¿Qué analizamos?
Ejecutamos herramientas de escaneo activo que detectan vulnerabilidades reales mediante pruebas directas contra tu infraestructura. Este tipo de análisis va más allá del reconocimiento pasivo, probando activamente la existencia de fallos de seguridad que podrían ser explotados por atacantes.
Herramientas utilizadas
Nuclei
Más de 6.000 templates de vulnerabilidades conocidas: CVEs, misconfiguraciones, paneles expuestos y más.
WPScan
Auditoría específica para WordPress: plugins vulnerables, temas desactualizados, usuarios expuestos y configuraciones inseguras.
Gobuster
Descubrimiento de directorios y archivos ocultos mediante fuerza bruta con diccionarios especializados.
Wapiti
Detección activa de vulnerabilidades web: XSS, SQL Injection, SSRF, Command Injection y más.
Nikto
Escáner web clásico con más de 7.000 comprobaciones de seguridad, incluyendo archivos peligrosos y versiones vulnerables.
Screenshots
Capturamos evidencias visuales de paneles de administración, páginas de login y servicios expuestos.
¿Por qué es importante?
El escaneo pasivo detecta problemas de configuración, pero las vulnerabilidades activas como SQL Injection o XSS solo pueden confirmarse probándolas directamente. Este análisis simula lo que haría un atacante real, pero de forma controlada y documentada, permitiéndote conocer tus debilidades reales antes de que sean explotadas.
Vulnerabilidades que detectamos
- SQL Injection en formularios y parámetros URL
- Cross-Site Scripting (XSS) reflejado y almacenado
- Plugins y temas de WordPress vulnerables
- Directorios ocultos con información sensible
- Paneles de administración sin protección
- Configuraciones por defecto no modificadas
- CVEs conocidos en software detectado
¿Qué incluye el informe?
Recibirás un informe detallado con evidencias de cada vulnerabilidad:
Formato del informe por vulnerabilidad
| Campo | Descripción |
|---|---|
| Severidad | Clasificación: Crítico, Alto, Medio o Bajo según impacto y explotabilidad |
| Evidencias técnicas | Requests HTTP enviados, responses del servidor, screenshots de la explotación |
| CVE asociado | Identificador CVE oficial cuando la vulnerabilidad esté catalogada |
| Impacto potencial | Análisis de consecuencias: robo de datos, escalada de privilegios, RCE, etc. |
| Pasos de reproducción | Instrucciones detalladas para verificar el hallazgo de forma independiente |
Recomendaciones priorizadas
Cada vulnerabilidad incluye solución específica y prioridad de remediación.
Referencias técnicas
Enlaces a OWASP, NIST y documentación del fabricante para cada hallazgo.