Creé FreeScan para que cualquier persona en Chile pueda revisar la seguridad de su sitio web sin pagar una consultoría ni instalar nada. No es invasivo, lo ejecutas tú mismo, y además te dice cómo vas con las nuevas leyes chilenas.
Leer artículoChile tiene desde 2024 su primera ley de ciberseguridad. Crea la Agencia Nacional de Ciberseguridad, obliga a las empresas críticas a reportar incidentes en 3 horas y fija multas de hasta 40.000 UTM. Aquí te explicamos qué significa y a quién aplica.
LeerChile actualizó su ley de datos personales por primera vez en 25 años. Si tu empresa guarda nombres, emails o RUTs de clientes, esta ley te aplica — y tienes plazo hasta diciembre de 2026 para cumplir.
LeerClickjacking superpone tu sitio —invisible— encima de una página trampa. El usuario cree que hace clic en un botón inocente y en realidad activa una acción en tu sitio con su sesión activa. Un header HTTP lo bloquea en dos minutos.
Leerrobots.txt le dice a Google qué páginas no indexar. El problema: es público, está en una ruta predecible, y muchos sitios lo usan para listar exactamente lo que más les interesa proteger. Qué no poner ahí y cómo corregirlo.
LeerDNSSEC protege la resolución DNS de tu dominio contra spoofing y envenenamiento de caché. Aquí el proceso completo para dominios .cl: qué es, cómo funciona la cadena de confianza y los pasos exactos para activarlo desde Cloudflare y enviarlo a NIC.cl.
LeerEn junio 2024, más de 100.000 sitios web fueron atacados cuando el CDN polyfill.io cambió de dueño y empezó a servir malware. Un atributo HTML de dos líneas habría bloqueado el ataque en todos ellos. Así funciona Subresource Integrity.
LeerDMARC impide que otros spoofeen tu dominio. MTA-STS impide que el correo que va hacia ti viaje en texto plano sin que nadie lo sepa. Los dos controles protegen cosas distintas — y sin el segundo, la pila está incompleta.
LeerSPF y DKIM no alcanzan: un atacante puede mandar email diciendo ser tu dominio y pasar ambos checks. DMARC cierra el hueco — pero sólo cuando llegas a p=reject. Camino seguro de p=none → p=quarantine → p=reject sin romper email legítimo.
LeerUn subdominio que apunta por CNAME a un servicio SaaS retirado puede ser reclamado por cualquiera. El atacante hereda tu nombre, tu cert TLS válido y la confianza de tus usuarios. Cómo detectarlo y prevenirlo.
LeerStrict-Transport-Security cierra la ventana de TLS stripping pero, mal puesto, deja inaccesibles subdominios HTTP obsoletos. Guía para llegar a max-age=2 años + includeSubDomains + preload sin sustos.
LeerContent-Security-Policy es de los headers más útiles para frenar XSS y data exfil, pero también el más fácil de inutilizar. En WordPress, además, la mitad de los plugins inyecta inline scripts. Esta es una receta concreta para llegar a una CSP estricta sin dejar el panel inservible.
LeerSuscripción gratuita
Artículos sobre ciberseguridad, directo a tu correo.
Sin spam. Publicamos cuando hay algo útil que decir, no a fecha fija.
