La importancia de las cabeceras HSTS
https://seguridad.prestigia.es/wp-content/uploads/2020/12/cabeceras-hsts-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/12/cabeceras-hsts-prestigia-seguridad.pngImagínate que estas en tu restaurante favorito o simplemente regresas a la habitación del hotel después de esa conferencia y deseas utilizar tu conexión Wi-Fi gratuita. ¿Alguna vez has notado que esas contraseñas de Wi-Fi están impresas en papel y nunca se cambian? Un cibercriminal ha reservado una habitación en este mismo hotel. Está escuchando a escondidas todas las conexiones que pasan por esta red inalámbrica insegura. Dentro de la cantidad de ataques hacker y de maldades hay algo llamado analizador de paquetes. Un analizador de paquetes es una utilidad de red que analiza y puede inyectar información en el flujo de datos que viaja a través de la red atacada.
Este cibercriminal podría capturar el tráfico de la red del hotel, a través de HTTP para cualquier sitio web en el cual su tráfico viaje en texto plano sin cifrar. Este método presenta una ventana de oportunidad para que el pirata informático sin que el tráfico vaya por SSL y permita robar datos valiosos o, peor aún, presente una página de portal de inicio de sesión falsa y pueda incluso robar credenciales con ataques de ingeniería social. Es por esto que tu sitio web debe emplear HTTP Strict Transport Security o mediante su nombre acortado HSTS para forzar que el tráfico siempre vaya por HTTPS.
¿Qué es HTTP Strict Transport Security?
HTTP Strict Transport Security (HSTS) es una directiva de servidor web que informa a los agentes de usuario y navegadores web cómo manejar la conexión a través de una cabecera de respuesta enviada al principio y de regreso al navegador que fuerza las conexiones HTTPS.
Esto se establece en el parámetro de la política Strict-Transport-Security. Fuerza esas conexiones a través del cifrado HTTPS, sin tener en cuenta la llamada de cualquier script para cargar cualquier recurso en ese dominio a través de HTTP. HSTS es solo una de tantas configuraciones en un conjunto de configuraciones de seguridad para tu servidor web o su servicio de alojamiento web.
Cómo implementar cabeceras HSTS
Si empleas subdominios en tu estructura de contenido, necesitarás un certificado comodín para cubrir solo HTTPS. Asegúrate de tenerlos instalados y funcionando correctamente. A continuación, te comentamos como habilitarlo en uno de los servicios HTTP mas conocidos, Apache y el proxy NGINX:
- Habilitar HSTS en Apache: Agregue el siguiente código a su archivo de hosts virtuales.
- Strict-Transport-Security max-age=31536000
- Habilitar HSTS en NGINX: Agregue el siguiente código a su configuración de NGINX.
- Strict-Transport-Security max-age=31536000
Al especificar el Strict-Transport-Security encabezado junto con un max-age con valor en la respuesta, tu sitio web puede declarar que solo se aceptarán conexiones seguras dentro del período especificado. Para futuras solicitudes al mismo dominio a través de conexiones inseguras, el navegador sabe que nunca debe cargar el sitio mediante HTTP y convierte automáticamente todas las solicitudes a HTTPS. HTTP Strict Transport Security ha existido durante casi ocho años. Esta política de solo HTTPS en su infraestructura web mantendrá alejados a los malos y protegerá sus datos confidenciales.
Como has podido comprobar, la configuración de HSTS proporciona una mayor seguridad en tu proyecto web. Si estás desarrollando tu propia web, recomendamos encarecidamente que aumentes tu seguridad aplicando HSTS. Antes de continuar e implementar HSTS, ten en cuenta que primero deberás haber instalado un Certificado SSL de buena reputación.
En vuestra empresa, ¿Conocíais este tipo de cabeceras? ¿las tenéis implementadas? Desde Prestigia Seguridad, nuestros expertos realizan pruebas para verificar si este tipo de cabeceras están correctamente implementadas, no dudes en contactar con nosotros para informarte.
