Herramientas de diagnóstico de red

Comprobación de cabeceras HTTP

Inspecciona cabeceras de respuesta, redirecciones y seguridad

esc
Tu IP 8.8.8.8 o google.com

DNS y registros

Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNS

Entregabilidad de correo

Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTP

Red y web

Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertos

Dominio

Consulta WHOIS Datos de registro de dominios, IPs y ASNs

¿Qué son las cabeceras de respuesta HTTP?

Las cabeceras de respuesta HTTP revelan cómo se comporta un servidor web: el código de estado que devuelve, a dónde redirige, qué software ejecuta y qué cabeceras de seguridad envía. Cabeceras ausentes como HSTS, Content-Security-Policy o X-Frame-Options dejan los sitios expuestos a ataques de degradación, inyección y clickjacking. IPeek sigue toda la cadena de redirecciones y califica la respuesta frente a las cabeceras de seguridad clave.

Cómo funcionan las cabeceras y los códigos de estado HTTP

Toda respuesta HTTP empieza con un código de estado y un conjunto de cabeceras antes del cuerpo de la página. El código de estado le dice al cliente qué pasó: 200 significa éxito, 301 y 302 significan que el recurso se movió, 404 significa no encontrado y 5xx significa que el servidor falló. Las cabeceras llevan metadatos como Content-Type, Server, Cache-Control y las directivas de seguridad que indican al navegador cómo tratar la página. IPeek solicita la URL, captura estas cabeceras exactamente como las envió el servidor y sigue cada redirección para que veas toda la ruta hasta la respuesta final.

Cómo leer tus resultados de cabeceras y redirecciones

Primero confirma que el código de estado final es el que esperas, normalmente 200 para una página activa. Luego recorre la cadena de redirecciones: una configuración limpia redirige de HTTP a HTTPS y de cualquier host no canónico al canónico en los menos saltos posibles, ya que cada redirección extra añade latencia. Vigila los bucles de redirección o una cadena que acabe en el host equivocado. La cabecera Server revela el software en uso, y la calificación de cabeceras de seguridad muestra de un vistazo qué cabeceras protectoras están presentes y cuáles faltan.

Cabeceras de seguridad clave y carencias habituales

Strict-Transport-Security (HSTS) obliga a los navegadores a usar HTTPS, evitando ataques de degradación. Content-Security-Policy limita desde dónde pueden cargarse scripts y recursos, la defensa más fuerte contra el cross-site scripting. X-Frame-Options o una directiva CSP frame-ancestors bloquean el clickjacking al controlar quién puede incrustar tu página. X-Content-Type-Options: nosniff detiene el sniffing de MIME. La carencia más habitual es un sitio que no sirve ninguna de estas, dejando al navegador sin protección extra. Añádelas en el servidor web o el CDN y vuelve a comprobar que aparecen en la respuesta en vivo.

Cuándo ejecutar una comprobación de cabeceras HTTP

Comprueba las cabeceras tras desplegar, tras cambiar tu CDN o proxy inverso, y siempre que endurezcas la postura de seguridad de un sitio, ya que son los momentos en que las cabeceras se añaden, eliminan o sobrescriben. Es la forma más rápida de confirmar que una redirección de HTTP a HTTPS funciona de verdad, de depurar una cadena de redirección inesperada o de verificar que una cabecera de seguridad que configuraste llega a los navegadores reales en lugar de eliminarse en algún punto de la ruta de entrega.

Preguntas frecuentes

¿Qué te dice una comprobación de cabeceras HTTP?

Muestra el código de estado, la cadena de redirecciones, el software del servidor y las cabeceras de seguridad que devuelve un sitio. Ves si la URL redirige correctamente, cuántos saltos da, qué servidor responde y qué cabeceras protectoras como HSTS y Content-Security-Policy están presentes o ausentes. Eso la convierte en un diagnóstico rápido tanto de problemas de enrutamiento como de carencias de seguridad.

¿Qué es HSTS y por qué importa?

HTTP Strict-Transport-Security es una cabecera que indica a los navegadores que se conecten solo por HTTPS durante un periodo determinado. Importa porque evita ataques de degradación y de intermediario en los que un atacante fuerza una conexión HTTP insegura. Una vez que un navegador ve HSTS, rechaza el HTTP plano hacia ese host hasta que caduca la política, cerrando una ventana de ataque real.

¿Por qué mi sitio tiene tantas redirecciones?

Las cadenas de redirección suelen acumularse cuando reglas separadas arreglan cada una una cosa: HTTP a HTTPS, sin-www a www y normalización de la barra final. Cada salto añade latencia y una posibilidad de error. Colápsalas en una única redirección a la URL canónica final cuando sea posible, y vigila los bucles en los que dos reglas se envían la petición de un lado a otro.

¿Qué cabeceras de seguridad debería tener todo sitio?

Como mínimo, envía Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options: nosniff y protección de frames mediante X-Frame-Options o CSP frame-ancestors. HSTS impone HTTPS, CSP limita la inyección de scripts, nosniff detiene la confusión de MIME y la protección de frames bloquea el clickjacking. Juntas cubren las clases de ataque más habituales del lado del navegador con directivas que configuras una sola vez en el servidor o el CDN.

¿Cuál es la diferencia entre una redirección 301 y 302?

Una 301 es una redirección permanente y una 302 es temporal. Una 301 indica a navegadores y buscadores que el recurso se ha movido para siempre, así que actualizan marcadores y transfieren las señales de posicionamiento a la nueva URL. Una 302 dice que el cambio es temporal, así que los clientes siguen usando la URL original. Usa 301 para redirecciones canónicas y a HTTPS.

Herramientas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어