En un mundo digital donde las amenazas cibernéticas crecen constantemente, la transparencia en la gestión de vulnerabilidades se ha convertido en un estándar de seguridad. Una de las herramientas más eficaces y a menudo ignoradas es el archivo security.txt, un documento simple pero poderoso que ayuda a facilitar la comunicación entre administradores web y profesionales de la ciberseguridad.
Si tienes una página web en WordPress, implementar este archivo te permitirá recibir notificaciones de vulnerabilidades de manera estructurada y segura. A continuación, se explica qué es, por qué es importante y cómo crearlo correctamente.
El security.txt es un archivo de texto que actúa como un canal de comunicación entre propietarios de sitios web y expertos en seguridad que puedan descubrir vulnerabilidades en sus plataformas. Su propósito es proporcionar información clara sobre cómo reportar fallos de seguridad, ya sea a través de un correo electrónico, un formulario o un sistema de gestión de incidentes.
Este archivo es un estándar propuesto en la especificación draft-foudil-securitytxt, que busca establecer un mecanismo unificado para la divulgación responsable de vulnerabilidades en internet. Su funcionamiento es similar al de robots.txt, pero en lugar de indicar cómo deben rastrear los motores de búsqueda, proporciona instrucciones sobre cómo reportar problemas de seguridad.
Cuando un profesional en ciberseguridad detecta una vulnerabilidad en tu web, necesita una forma rápida y segura de reportarla. Sin un canal claro, la notificación podría perderse, retrasar la corrección del problema o, en el peor de los casos, ser explotada por actores malintencionados antes de que tomes medidas.
Contar con un archivo security.txt demuestra un compromiso con la seguridad y la gestión responsable de vulnerabilidades. Esto genera confianza entre los usuarios y reduce el riesgo de que una vulnerabilidad se haga pública antes de que puedas resolverla.
Muchos ciberdelincuentes buscan vulnerabilidades en sitios que no tienen mecanismos de reporte claros. Sin un security.txt, los errores pueden terminar en foros o en la dark web antes de que los descubras.
Cada vez más empresas y organismos reguladores exigen la implementación de este tipo de archivos para garantizar la divulgación responsable de vulnerabilidades. En algunos sectores, su uso puede ser un requisito obligatorio.
Para que sea fácilmente accesible, el archivo debe estar en una de las siguientes ubicaciones:
📍 Ubicación recomendada:
https://tu-dominio.com/.well-known/security.txt
📍 Ubicación alternativa (si no es posible la anterior):
https://tu-dominio.com/security.txt
La razón para ubicarlo en /.well-known/ es que este directorio ha sido definido como un estándar para archivos de configuración web, lo que facilita su detección por parte de herramientas automatizadas.
El archivo security.txt debe seguir un formato específico para ser reconocido por sistemas automatizados y profesionales de seguridad. Los elementos clave que debe incluir son los siguientes:
# Archivo security.txt para WordPress Contact: mailto:[email protected] Encryption: https://tu-dominio.com/clavepgp.txt Disclosure: https://tu-dominio.com/politica-divulgacion Acknowledgments: https://tu-dominio.com/hall-of-fame Policy: https://tu-dominio.com/politica-de-seguridad Hiring: https://tu-dominio.com/trabaja-con-nosotros Expires: 2030-12-31T23:59:59Z
✔ Contact → Dirección de correo o URL para reportar vulnerabilidades.
✔ Encryption → Clave PGP para comunicaciones seguras (opcional, pero recomendable).
✔ Disclosure → Política de divulgación de vulnerabilidades.
✔ Acknowledgments → Página de reconocimiento a investigadores de seguridad.
✔ Policy → Política de seguridad de la empresa.
✔ Hiring → Información sobre oportunidades de empleo en ciberseguridad.
✔ Expires → Fecha de caducidad del archivo, indicando cuándo debe ser revisado y actualizado.
Si no tienes alguna de estas secciones, simplemente omítela. El campo «Contact» es obligatorio, ya que es la forma en la que recibirás reportes de vulnerabilidades.
Para implementar el archivo security.txt en WordPress, sigue estos pasos:
Abre un editor de texto como Notepad, Nova, VSCode o Sublime Text, y copia la estructura mencionada anteriormente. Guarda el archivo con el nombre security.txt.
Utiliza un cliente FTP (FileZilla, Cyberduck, etc.) o el gestor de archivos del panel de tu hosting para subir el archivo a la carpeta /.well-known/ de tu servidor.
Si el directorio .well-known no existe, créalo manualmente antes de subir el archivo.
Abre un navegador e ingresa la URL:
https://tu-dominio.com/.well-known/security.txt
Si el archivo es accesible públicamente, significa que la configuración es correcta.
✅ Sé breve y claro: Usa un formato estructurado y evita información innecesaria.
✅ Usa enlaces a políticas detalladas: Redirige a páginas con información ampliada sobre seguridad.
✅ Incluye cifrado PGP: Permite reportes de vulnerabilidad de forma segura.
✅ Actualiza el archivo periódicamente: Configura un «Expires» de no más de un año y revísalo antes de que caduque.
✅ No publiques información confidencial: Un simple correo de contacto o formulario es suficiente.
El archivo debe actualizarse cada vez que cambien los datos de contacto o la política de divulgación. Sin embargo, lo ideal es revisarlo al menos cada 12 meses para garantizar que la información sea precisa y esté vigente.
Al acercarse la fecha de expiración definida en Expires, asegúrate de actualizar la información y extender la validez del archivo.
Implementar un archivo security.txt en WordPress es un paso sencillo pero crucial para mejorar la transparencia y gestión de vulnerabilidades en tu sitio web. No solo facilita la comunicación con investigadores de seguridad, sino que también refuerza la imagen de tu web como una plataforma segura y profesional.
Si bien este archivo no sustituye otras medidas de protección como la actualización de plugins, contraseñas seguras y el uso de herramientas de seguridad, sí contribuye a que las vulnerabilidades sean reportadas de manera estructurada antes de que sean explotadas.
En un entorno donde las amenazas digitales son cada vez más sofisticadas, cualquier medida de seguridad adicional marca la diferencia. Implementa security.txt hoy mismo y fortalece la seguridad de tu WordPress.
