HSTS: qué es y por qué es importante para el SEO

HSTS: la cabecera que protege tu sitio y mejora tu SEO

Si tienes un sitio web, seguro que ya sabes que HTTPS es esencial para la seguridad y el posicionamiento. Pero existe un paso más: HSTS (HTTP Strict Transport Security). Esta cabecera HTTP le indica al navegador que *siempre* debe conectarse a tu sitio mediante HTTPS, incluso si el usuario escribe HTTP o hace clic en un enlace inseguro.

¿Y por qué esto importa para el SEO? Porque la seguridad, la velocidad percibida y la confianza del usuario son señales que Google tiene en cuenta. Vamos a verlo en detalle.

¿Cómo funciona HSTS?

Cuando un navegador recibe la cabecera HSTS desde tu servidor, guarda una regla: "Durante los próximos X segundos (el max-age), solo conéctate a este dominio por HTTPS". Si alguien intenta acceder por HTTP, el navegador lo redirige automáticamente por HTTPS *antes* de enviar cualquier petición, evitando así ataques de intermediario (man-in-the-middle) como el SSL stripping.

Además, puedes incluir la directiva includeSubDomains para que la regla aplique a todos los subdominios, y preload para que tu dominio se incluya en la lista precargada de los navegadores (algo que se hace a través de hstspreload.org).

¿Por qué HSTS es importante para el SEO?

Aunque HSTS no es un factor de ranking directo, su impacto en el SEO es considerable por varias razones:

1. Mejora la seguridad y la confianza (E-E-A-T y YMYL)

Google valora cada vez más la experiencia, expertise, autoridad y confianza (E-E-A-T). Si tu sitio maneja temas sensibles (YMYL, como salud, finanzas o seguridad), demostrar que tomas medidas extra (como HSTS) refuerza la confianza. Un sitio que implementa HSTS es menos vulnerable a ataques, lo que protege a tus usuarios y, por tanto, a tu reputación.

2. Facilita el rastreo y evita redirecciones innecesarias

Cuando no tienes HSTS, el rastreador de Google (Googlebot) primero intenta HTTP, recibe una redirección 301/302 a HTTPS y luego rastrea la versión segura. Con HSTS, el rastreador (que respeta HSTS) va directamente a HTTPS, reduciendo el tiempo de rastreo y el consumo de recursos. Esto puede ayudar a que Google indexe más páginas en el mismo presupuesto de rastreo.

3. Reduce la latencia y mejora Core Web Vitals (indirectamente)

Al eliminar la redirección HTTP → HTTPS, el navegador carga la página más rápido. Aunque el ahorro es de milisegundos, en conexiones lentas puede notarse. Una mejor velocidad de carga incide positivamente en los Core Web Vitals, un factor de ranking conocido.

4. Evita problemas de contenido mixto y enlaces internos

Si tienes enlaces internos que apuntan a HTTP, con HSTS el navegador los corrige automáticamente. Esto mantiene la cohesión del sitio y evita que Google vea dos versiones (HTTP y HTTPS) como contenido duplicado. Además, protege la autoridad de dominio, ya que todos los enlaces apuntan a una sola versión canónica.

5. Impacto en el CTR y la intención de búsqueda

Los navegadores marcan los sitios solo HTTP como "No seguros". Si implementas HSTS (y por tanto HTTPS), verás el candado verde. Esto aumenta la confianza del usuario, lo que puede mejorar el CTR en los resultados de búsqueda. Un usuario que busca información (intención de búsqueda) es más propenso a hacer clic en un resultado que percibe como seguro.

¿Cómo implementar HSTS?

La implementación es técnica, pero sencilla:

1. Asegúrate de tener HTTPS funcionando correctamente (certificado SSL válido).
2. Configura tu servidor web para añadir la cabecera:

• Apache: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
• Nginx: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

1. Define un max-age adecuado: empieza con un valor bajo (3600) para probar, y luego sube a 31536000 (1 año).
2. Si deseas la precarga, envía tu dominio a hstspreload.org (asegúrate de tener total seguridad, porque la precarga es difícil de revertir).

Advertencia: no actives preload sin haber probado bien el sitio, porque si falla el HTTPS, los usuarios no podrán acceder durante meses.

Preguntas frecuentes sobre HSTS y SEO

¿HSTS es un factor de ranking directo?

No, Google no lo ha confirmado como factor de ranking. Sin embargo, sus beneficios indirectos (seguridad, velocidad, confianza, mejor rastreo) sí influyen positivamente en el SEO.

¿HSTS afecta al keyword research o a la meta descripción?

No directamente. Pero un sitio seguro y rápido puede tener mejor rendimiento en las SERP, lo que indirectamente afecta a métricas como el CTR, que a su vez puede influir en la efectividad de tu keyword research o en cómo se muestra tu meta descripción.

¿Debo usar HSTS si mi sitio ya está en HTTPS?

Sí, HTTPS solo asegura la conexión cuando el usuario llega; HSTS garantiza que siempre se use HTTPS. Es una capa extra de seguridad que cualquier sitio debería implementar, especialmente si maneja datos sensibles o busca posicionarse bien.