo está correcto, tu dominio se añadirá en una futura actualización del navegador.

¿Vale la pena activar el preload?

Sí, pero solo si estás seguro de que tu web cumple todos los requisitos.

Entrar en la lista preload implica un compromiso a largo plazo: los navegadores forzarán el uso de HTTPS en tu dominio y todos sus subdominios, aunque el usuario nunca haya visitado la web antes. Esto ofrece una seguridad extra, pero también tiene implicaciones importantes.

Si más adelante necesitas usar HTTP por algún motivo (por ejemplo, en un subdominio específico), no podrás hacerlo fácilmente. Salir de la lista preload es complicado y puede llevar semanas o meses.

Por eso, activa el preload solo si:

  • Tienes todos los subdominios protegidos con HTTPS.
  • Renovas tu certificado automáticamente.
  • No vas a volver a usar HTTP en ningún caso.

Pero recuerda: una vez dentro, salir es difícil. Si algo falla en el futuro (por ejemplo, un subdominio sin HTTPS), los usuarios no podrán acceder.

🔒 HSTS: Conexión Segura vs Vulnerable

⚠️Sin HSTS (Vulnerable)
  • 1.Usuario escribe: miweb.com
  • 2.Navegador conecta por HTTP
  • 3.⚡ Momento vulnerable
  • 4.Redirección a HTTPS
  • 5.Conexión finalmente segura
🚨 Riesgo: Interceptación en el paso 2-3
🛡️Con HSTS (Protegido)
  • 1.Usuario escribe: miweb.com
  • 2.Navegador fuerza HTTPS
  • 3.✅ Conexión segura directa
  • 4.Sin redirecciones
  • 5.Protegido desde el inicio
🔒 Protección: Sin ventanas de vulnerabilidad
31.536.000
Segundos que el navegador recuerda HSTS (1 año)
100%
Conexiones seguras con HSTS activo
0
Redirecciones HTTP vulnerables

Conclusión

Si ya tienes tu web con HTTPS, activar HSTS es un paso lógico y sencillo para mejorar la seguridad. Solo tienes que añadir una línea en el servidor y listo: el navegador recordará que tu sitio solo debe cargarse por la vía segura.

Ahora bien, una cosa es activar HSTS y otra muy distinta es añadir tu dominio al preload. Son dos pasos separados:

  • ¿Puedes tener HSTS sin preload? Sí, perfectamente. De hecho, la mayoría de webs lo tienen así, y es suficiente en la mayoría de casos.
  • ¿Es obligatorio estar en la lista preload? No. Solo es recomendable si tienes todo bien configurado y no piensas volver a usar HTTP nunca más.

Así que no hay prisa. Primero asegúrate de que tu sitio responde bien con HSTS. Y si más adelante decides ir a por todas, entonces puedes plantearte la inclusión en preload.


contratar hosting

Imagen

Hosting Web

Lanza tu proyecto a la red. Desde 2,48 € al mes podrás tener visible tu negocio en Internet ¿A qué esperas?
Contratar ►

Dominios

El primer paso de un negocio en Internet es contar con un dominio. ¡Regístralo!

Contratar ►
Imagen

Certificado SSL

Protege tu web, gana posiciones en Google y aumenta tus ventas y clientes.

Contratar ►
Imagen

Hosting WordPress

Para páginas corporativas y ecommerce hechos en WordPress. Configuración específica y backups diarios.
Contratar ►
Logo Axarnet

Llámanos: 911 868 181

Centro de Atención y Soporte



Alojamiento Web

Hosting Web
Hosting Wordpress
Hosting Prestashop
Hosting WooCommerce
Hosting Reseller
Hosting Correo
Prueba tu hosting
Mantenimiento WordPress

Otros servicios

Microsoft 365
Antispam
Antivirus ESET
Restauración de Backup
Extra Backup Acronis para Hosting y VPS
Pack digital Autónomos

AXARNET COMUNICACIONES S.L | Lee nuestro Aviso Legal y nuestra Política de Cookies | Echa un vistazo a nuestras Condiciones Generales de Contratación

Continúa con tu compra

¿Es la primera vez que compras?

Si ya eres cliente de Axarnet

Inicia Sesión
Recuperar Contraseña