Qué es HSTS en seguridad web y cómo activarlo

Qué es HSTS en seguridad web y cómo activarlo

Publicada el

Cuando navegamos por una página con HTTPS, nuestros datos viajan cifrados. Pero eso no siempre es suficiente. Aquí es donde entra en juego HSTS (HTTP Strict Transport Security), una política de seguridad web que obliga a los navegadores a conectarse siempre mediante HTTPS.

Esto significa que, aunque tú escribas la dirección con “http” o sigas un enlace antiguo sin cifrado, el navegador corregirá el error automáticamente. No hay margen para que un atacante redirija la conexión a una versión insegura de la web. Además, HSTS evita que los usuarios puedan ignorar las advertencias de seguridad, bloqueando por completo el acceso si el certificado SSL no es válido.

En resumen, es como una orden directa al navegador que le dice: “Aquí no se negocia: siempre que entres, tiene que ser de forma segura”.

Tabla de Contenidos:

oferta para contratar hosting web

Cómo funciona realmente HSTS

La clave está en una cabecera HTTP. Cuando un navegador visita una web que ya tiene HSTS activo, el servidor envía un mensaje con esta cabecera especial:
Strict-Transport-Security.

Esta cabecera le dice al navegador durante cuánto tiempo debe obligar la conexión segura. Por ejemplo:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
  • max-age define el número de segundos durante los cuales la política estará activa. Un año equivale a 31536000.
  • includeSubDomains garantiza que también los subdominios sigan esta regla.
  • preload indica que esa web quiere formar parte de una lista oficial mantenida por los navegadores para aplicar HSTS desde el primer momento, incluso en la primera visita.

Este detalle es importante, porque HSTS solo funciona si la primera conexión es segura. Si un atacante logra interceptar una conexión HTTP inicial, puede intentar evitar que el navegador reciba la cabecera. Por eso existe el preload, para que el navegador ya conozca de antemano qué webs exigen HSTS sin necesidad de haberlas visitado antes.

🔒 Cómo Funciona HSTS: Flujo Interactivo
🌐
Usuario visita web
Primer acceso a tu sitio web
El navegador intenta conectarse por primera vez a tu sitio web
🔐
Servidor envía HSTS
Cabecera de seguridad
El servidor incluye la cabecera Strict-Transport-Security en la respuesta
🧠
Navegador recuerda
Guarda la política HSTS
El navegador almacena la política HSTS durante el tiempo especificado
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
❌ SIN HSTS
Seguridad:
Permite conexiones HTTP
Vulnerable a ataques MitM
Redirecciones inseguras
Cookies sin protección
✅ CON HSTS
Seguridad:
Solo conexiones HTTPS
Protección contra MitM
Redirecciones automáticas
Cookies siempre seguras

Ventajas de activar HSTS en tu web

Aplicar HSTS a tu sitio web ofrece beneficios que van más allá de la seguridad básica:

Mayor protección contra ataques. Al impedir conexiones no seguras desde el inicio, se reducen los riesgos de ataques tipo “Man-in-the-Middle”.

Corrección automática. Si alguien intenta acceder a tu web por HTTP, el navegador la redirige directamente a HTTPS sin intervención del servidor.

Mejor imagen de marca. Mostrar que te preocupas por la seguridad de tus usuarios refuerza tu reputación online.

Ayuda al SEO. Aunque Google no ha confirmado oficialmente que HSTS influya directamente en el posicionamiento, tener solo una versión segura de tu web evita duplicidades y mejora la experiencia de usuario, algo que sí valoran los motores de búsqueda.

Cumplimiento normativo. Muchas normativas de protección de datos exigen medidas para garantizar la seguridad de las comunicaciones. HSTS es un buen paso en esa dirección.

Funcionalidad Sin HSTS Con HSTS
Cifrado HTTPS Depende de la redirección Obligatorio siempre
Protección contra ataques MitM Limitada Muy alta
Protección de cookies Solo si hay HTTPS Siempre asegurada
Redirecciones inseguras Posibles Bloqueadas

Cómo añadir HSTS en tu web

Antes de aplicar HSTS, es imprescindible que tu web ya tenga HTTPS activo con un certificado SSL válido. También es importante haber configurado correctamente la redirección de HTTP a HTTPS, ya sea desde el servidor o con una regla en el archivo .htaccess.

Una vez tengas todo esto listo, puedes añadir la cabecera HSTS.
Si tu web está en un servidor Apache, puedes usar esta línea:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Este fragmento le dice al navegador que, durante un año completo, todas las visitas deben hacerse usando solo HTTPS. También incluye los subdominios y le indica a los navegadores que quieres estar en la lista preload.

Pero antes de usar este valor alto, conviene ir paso a paso.
Si es la primera vez que pruebas HSTS, puedes usar un tiempo muy corto, como:

Header always set Strict-Transport-Security "max-age=300"

Eso son solo 5 minutos. Así puedes probar que todo funciona bien sin arriesgarte a que los navegadores recuerden una configuración incorrecta durante semanas o meses.

Además, si activas la opción preload, tu dominio pasará a una lista que los navegadores ya llevan integrada. Esto hace que HSTS se aplique desde el primer momento, incluso antes de visitar la web por primera vez.

Eso sí, estar en la lista preload no se puede desactivar fácilmente.
Si te equivocas o cambias de idea, tendrás que pedir a los navegadores que te borren, y ese proceso puede tardar bastante.

Por eso es clave asegurarte de que todo está perfectamente configurado antes de usar valores largos o activar el preload.

Cómo activar HSTS desde Plesk en tu hosting

Si usas Plesk para gestionar tu web, activar HSTS es muy fácil.
En Loading ofrecemos Plesk como panel de control en nuestros planes de hosting, así que puedes hacerlo tú mismo sin tocar código.

Antes de activar HSTS…

Primero, asegúrate de que:

  • Tu web funciona con HTTPS.
  • Tienes un certificado SSL válido.
  • Todas las páginas cargan bien sin errores.

Esto es importante porque, si algo falla, podrías bloquear tu web sin querer.

Cómo se activa

  1. Entra a Plesk y ve al apartado donde gestionas tu certificado SSL (suele ser el de Let’s Encrypt).
  2. Activa la opción HSTS.
  3. Elige un tiempo de duración. Se recomienda 6 meses o 1 año.
activar HSTS en Plesk

También verás dos casillas más:

  • Incluir subdominios → Márcala solo si tus subdominios también usan HTTPS.
  • Aplicar a webmail → Marca esta si usas el correo con tu dominio.

Cuando tengas todo listo, haz clic en “Activar HSTS”.
¡Y ya está! Tu web ahora les dirá a los navegadores que solo se debe acceder por HTTPS.

Si aún no tienes un hosting con Plesk y quieres todas estas ventajas, puedes comprar hosting en Loading con soporte incluido y todo listo para empezar.

Cuándo NO usar HSTS

Imagina que tu página web es como una casa. Ponerle HSTS sería como instalarle una alarma extra muy potente. Es algo bueno, claro, pero no siempre hace falta. Y no tener HSTS no significa que tu casa no sea segura.

Cuándo NO hace falta activar HSTS

El HSTS es una ayuda extra para la seguridad, pero a veces no es necesaria.
Por ejemplo:

  • Si tu web ya tiene el candado verde (HTTPS) y funciona bien.
  • Si todas tus páginas redirigen automáticamente a la versión segura.
  • Si no usas subdominios importantes (como blog o tienda) que necesiten protección extra.

En ese caso, puedes estar tranquilo. Tu web ya es segura.
El HSTS solo sería una capa más, como quien pone doble cerradura en la puerta.

hsts-cuando-usar

Y cuándo es mejor esperar

Hay momentos en los que no es buena idea activar HSTS todavía.
Por ejemplo:

  • Si estás haciendo cambios o pruebas en tu sitio.
  • Si tienes subdominios sin certificado SSL.
  • Si no estás 100% seguro de que todo esté bien configurado.

¿Por qué? Porque una vez activas HSTS, el navegador de tus visitantes recuerda la orden.
Y si luego hay algún error, es muy difícil que puedan volver a entrar hasta que todo esté arreglado.

Además, si tienes muchas partes distintas en tu web y alguna no está protegida con HTTPS, podrías causar problemas a tus usuarios sin darte cuenta.

Teniendo en cuenta todo esto, podemos determinar que:

HSTS es una herramienta útil, pero no obligatoria.

Si tu web ya funciona con HTTPS, con su certificado bien instalado y las redirecciones hechas, no necesitas HSTS para estar protegido.

Y si algún día decides activarlo, hazlo con calma, revisando bien que todo esté preparado. Así evitarás errores y podrás disfrutar de esa protección extra sin sustos.

Conclusión

HSTS es una herramienta muy útil para hacer que una web sea todavía más segura. Ayuda a que siempre se use una conexión cifrada y evita ciertos ataques que podrían poner en riesgo los datos de los usuarios.

Pero no es algo obligatorio.
Si ya tienes HTTPS bien configurado, con tu certificado SSL válido y tus redirecciones funcionando correctamente, tu web ya está protegida.
HSTS es simplemente un paso extra que puedes añadir si quieres reforzar la seguridad al máximo.

Eso sí, si decides activarlo, hazlo con cuidado. Revisa bien que todo esté en orden, sobre todo si usas subdominios o tienes varias partes en tu web.

oferta para contratar hosting web
HTTP vs HTTPS: Claves para una Web más Segura y Confiable
Qué es el protocolo HTTP: Guía Básica
Habilitar certificado SSL y forzar la redirección HTTP a HTTPS en WordPress

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.