Ir al contenido principal
Iniciar sesión
CaptainDNS

Diagnóstico de email

Herramientas para verificar y validar la autenticación de tu correo.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Entregabilidad

Auditoría de entregabilidad de emailAnalizador de encabezadosProbador de correoVerificador blacklist IPVerificador blacklist dominioAplanador SPFBuscador de selectores DKIMVerificador SMTP/MX

Proteger y Supervisar

Generadores de registros, hosting de políticas y monitoreo continuo.

Red y Web

Herramientas de red, análisis de páginas web y certificados.

Herramientas IP

Mi dirección IP

Detecta tus direcciones IPv4/IPv6 y su geolocalización.

Búsqueda inversa

Resuelve un registro PTR y verifica la coherencia DNS.

WhoIs IP

Identifica al propietario de un rango IP y sus contactos.

Máscara IPv4

Calcula la red, el broadcast y los hosts utilizables de cualquier bloque IPv4.

Calculadora de subredes IPv6

Calcula subredes IPv6, rangos de direcciones y entradas DNS inverso.

Certificados y BIMI

Inspector de logo BIMI

Analiza la URL de un logo BIMI, su formato, metadatos y visualización.

BIMI SVG Converter

Convierte cualquier SVG al formato Tiny-PS compatible BIMI en segundos.

Analizador de CSR

Analiza un CSR, extrae los datos del sujeto, las huellas y los SAN solicitados.

Inspector VMC

Revisa un Verified Mark Certificate: entidad emisora, validez y SAN antes de publicar BIMI.

Web

Verificador de peso de página

Comprueba si tu página supera el límite de 2 MB de Googlebot.

Verificador de URL de phishing

Verifica si una URL está marcada como phishing o malware por 4 fuentes.

Visor de cabeceras HTTP

Inspecciona las cabeceras HTTP devueltas por una URL, con anotaciones para las cabeceras de seguridad.

Test HSTS

Analiza la política HSTS de un dominio y su estado en la lista de preload de Chromium.

Redirect Checker

Analiza cadenas de redirecciones HTTP

Redirección de dominio

Redirija sus dominios con HTTPS automático y redirecciones 301/302.

HTTP Uptime Monitor

Supervise la disponibilidad de sus sitios con comprobaciones programadas y alertas por correo.

Páginas de estado

Publique una página pública que agrupe sus monitores HTTP.

Herramientas de desarrollo

Utilidades de texto y herramientas para el día a día del desarrollo.

Texto

Transforma y mide tus textos al instante.

Convertidor de mayúsculas/minúsculas

Convierte cualquier bloque de texto a minúsculas o mayúsculas al instante.

Generador de slug

Convierte cualquier titular en un slug optimizado para SEO en segundos.

Contador de palabras y caracteres

Calcula al instante cuántas palabras y caracteres contiene cualquier texto.

Generador de contraseñas

Genera contraseñas aleatorias seguras y frases de contraseña fáciles de recordar.

Desarrollador

Codificacion, hashing, regex y formateo para el dia a dia dev.

Codificador / decodificador Base64

Codifica o decodifica contenido Base64 sin salir del navegador.

Generador de hash

Calcula los hash MD5, SHA-1, SHA-256 y SHA-512 de cualquier texto.

Codificador / decodificador URL

Codifica o decodifica texto con percent-encoding (RFC 3986) directamente en el navegador.

Probador de regex

Prueba una expresión regular contra un texto y visualiza las coincidencias.

Formateador JSON / YAML

Formatea, valida y convierte JSON y YAML en un clic.

Verificador de Cabeceras HTTP con Nota de Seguridad

Verifica tus cabeceras HTTP de seguridad y obtén una nota de A a F

Introduce una URL para analizar las cabeceras HTTP devueltas por el servidor. La herramienta detecta las 10 security headers esenciales (CSP, HSTS, X-Frame-Options, etc.) y calcula una puntuación ponderada con una nota de A a F.

¿Por qué analizar tus cabeceras HTTP de seguridad?

Las cabeceras HTTP de seguridad forman la primera línea de defensa de tu sitio web del lado del navegador. Sin CSP, sin HSTS, sin X-Frame-Options, dejas a los atacantes ángulos de ataque que los estándares modernos saben cerrar. Un test de seguridad de sitio web regular permite detectar estos olvidos antes de que se conviertan en incidente.

Nuestro analizador recupera las cabeceras HTTP devueltas por tu servidor, las confronta con las recomendaciones OWASP y Mozilla, y luego calcula una puntuación ponderada con una nota de A a F. En 30 segundos obtienes una vista clara de las brechas a corregir.

Tres casos de uso principales:

  • Auditoría de puesta en producción: validar la configuración de los security headers antes de la apertura pública
  • Seguimiento de conformidad: preparar una auditoría PCI DSS, ISO 27001 o SOC 2 que exige estos controles
  • Respuesta a incidente: verificar que ninguna cabecera HTTP crítica haya sido eliminada tras una actualización del servidor

Cómo usar el analizador en 3 pasos

Paso 1: introducir la URL a probar

Indica la URL completa a analizar, por ejemplo https://captaindns.com. La herramienta acepta URL públicas accesibles tanto en HTTPS como en HTTP, y sigue la primera redirección si es necesario.

Paso 2: lanzar el análisis de cabeceras

Haz clic en Analizar cabeceras. El servidor realiza una petición GET hacia la URL, captura la totalidad de las cabeceras HTTP devueltas y luego aplica las reglas de scoring sobre los 10 security headers vigilados.

Paso 3: leer la nota y las recomendaciones

Obtienes:

  • La nota de A a F y la puntuación sobre 100
  • El detalle cabecera por cabecera con estado presente/ausente
  • Los valores recomendados para cada cabecera ausente
  • Los tooltips pedagógicos que explican el rol de cada cabecera

¿Qué son las cabeceras HTTP de seguridad?

Una cabecera HTTP es una línea de metadatos enviada por el servidor además del contenido de la página. Las security headers son una familia específica de cabeceras que pilotan el comportamiento del navegador para bloquear o limitar los ataques del lado cliente.

Cuando tu navegador carga https://captaindns.com, el servidor devuelve primero sus cabeceras HTTP antes que el HTML. Estas cabeceras indican por ejemplo: 'Forzar HTTPS durante un año' (HSTS), 'Ejecutar solo los scripts del mismo dominio' (CSP), o 'Rechazar ser mostrado en un iframe' (X-Frame-Options).

Ejemplo de cabeceras HTTP devueltas por un sitio seguro:

HTTP/2 200
strict-transport-security: max-age=31536000; includeSubDomains; preload
content-security-policy: default-src 'self'; script-src 'self'
x-content-type-options: nosniff
x-frame-options: DENY
referrer-policy: strict-origin-when-cross-origin
permissions-policy: geolocation=(), microphone=()

Sin estas security headers, el navegador aplica comportamientos por defecto mucho más permisivos, heredados de los inicios de la web.

Las 10 cabeceras analizadas y su rol

La herramienta evalúa 10 cabeceras HTTP, cada una con un peso que refleja su impacto sobre la postura de seguridad.

Cabecera HTTPPesoRolValor de ejemplo
Strict-Transport-Security2.0Fuerza HTTPS e impide el sslstripmax-age=31536000; includeSubDomains; preload
Content-Security-Policy2.0Bloquea XSS e inyección de scriptsdefault-src 'self'; script-src 'self'
Content-Security-Policy-Report-Only0.5CSP en modo observación, sin bloqueodefault-src 'self'; report-uri /csp-report
X-Frame-Options1.0Impide el clickjacking vía iframeDENY o SAMEORIGIN
X-Content-Type-Options1.0Bloquea el MIME sniffingnosniff
Referrer-Policy1.0Limita la fuga de URL vía Refererstrict-origin-when-cross-origin
Permissions-Policy1.0Restringe las API del navegador (cámara, micrófono, geolocalización)geolocation=(), microphone=()
Cross-Origin-Opener-Policy1.0Aísla el contexto de navegaciónsame-origin
Cross-Origin-Embedder-Policy1.0Controla los recursos cross-origin cargadosrequire-corp
Cross-Origin-Resource-Policy1.0Define quién puede cargar tus recursossame-origin o same-site

Total máximo: 11,5 puntos. La puntuación se reduce luego sobre 100 para producir la nota final.

¿Cómo se calcula tu nota de A a F?

El cálculo aplica una lógica simple y reproducible.

Paso 1: puntuación bruta Cada cabecera presente y correctamente configurada aporta su peso completo. Una cabecera presente pero mal configurada (p. ej. HSTS con max-age demasiado corto) aporta un peso reducido. El total bruto máximo es de 11,5 puntos.

Paso 2: conversión sobre 100 La puntuación bruta se reduce sobre 100 por regla de tres: score = (bruto / 11,5) × 100.

Paso 3: asignación de la nota

NotaPuntuación sobre 100Interpretación
A>= 90Postura excelente, conforme con las mejores prácticas 2026
B>= 75Buena configuración, algunas cabeceras a completar
C>= 60Configuración parcial, cabeceras críticas ausentes
D>= 40Postura débil, varias security headers ausentes
F< 40Sin protección significativa, acción urgente recomendada

A retener: HSTS y CSP pesan juntos 4 puntos sobre 11,5, es decir más de un tercio de la puntuación. Su ausencia hace caer mecánicamente la nota al menos dos peldaños.

Casos de uso concretos

Incidente 1: sitio con nota F tras rediseño

Síntoma: tras la migración a un nuevo framework, el sitio obtiene F cuando tenía B antes del rediseño.

Diagnóstico: el analizador revela la ausencia de CSP, HSTS y X-Frame-Options. Las cabeceras eran añadidas por el antiguo servidor Nginx, eliminadas al pasar a un hosting gestionado que no las incluye por defecto.

Acción: añadir las security headers en la configuración del nuevo framework (next.config.js, middleware Express, etc.) y luego volver a lanzar el análisis para confirmar el regreso a la nota B o A.

Incidente 2: auditoría de conformidad bloqueada

Síntoma: el auditor reporta la ausencia de security headers como finding mayor, bloqueando la certificación PCI DSS.

Diagnóstico: el test de seguridad de sitio web confirma HSTS ausente, CSP ausente, Referrer-Policy no definido. El servidor Apache sirve la conf por defecto sin añadidos.

Acción: configurar las directivas Header set en el vhost Apache, desplegar en staging, lanzar el analizador para verificar la nota, luego pasar a producción. Volver a pasar el test para entregar el informe conforme al auditor.

Incidente 3: clickjacking detectado en bug bounty

Síntoma: un investigador en seguridad reporta vía bug bounty que puede enmarcar el panel cliente en un iframe malicioso.

Diagnóstico: el analizador muestra X-Frame-Options ausente y CSP sin directiva frame-ancestors. El navegador autoriza por tanto el embedding por defecto.

Acción: añadir X-Frame-Options: DENY y frame-ancestors 'none' en la CSP. Volver a lanzar el análisis para confirmar el cierre de la falla y cerrar el ticket bug bounty.

FAQ - Preguntas frecuentes

P: ¿Qué es un analizador de cabeceras HTTP?

R: Un analizador de cabeceras HTTP es una herramienta que inspecciona las cabeceras devueltas por un servidor web durante una petición. Verifica la presencia y configuración de los security headers como CSP, HSTS o X-Frame-Options. Nuestro analizador recupera estas cabeceras HTTP, evalúa su conformidad con las buenas prácticas OWASP y asigna una nota de A a F. Es la base de un test de seguridad de sitio web completo y rápido.

P: ¿Qué security headers son indispensables en 2026?

R: Las cabeceras críticas en 2026 son Content-Security-Policy (CSP) para bloquear scripts no autorizados, Strict-Transport-Security (HSTS) para forzar HTTPS, X-Content-Type-Options para impedir el MIME sniffing, X-Frame-Options o frame-ancestors CSP contra el clickjacking, y Referrer-Policy para limitar la fuga de URL. Permissions-Policy y Cross-Origin-Opener-Policy completan una postura moderna. Sin estas cabeceras HTTP, tu sitio sigue expuesto a ataques conocidos.

P: ¿Cuál es la diferencia entre CSP y HSTS?

R: CSP (Content-Security-Policy) controla las fuentes autorizadas para cargar scripts, estilos, imágenes o iframes. Protege contra el XSS y la inyección de contenido. HSTS (Strict-Transport-Security) fuerza al navegador a acceder al sitio solo por HTTPS, impidiendo los ataques de downgrade. CSP actúa a nivel del contenido de la página, HSTS a nivel del transporte. Ambas cabeceras HTTP son complementarias e indispensables para una nota de seguridad alta.

P: ¿Cómo añado security headers a mi sitio?

R: Depende de tu stack:

  • Nginx: directivas add_header en el bloque server
  • Apache: Header set en .htaccess o la conf vhost
  • Cloudflare: Transform Rules o Workers
  • Next.js: headers() en next.config.js
  • Express: middleware helmet
  • Laravel: middleware dedicado

Tras el despliegue, vuelve a lanzar el análisis para confirmar que las cabeceras HTTP se devuelven correctamente.

P: ¿Son una vulnerabilidad las security headers ausentes?

R: Las cabeceras ausentes no son una vulnerabilidad directa, pero suprimen capas de defensa. Sin CSP, una falla XSS se vuelve totalmente explotable. Sin HSTS, el usuario sigue siendo vulnerable al sslstrip en una red hostil. Sin X-Frame-Options, tu sitio puede ser enmarcado para clickjacking. Los auditores PCI DSS, ISO 27001 y SOC 2 consideran estas cabeceras HTTP como controles de seguridad esperados.

P: ¿Es gratis esta herramienta de test de seguridad de sitio web?

R: Sí, nuestro analizador de cabeceras HTTP es totalmente gratis, sin registro ni límite de uso. Lanza tantos tests de seguridad de sitio web como necesites, en cualquier URL pública. Los resultados incluyen la nota de A a F, el detalle de cada cabecera analizada y las recomendaciones de configuración. No se conserva ningún dato más allá del tiempo necesario para calcular la puntuación.

Herramientas complementarias

HerramientaUtilidad
Auditoría on-page completaAnalizar el HTML, las etiquetas SEO y los recursos de una página
Test HSTSVerificar la cabecera Strict-Transport-Security y la elegibilidad para la preload list
Análisis de redireccionesSeguir la cadena de redirecciones HTTP y detectar bucles
Detección de phishingVerificar si una URL está señalada como phishing
Validación DNSSECConfirmar la firma criptográfica de tu zona DNS
Conformidad MTA-STSVerificar la política MTA-STS publicada para tu dominio
Monitoreo uptimeVigilar la disponibilidad de tus endpoints HTTP en multi-región

Recursos útiles