La mayoría de los sitios web chilenos nunca ha pasado por una revisión de seguridad. No es por descuido: una consultoría cuesta dinero que muchas pymes, profesionales independientes, fundaciones o emprendimientos no tienen disponible para algo que sienten lejano.
El problema es que el atacante no pregunta el tamaño de tu empresa antes de revisar tu dominio. La configuración de tu correo, las cabeceras de tu sitio, el código de terceros que cargas, los subdominios que dejaste olvidados: todo eso queda expuesto por igual, lo mire o no un especialista contratado por ti.
FreeScan nació para cerrar esa brecha. Es una herramienta gratuita que creé con un propósito concreto: ayudar a mejorar la seguridad de los sitios web chilenos, partiendo por los que nunca tuvieron acceso a un diagnóstico.
Qué es, en una frase
FreeScan revisa, desde afuera y sin tocar tu infraestructura, lo que cualquier persona en internet puede ver de tu sitio web. Con eso te entrega un diagnóstico claro de tu seguridad y de qué tan al día estás con la normativa chilena.
Hay tres ideas que importan:
- Es gratis. No tienes que contratar nada para obtener el diagnóstico.
- No es invasivo. No ataca, no fuerza nada, no afecta tu servicio. Solo observa lo que ya está público, igual que lo haría un visitante curioso.
- Lo ejecutas tú mismo. Entras a scan.asentic.cl, confirmas que el dominio es tuyo y obtienes el informe. Sin instalar nada y sin esperar a que alguien te agende.
Para quién es
Lo pensé para dos personas muy distintas.
La primera no es técnica. Tiene un sitio, una tienda en línea o el correo de su empresa, y nunca ha sabido si “está bien configurado”. Para ella, FreeScan entrega un diagnóstico sencillo pero entendible: qué está bien, qué conviene revisar y por qué importa. Todo en palabras normales, no en una lista de códigos imposible de leer. Es el primer paso para decidir con información.
La segunda sí es especialista. Un consultor, un encargado de informática o alguien que hace pentesting y necesita un punto de partida rápido antes de un trabajo más profundo. Para esa persona, FreeScan funciona como un reconocimiento inicial ordenado: levanta la superficie expuesta, la configuración de DNS y correo, las cabeceras y el código de terceros, y deja el terreno listo para una prueba más avanzada. Un buen diagnóstico inicial ahorra horas de trabajo manual.
No reemplaza a un pentesting ni a una auditoría completa, y nunca lo presento así. Es lo que su nombre dice: un escaneo libre y honesto sobre su alcance.
Qué revisa
FreeScan mira lo que está expuesto por definición. Entre otras cosas:
- La configuración del sitio: cabeceras de seguridad (HSTS, CSP, X-Frame-Options), cookies, información que se filtra de más y paneles de administración a la vista.
- El certificado y el cifrado: versiones del protocolo, vigencia y validez del certificado.
- El código de terceros: los scripts externos que cargas en tus páginas y si vienen protegidos.
- Los subdominios: detecta subdominios que apuntan a servicios que ya no existen, un riesgo conocido como secuestro de subdominios (subdomain takeover).
- El DNS y el correo: aquí es donde más problemas encontramos.
El correo: el flanco que casi nadie revisa
Una parte importante del diagnóstico es el nivel de verificación de tu DNS, que afecta sobre todo a tus servidores de correo. Es un área que casi nadie mira y donde abundan los problemas: dominios sin SPF, sin DMARC (o configurado de una forma que no protege), sin DKIM, sin MTA-STS ni TLS-RPT, y sin DNSSEC.
¿Por qué importa tanto? Porque un dominio mal configurado en esto puede ser usado para enviar correos falsos a tu nombre: phishing a tus propios clientes usando tu marca, sin que el atacante necesite entrar a ninguno de tus servidores. Es uno de los riesgos más comunes y, por suerte, también de los más fáciles de solucionar.
No te dejo con el problema en la mano
Mostrarte un problema sin explicarte cómo resolverlo solo genera angustia. Por eso cada hallazgo frecuente tiene su guía de solución en este mismo blog, escrita paso a paso:
- DMARC: cómo llegar a p=reject sin romper tu correo
- MTA-STS y TLS-RPT: cifrado obligatorio para tu correo
- DNSSEC en un dominio .cl
- HSTS en Apache
- CSP en WordPress
- Integridad del código de terceros (SRI)
- Secuestro de subdominios: el subdominio olvidado
- Clickjacking y cómo evitarlo
La idea es que el diagnóstico y la documentación trabajen juntos: FreeScan te dice qué revisar y el blog te explica cómo arreglarlo. Buena parte la puedes resolver tú mismo, sin contratar a nadie.
Cumplimiento y las nuevas leyes chilenas
En Chile cambiaron las reglas. La Ley 21.719 de protección de datos personales moderniza, por primera vez en 25 años, las obligaciones de cualquier organización que maneje datos de personas, con un organismo que fiscaliza y multas reales. A eso se suma la Ley 21.663, Marco de Ciberseguridad, que fija deberes de seguridad para cada vez más instituciones.
FreeScan incluye en su diagnóstico señales alineadas con este nuevo escenario, para que sepas dónde estás parado antes de que te lo pregunte un cliente, un auditor o el regulador.
Cuando necesitas más
El FreeScan gratuito sirve para un diagnóstico puntual. Pero la seguridad no es una foto: es una película. Un sitio que hoy está bien puede tener mañana un subdominio nuevo mal configurado, un código de terceros comprometido o una página alterada.
Para quienes necesitan más, tengo planes que agregan monitoreo permanente, re-escaneos sin límite y, de forma opcional, asesoría especializada cuando un hallazgo necesita manos expertas. Lo menciono porque existe y a algunos les sirve, no porque haga falta para empezar. El diagnóstico gratuito es de verdad útil por sí solo.
Por qué confiar en esto
FreeScan no es un producto improvisado. Lo construí y lo mantengo desde el trabajo diario en seguridad, con una convicción de fondo: el conocimiento de seguridad debería estar al alcance de todos, no solo de quien puede pagarlo. Esa misma idea sostiene este blog, y es la razón por la que preferí liberar la herramienta en vez de esconderla detrás de un formulario de ventas.
Cómo empezar
Entra a scan.asentic.cl, escribe tu dominio, confirma que es tuyo y obtén tu informe. Toma unos minutos y no le hace daño a tu sitio.
Si después te queda alguna duda, en el blog tienes la documentación; y si necesitas acompañamiento, ya sabes dónde encontrarme. Pero parte por mirar. Casi siempre, el primer paso para estar más seguro es simplemente saber cómo estás.
