¿Qué es el archivo security.txt?

Mucho se habla de la seguridad que un sitio web proporciona a sus usuarios. Pero la confianza que este puede demostrar se adquiere consciencia sobre el uso de los datos y la información de los visitantes, ya que los usuarios, sin saberlo, pueden estar experimentando una fuga de información solo por visitar ciertos sitios web y no basta con aceptar o revisar las políticas de privacidad y cookies.

El mismo sitio web puede hacerlo en tiempo real y garantizar que la información y los datos del usuario están seguros al navegar dentro del sitio. Una normativa es justamente la incorporación del archivo “security.txt” y en este artículo te decimos cómo incorporarlo dentro de tu sitio web.

¿Qué es security.txt?

Security.txt es un archivo de texto estandarizado que permite a investigadores de seguridad, hackers éticos y usuarios responsables reportar vulnerabilidades de manera directa y segura. Este archivo funciona de manera similar a robots.txt o humans.txt, en este caso enfocado en la seguridad informática.

La ubicación estándar en la siguiente:

https://tusitio.com/.well-known/security.txt

Este estándar fue propuesto por el investigador de seguridad Ed Foudil y está reconocido formalmente en la RFC 9116 del IETF.

¿Para qué sirve Security.txt?

Sus principales objetivos son los siguientes:

• Facilitar la comunicación responsable de vulnerabilidades
• Evitar reportes públicos prematuros que puedan ser explotados
• Centralizar información de contacto de seguridad
• Demostrar que el sitio toma la ciberseguridad en serio

En lugar de que un investigador publique una falla en redes sociales o foros, puede contactar directamente al responsable del sitio web.

¿Qué información contiene un archivo Security.txt?

Un archivo Security.txt bien implementado suele incluir la siguiente información:

• Contacto (correo electrónico o URL)
• Política de divulgación responsable
• Llave PGP (opcional, pero recomendable)
• Idioma preferido
• Fecha de expiración
• URL del programa de recompensas (bug bounty) si existe

Ejemplo básico de Security.txt

Contact: mailto:security@tusitio.com
Expires: 2026-12-31T23:59:59.000Z
Preferred-Languages: es, en
Policy: https://tusitio.com/politica-divulgacion


Security.txt como señal de confianza

Aunque Security.txt no es visible directamente para el usuario promedio, sí es una señal clara de madurez digital, especialmente para:

• Clientes corporativos
• Auditores de seguridad
• Equipos de IT
• Plataformas y marketplaces
• Motores de evaluación de riesgos

Beneficios clave en términos de confianza

• Demuestra transparencia
• Refuerza la imagen profesional del sitio
• Reduce riesgos de explotación silenciosa
• Facilita auditorías y certificaciones
• Mejora la reputación digital

Cada vez más empresas, bancos, gobiernos y plataformas SaaS lo consideran una buena práctica estándar.

¿Security.txt impacta en el SEO?

De forma directa, Security.txt no es un factor de ranking en Google. Sin embargo, sí aporta beneficios indirectos:

• Mejora la percepción de confiabilidad del dominio
• Apoya estrategias de E-E-A-T (Experiencia, Expertise, Autoridad y Confianza)
• Reduce riesgos de ataques que afecten disponibilidad o reputación
• Refuerza auditorías técnicas de seguridad web

En sectores sensibles (finanzas, salud, ecommerce), estos factores pueden marcar una diferencia real.

¿Qué sitios deberían implementar Security.txt?

La respuesta corta: todos.

Pero es especialmente recomendable para:

• Ecommerce
• SaaS y plataformas digitales
• Sitios corporativos
• Instituciones educativas
• Gobiernos y ONG
• Medios de comunicación
• Agencias digitales y tecnológicas

Incluso sitios pequeños se benefician al mostrar una postura proactiva frente a la seguridad.

¿Cómo implementar Security.txt en tu sitio web?

1. Crear un archivo de texto llamado txt
2. Agregar la información mínima de contacto
3. Subirlo a la ruta:

/.well-known/security.txt

4. Verificar que sea accesible desde el navegador
5. Mantenerlo actualizado (especialmente la fecha de expiración)

Importante: nunca incluyas datos sensibles o personales innecesarios.

Security.txt es una implementación simple, gratuita y altamente efectiva para reforzar la confianza y la seguridad de un sitio web. No protege por sí solo contra ataques, pero abre un canal responsable de comunicación, reduce riesgos y mejora la percepción profesional de tu marca.

En un mundo donde la confianza digital es cada vez más valiosa, detalles como Security.txt marcan la diferencia.