WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Que encabezado de seguridad debo desplegar primero?

Comience con la linea base mas segura: X-Content-Type-Options, una Referrer-Policy deliberada, flags de cookies seguros y un despliegue gradual de CSP. HSTS es poderoso pero solo debe aplicarse una vez que HTTPS sea estable en todos los lugares donde lo necesita.

Puede un CSP robusto reemplazar las pruebas de seguridad de aplicaciones?

No. CSP reduce el riesgo de ejecucion del lado del navegador, pero no reemplaza la revision de codigo, la higiene de dependencias, DAST, las verificaciones de autenticacion ni los flujos de remediacion.

Deben las PYME preocuparse por Permissions-Policy?

Si. Incluso los sitios simples se benefician de desactivar explicitamente las capacidades del navegador que no usan. Es una forma economica de reducir la exposicion innecesaria.

Con que frecuencia deben revisarse los encabezados?

Reviselos despues de los despliegues, cuando los scripts de terceros cambian, y segun un calendario de monitoreo recurrente. La postura de encabezados deriva silenciosamente con el tiempo si nadie es responsable.

Checklist de encabezados de seguridad — Linea base de produccion para PYME

Por que los encabezados de seguridad siguen siendo imprescindibles

Los encabezados de seguridad son uno de los pocos controles de endurecimiento que mejoran inmediatamente su postura base sin reescribir su producto. Le indican al navegador como tratar sus paginas, cookies, politica de marcos y reglas de carga de recursos externos.

Para las PYME, los encabezados son especialmente valiosos porque reducen categorias enteras de errores comunes durante la iteracion rapida del producto: marcos permisivos, contenido mixto, configuraciones de cookies debiles, inclusion accidental de scripts e integraciones de terceros sin control. No reemplazan el codigo seguro, pero reducen el radio de explosion cuando algo se filtra.

El objetivo operativo no es perseguir una puntuacion perfecta en un benchmark publico. El objetivo es mantener una linea base de encabezados pequena y estable que se adapte a su stack, sobreviva a los despliegues y se verifique continuamente en lugar de configurarse una vez y olvidarse.

Linea base de produccion recomendada

Una linea base solida para PYME comienza con un conjunto corto de encabezados que tienen un proposito operativo claro. Mantenga la politica comprensible para su equipo y versionela como cualquier otra configuracion de produccion, para que los cambios sean revisados y reversibles.

Content-Security-Policy: restringir fuentes de scripts, estilos, connect, imagenes y marcos a origenes conocidos, luego endurecer progresivamente.
Strict-Transport-Security: imponer HTTPS con un max-age largo solo despues de asegurarse de que cada subdominio puede servir HTTPS de forma segura.
X-Content-Type-Options: nosniff: prevenir la confusion MIME para scripts y estilos.
Referrer-Policy: reducir fugas de datos innecesarias preservando los casos de uso de analytics justificados.
Permissions-Policy: desactivar capacidades del navegador que no necesita explicitamente, como camara, microfono, geolocalizacion o funciones tipo interest-cohort.
Flags Set-Cookie: usar Secure, HttpOnly y SameSite con intencion explicita en las cookies de sesion.
Protecciones de marcos: usar frame-ancestors en CSP o X-Frame-Options cuando se requiera compatibilidad legacy.

Como desplegar encabezados sin romper la produccion

El error mas comun es enviar un CSP ambicioso en modo enforcement sin saber lo que su frontend realmente carga. Un patron de despliegue mas seguro es inventariar sus origenes propios y de terceros, desplegar una version compatible con report en staging, eliminar el ruido y luego aplicar en produccion.

Trate los encabezados como un contrato de aplicacion. Si se introducen scripts de marketing, analytics, widgets de chat, proveedores de pago o proveedores de IA, la linea base de encabezados debe ser revisada en el mismo cambio. De lo contrario, crea un ciclo donde las funcionalidades debilitan silenciosamente la politica y nadie sabe quien es responsable de la regresion.

Tambien es importante diferenciar las paginas publicas de las superficies autenticadas. Su dashboard, sitio de marketing, flujo de autenticacion y endpoints de descarga de archivos pueden necesitar politicas ligeramente diferentes. Un unico bloque de encabezados copiado en todas las rutas es a menudo demasiado grueso y causa roturas o excepciones injustificadas.

Que verificar continuamente

La validacion debe cubrir presencia, sintaxis y relevancia de negocio. Tener un encabezado CSP no es suficiente si contiene fuentes wildcard en todas partes. Tener HSTS no es suficiente si las redirecciones aun rebotan por HTTP o si subdominios criticos se omiten involuntariamente.

WarDek es util aqui porque convierte los encabezados en una senal operativa en lugar de una captura de pantalla puntual. Puede verificar si faltan encabezados clave, detectar regresiones despues de los despliegues y conectar la postura de encabezados con el resto de la linea base del sitio: calidad TLS, cookies, archivos expuestos, CORS y evidencia de cumplimiento.

Los mejores equipos definen responsables, documentan excepciones y mantienen una cola de remediacion corta. Un problema de encabezado no deberia quedarse indefinidamente en un backlog generico. Deberia tener un responsable, una razon, un fix objetivo y un paso de validacion despues del despliegue.

Errores comunes que los equipos deben evitar

No optimice solo para notas de vanidad. Algunos escáneres publicos recompensan configuraciones agresivas que no reflejan sus restricciones de negocio. Su mision es una politica duradera que su equipo entienda y pueda mantener.

Evite unsafe-inline y unsafe-eval en CSP a menos que tenga un plan de transicion para eliminarlos. Si debe mantenerlos temporalmente, documente por que, donde y por cuanto tiempo. Lo mismo aplica para directivas connect-src o frame-src amplias para herramientas de terceros que nadie ha revisado recientemente.

Finalmente, recuerde que los encabezados son parte de una postura de confianza mas amplia. Apoyan la navegacion segura, pero no reemplazan el parcheo, el control de acceso, el monitoreo, las practicas de desarrollo seguro ni la evidencia de cumplimiento. Considerelos como un control base que debe verificarse continuamente y explicarse claramente a los no especialistas.