Una pregunta que nos hacen con frecuencia: “¿En qué se diferencian de Nessus, OpenVAS o Qualys? ¿No hacen lo mismo?”
La respuesta corta: no. Pero la confusión es completamente razonable — todos se venden bajo el paraguas de “ciberseguridad” y todos producen informes. La diferencia está en qué miran, desde dónde miran y para quién está escrito el resultado.
Esta nota explica la distinción en palabras que no requieren saber qué es un puerto TCP.
Qué hace un scanner de red como Nessus u OpenVAS
Nessus, OpenVAS, Qualys y Nmap son herramientas de evaluación de infraestructura de red. Su función principal es:
- Conectarse a tu red interna (o que alguien con acceso lo haga).
- Descubrir qué servidores, equipos e impresoras están encendidos.
- Verificar qué servicios están escuchando en cada puerto (web, email, bases de datos, VPN, etc.).
- Cruzar las versiones detectadas contra una base de datos de vulnerabilidades conocidas — el equivalente a decir “tu servidor corre Apache 2.2.3 y esa versión tiene este CVE desde 2019”.
El resultado es típicamente una lista de cientos de hallazgos técnicos, ordenados por severidad, con identificadores CVE, puntajes CVSS y recomendaciones del tipo “actualizar de la versión X a la Y”. Es información precisa y valiosa — para el equipo de TI que tiene que ejecutar los parches.
Para un gerente general, un director de operaciones o un responsable de cumplimiento, ese reporte es literalmente ilegible sin traducción.
Hay otro límite igual de importante: esas herramientas necesitan acceso a tu red interna. No pueden ejecutarse desde afuera sin credenciales o agentes instalados. Miran adentro — lo que tú tienes en tu infraestructura privada.
El flanco que no miran
Mientras las herramientas de red auditan lo que pasa dentro de tu perímetro, hay una superficie completamente distinta que está expuesta por definición: todo lo que publicas en internet.
Tu sitio web, los headers que entrega tu servidor, cómo está configurado tu correo, qué scripts externos cargas en tus páginas, si tus subdominios apuntan a servicios que ya no existen — todo eso es visible para cualquier persona con un browser y un poco de curiosidad. No requiere acceso a tu red. No requiere credenciales. Está ahí, todo el tiempo, esperando que alguien lo revise.
Es exactamente ese flanco el que evalúa FreeScan.
Qué evalúa FreeScan y cómo se ve el resultado
FreeScan analiza tu dominio desde afuera, como lo haría un investigador de seguridad o un atacante en fase de reconocimiento. No se conecta a tu red interna, no necesita agentes, no requiere que abras ningún puerto. Sólo necesitas verificar que eres el dueño del dominio.
El informe que produce no está dirigido al equipo técnico que tiene que parchear servidores. Está dirigido a quien tiene que decidir qué arreglar primero y explicarle el estado de seguridad a un directorio o a un auditor.
Veamos cómo se ve en la práctica con el informe de un dominio real — www.asentic.cl, nuestro propio sitio.
El resumen ejecutivo
Lo primero que aparece en el informe es una calificación directa:
Postura aceptable con margen de mejora incremental.
4 Bajos · 10 Informativos
Método de verificación: email-domain · Escaneo completado en 47 s · 147 requests
Una letra. Un número. Cuatro hallazgos que requieren acción, diez que son información de contexto. Cualquier gerente puede leer eso en diez segundos y saber si hay algo urgente.
En Nessus, el equivalente sería una tabla con 200 filas con columnas CVSS, CVE-ID, Plugin ID, Risk Factor. Ambas representaciones son correctas — para sus respectivas audiencias.
Un hallazgo, con todo su contexto
Los hallazgos en FreeScan no son sólo una línea. Cada uno incluye descripción del riesgo real, el activo afectado, recomendación concreta y, relevante para esta nota, el mapeo a marcos regulatorios.
Descripción: MTA-STS (RFC 8461) permite que el dominio publique una política que obliga a servidores externos a entregar el correo sólo con TLS válido. Sin esta política, un atacante con posición de red puede hacer downgrade del SMTP entrante a texto plano o interceptarlo.
Recomendación: Publicar registro DNS _mta-sts.dominio + archivo de política en https://mta-sts.dominio/.well-known/mta-sts.txt con mode: enforce. Agregar TLS-RPT para visibilidad de intentos de entrega.
Ese hallazgo tiene cero CVEs. No aparecería en Nessus. No es una vulnerabilidad de software con parche disponible — es una decisión de configuración que deja tu correo sin protección. Y es exactamente el tipo de riesgo que queda en el punto ciego de los scanners de red.
El mapa de cumplimiento normativo
Aquí está la diferencia más práctica para quien debe reportar a un directorio, a un auditor externo o demostrar cumplimiento ante un cliente corporativo.
FreeScan cruza cada hallazgo contra seis marcos de cumplimiento simultáneamente: ISO 27001:2022, Ley 21.719 de Protección de Datos Personales, RGPD, NIST CSF 2.0, OWASP ASVS 5.0 y PCI DSS 4.0.1. El resultado es una tabla de preparación instantánea:
| Marco | Preparación | Controles tocados | Hallazgos |
|---|---|---|---|
| ISO 27001:2022 | 94 % | A.8.21 · A.8.24 · A.8.26 · A.8.3 | 10 |
| Ley 21.719 | 96 % | Art. 12 (información al titular) | 2 |
| NIST CSF 2.0 | 94 % | PR.DS-02 · PR.PS-06 · PR.AA-01 | 9 |
| OWASP ASVS 5.0 | 96 % | V3 Frontend Security · V4 Access Control | 5 |
| PCI DSS 4.0.1 | 96 % | 6.4.3 · 7.2 | 5 |
| RGPD | 96 % | Art. 13 · Art. 6 | 2 |
Preparación calculada sobre el subconjunto de controles que FreeScan puede verificar desde el exterior.
Esa tabla lleva a un directorio en cinco minutos de presentación. No requiere traducción técnica. Si tu sitio o tu organización está en proceso de certificación ISO 27001 y un hallazgo toca el control A.8.26, el área de cumplimiento sabe exactamente dónde registrarlo.
Ningún scanner de red genera esto. No porque sea incapaz técnicamente, sino porque no es su función — ellos reportan para el equipo de infraestructura, no para el área de cumplimiento.
La comparación directa
Si tienes que explicarle la diferencia a alguien en una frase:
Nessus y OpenVAS revisan si las paredes de tu edificio tienen grietas estructurales. FreeScan revisa si la vidriera está limpia, si el letrero de horario es correcto, si la puerta tiene cerrojo visible y si el local cumple la normativa de accesibilidad — todo desde la vereda, sin necesidad de entrar.
Ambas evaluaciones son válidas y necesarias. Se complementan, no se reemplazan.
La tabla práctica:
| Nessus / OpenVAS / Qualys | FreeScan | |
|---|---|---|
| Desde dónde | Red interna (requiere acceso) | Internet abierto (sin acceso especial) |
| Qué escanea | Puertos, servicios, software instalado | Superficie web, headers, email, compliance, cadena de suministro JS |
| Vulnerabilidades | CVEs en software (Apache 2.2.3 tiene tal CVE) | Configuración incorrecta, exposición de datos, cadena de suministro |
| Para quién | Equipo de TI / Sysadmin | Gerencia, directorio, área de cumplimiento, responsable de seguridad |
| Requiere | Agente, credenciales o acceso a red | Solo el dominio y verificación de propiedad |
| Output | Lista técnica de CVEs con CVSS | Informe PDF con grade, prioridades P1-P5 y mapeo normativo |
Cuándo usar cada uno
Usa Nessus / Qualys / OpenVAS cuando: - Necesitas auditar tu infraestructura interna (servidores, VMs, equipos de red). - Tu equipo de TI tiene que priorizar parches de software. - Estás en proceso de certificación que requiere escaneo de vulnerabilidades de red (algunos frameworks de PCI DSS lo exigen explícitamente para la red interna). - Tienes un CISO o equipo de seguridad que consume y actúa sobre reportes técnicos.
Usa FreeScan cuando: - Quieres saber qué ve alguien de afuera antes de que te llamen para decirte que algo está mal. - Tienes que presentarle el estado de seguridad a un directorio sin aburrirlos con CVEs. - Necesitas demostrar preparación ante ISO 27001, Ley 21.719 o un auditor de cliente corporativo. - Tu área de seguridad es una persona, no un equipo — o directamente no tienes área de seguridad. - Cambiaste algo en tu sitio y quieres verificar que no abriste un hueco sin darte cuenta.
Lo que FreeScan no hace (y es importante saberlo)
Ser honesto sobre los límites es parte de la propuesta: FreeScan es una evaluación de la superficie externa. No:
- Audita tu red interna ni tus servidores por dentro.
- Detecta vulnerabilidades en el código fuente de tu aplicación (eso requiere SAST o una revisión de código).
- Reemplaza un pentest manual donde un especialista intenta explotar activamente los hallazgos.
- Verifica si tus empleados caen en phishing (eso requiere simulaciones de ingeniería social).
Esos son servicios distintos, con metodologías distintas. Lo que FreeScan sí hace es darte en menos de un minuto una foto objetiva de lo que cualquier persona puede ver de tu organización desde internet — con el contexto normativo que necesitas para priorizar y reportar.
¿Quieres ver cómo quedaría el informe de tu dominio? Puedes solicitarlo en scan.asentic.cl. Si tienes preguntas sobre qué evaluar primero según tu industria o marco regulatorio, escríbenos.