%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Guía de vulnerabilidades de seguridad
Comprender y corregir las vulnerabilidades de seguridad web comunes detectadas por VitaPulse
Encabezados de seguridad HTTP
Los encabezados de seguridad instruyen a los navegadores para activar mecanismos de seguridad integrados, protegiendo a sus usuarios de ataques comunes.
Alto
Strict-Transport-Security (HSTS)
Obliga a los navegadores a conectarse a su sitio exclusivamente por HTTPS, previniendo ataques de degradación de protocolo y robo de cookies.
Alto
Content-Security-Policy (CSP)
Define qué fuentes de contenido pueden ser cargadas por el navegador, previniendo ataques de cross-site scripting (XSS) e inyección de datos.
Alto
X-XSS-Protection
Activa el filtro XSS integrado del navegador para detectar y bloquear ataques de cross-site scripting reflejado.
Medio
X-Content-Type-Options
Evita que los navegadores adivinen (MIME sniffing) el tipo de contenido de una respuesta, obligándolos a respetar el Content-Type declarado.
Medio
X-Frame-Options
Controla si su sitio puede ser incrustado en iframes, protegiendo contra ataques de clickjacking.
Bajo
Referrer-Policy
Controla cuánta información de referencia se envía al navegar desde su sitio a otro.
Bajo
Permissions-Policy
Controla qué funciones y APIs del navegador (cámara, micrófono, geolocalización, etc.) pueden ser utilizadas por su sitio y contenido incrustado.
Bajo
Cross-Origin-Opener-Policy (COOP)
Aísla su contexto de navegación de ventanas de origen cruzado, impidiendo que accedan a su objeto window.
Bajo
Cross-Origin-Resource-Policy (CORP)
Controla qué orígenes pueden cargar sus recursos (imágenes, scripts, etc.), previniendo lecturas no autorizadas de origen cruzado.
Bajo
Cross-Origin-Embedder-Policy (COEP)
Requiere que todos los recursos cargados por su página opten explícitamente por ser cargados desde origen cruzado, habilitando el aislamiento completo del sitio.
Certificado TLS / SSL
TLS (Transport Layer Security) cifra la conexión entre los usuarios y su servidor. Las configuraciones incorrectas de certificados y los protocolos obsoletos exponen su sitio a interceptación y robo de datos.
Alto
Protocolo TLS débil (TLS 1.0 / 1.1)
Su servidor soporta versiones obsoletas de TLS (1.0 o 1.1) que tienen debilidades criptográficas conocidas.
Alto
Algoritmo de firma de certificado débil
Su certificado SSL/TLS usa un algoritmo de firma débil (como SHA-1 con RSA PKCS#1) que es vulnerable a ataques de colisión.
Alto
Certificado SSL/TLS expirado
Su certificado SSL/TLS ha expirado o expirará dentro de 30 días.
Medio
Falta de Certificate Transparency
Su certificado SSL no incluye información de Certificate Transparency (CT), dificultando la detección de certificados emitidos incorrectamente.
Bajo
Sin Encrypted Client Hello (ECH)
Su servidor no soporta Encrypted Client Hello, lo que significa que el nombre de dominio (SNI) es visible durante el handshake TLS.
Auditorías de seguridad Lighthouse
Google Lighthouse realiza verificaciones de seguridad automatizadas que identifican configuraciones incorrectas comunes y prácticas inseguras en su sitio web.
Alto
Sitio no servido por HTTPS
Su sitio web es accesible por HTTP no cifrado, lo que significa que todos los datos entre los usuarios y su servidor se transmiten en texto plano.
Alto
Sin redirección HTTP a HTTPS
Su servidor no redirige las solicitudes HTTP a HTTPS, permitiendo que los usuarios accedan al sitio por una conexión insegura.
Alto
CSP no efectiva contra XSS
Su Content Security Policy falta o no previene eficazmente los ataques de cross-site scripting.
Medio
Sin política de Trusted Types
Su sitio no usa Trusted Types, una API del navegador que previene ataques de cross-site scripting basados en DOM.
Medio
Permiso de geolocalización al cargar la página
Su sitio solicita permiso de geolocalización inmediatamente al cargar la página, antes de cualquier interacción del usuario.
Medio
Permiso de notificaciones al cargar la página
Su sitio solicita permiso de notificaciones inmediatamente al cargar la página, antes de cualquier interacción del usuario.
Bajo
Sin aislamiento de origen cruzado
Su sitio no está aislado de origen cruzado, lo que significa que no puede usar APIs de rendimiento potentes y es más vulnerable a ataques de canal lateral.
Exposición de versiones de software
Exponer versiones de software en encabezados HTTP o código fuente HTML da a los atacantes un mapa de vulnerabilidades conocidas para explotar.
Medio
Versión del servidor expuesta
El encabezado HTTP 'Server' de su servidor revela el nombre y versión del software (ej., Apache/2.4.41, nginx/1.18.0).
Medio
Encabezado X-Powered-By expuesto
Su servidor envía un encabezado 'X-Powered-By' que revela la tecnología y versión del backend (ej., PHP/7.4, Express, ASP.NET).
Medio
Versión del CMS expuesta
La versión de su CMS (WordPress, Drupal, Joomla, etc.) es visible en meta tags, código fuente HTML o patrones de URL.
Bajo
Versión del framework JavaScript expuesta
La versión de su framework frontend (React, Vue, Angular, jQuery, etc.) es detectable via patrones de código fuente, variables globales o archivos de librería.