diff --git a/api/app.js b/api/app.js
index efc9230..7e8a69b 100644
--- a/api/app.js
+++ b/api/app.js
@@ -50,9 +50,17 @@ app.get('/api/health', (req, res) => res.json({ status: 'ok' }));
 
 // ── Arranque ─────────────────────────────────────────────────────
 const PORT = process.env.PORT || 8787;
-app.listen(PORT, '127.0.0.1', () => {
+const server = app.listen(PORT, '127.0.0.1', () => {
   console.log(`RESETEA backend corriendo en 127.0.0.1:${PORT}`);
   if (!process.env.GOOGLE_CLIENT_ID) {
     console.warn('⚠  GOOGLE_CLIENT_ID no configurado — OAuth Gmail deshabilitado');
   }
+  if (!process.env.SALT) {
+    console.warn('⚠  SALT no configurado en .env — el hash de referencia usa salt por defecto');
+  }
 });
+
+// Mitigación Slowloris: timeout en headers y body incompletos
+server.headersTimeout  = 10_000; // 10 s para recibir los headers completos
+server.requestTimeout  = 15_000; // 15 s para recibir el body completo
+server.keepAliveTimeout = 5_000; // cierra keep-alive inactivos tras 5 s