En las últimas semanas volvimos a ver lo de siempre: listados de sitios web chilenos —pymes, medios, instituciones, tiendas online— circulando en foros con sus bases de datos, credenciales de administrador o accesos a paneles internos. No hace falta nombrar a nadie; quien sigue el tema sabe de qué hablamos, y exponer a una víctima no ayuda a nadie.
Lo que sí vale la pena decir es la parte incómoda: la enorme mayoría de esos incidentes era detectable —y por lo tanto evitable— con herramientas gratuitas que existen hoy y que cualquiera puede correr. No estamos hablando de ataques sofisticados ni de exploits de día cero. Estamos hablando de WordPress con plugins sin actualizar, TLS mal configurado, paneles de administración expuestos, secretos olvidados en el código y contraseñas reutilizadas que ya estaban filtradas.
El patrón se repite
Cuando uno revisa cómo entró el atacante en estos casos, los caminos son casi siempre los mismos:
- Plugins y temas de WordPress desactualizados con vulnerabilidades públicas y conocidas. WordPress mueve más de un tercio de la web; sus plugins son la puerta de entrada más común en Chile.
- Versiones viejas de software con CVEs documentados —un servidor, un framework, una librería JS— que nadie volvió a tocar desde que el sitio salió a producción.
- TLS débil o certificados vencidos: protocolos obsoletos, suites inseguras, o directamente HTTPS que dejó de validar.
- Paneles de administración expuestos (
/wp-admin,/administrator, phpMyAdmin, paneles de hosting) accesibles desde internet, muchas veces con credenciales por defecto o débiles. - Secretos filtrados en el propio sitio: claves de API, tokens y credenciales hardcodeadas en archivos JavaScript que cualquiera descarga con el navegador.
- Sin DMARC ni SPF, lo que permite suplantar el dominio para enviar phishing creíble a clientes y empleados.
- Credenciales reutilizadas que ya aparecían en filtraciones anteriores. El atacante no las adivina: las busca en bases públicas y las prueba.
- Subdominios olvidados apuntando a servicios dados de baja, listos para un subdomain takeover.
Ninguna de estas cosas es invisible. Todas dejan una huella que un atacante encuentra en minutos con scripts automáticos… y que tú también puedes encontrar primero.
Las herramientas gratuitas que lo habrían visto venir
Esta es la buena noticia: el atacante usa herramientas automáticas y gratuitas para encontrar víctimas, y exactamente las mismas (más algunas defensivas) te sirven para revisarte antes que él. Un recorrido por las que más recomendamos:
- WPScan — el estándar para WordPress. Enumera versión del core, plugins y temas, los cruza contra una base de vulnerabilidades conocidas y detecta enumeración de usuarios. Si tu sitio es WordPress, esto es lo primero que deberías correr.
- sslscan / testssl.sh — auditan tu TLS en segundos: protocolos obsoletos (TLS 1.0/1.1), suites inseguras, certificados por vencer o mal encadenados. testssl.sh es un único script de shell, sin instalar nada pesado.
- nuclei — corre miles de plantillas de detección de vulnerabilidades conocidas, exposiciones y errores de configuración contra tu sitio. Es el mismo motor que muchos atacantes usan para barrer internet a escala.
- nmap — descubre qué puertos y servicios tienes expuestos sin saberlo. Una base de datos o un panel de administración escuchando en un puerto abierto es una invitación.
- trufflehog / gitleaks — buscan secretos (claves, tokens, contraseñas) filtrados en tu código y repositorios.
- Have I Been Pwned — te dice si los correos de tu organización ya aparecen en filtraciones públicas. Si están ahí, asume que esas contraseñas circulan.
- securityheaders.com y Mozilla Observatory — revisan las cabeceras de seguridad de tu sitio (CSP, HSTS, X-Frame-Options) desde el navegador, sin instalar nada.
- FreeScan — el nuestro. Reúne buena parte de lo anterior en un solo diagnóstico pasivo, gratuito y sin instalar nada: revisa cabeceras, TLS, configuración de correo (SPF/DMARC/DKIM), paneles expuestos, secretos en el JavaScript, subdominios en riesgo de takeover, componentes de terceros con CVEs conocidos y más — todo desde afuera, como lo ve cualquier visitante, y con el contexto de las leyes chilenas (21.663 y 21.719) para ayudarte a priorizar.
Cómo empezar en una tarde
No necesitas un presupuesto ni un equipo de seguridad para cubrir el 80% del riesgo. Un plan realista para esta semana:
- Corre FreeScan sobre tu dominio. Te da en un minuto una foto de tu postura externa y te dice qué mirar primero. Es el punto de partida más rápido.
- Si usas WordPress, pásale WPScan y actualiza —o elimina— todo plugin o tema vulnerable. Borra lo que no uses.
- Revisa tu TLS con testssl.sh o sslscan y desactiva protocolos y suites obsoletos.
- Verifica tus correos en Have I Been Pwned y rota cualquier contraseña que aparezca filtrada. Activa segundo factor en todos los paneles.
- Configura SPF y DMARC para que nadie pueda suplantar tu dominio. (Tenemos una guía dedicada a llevar DMARC a
p=reject.) - Inventaria tus subdominios y da de baja los que apunten a servicios que ya no existen.
Si trabajas con WordPress, nuestra checklist de hardening de WordPress cubre los pasos concretos uno por uno.
Hasta dónde llega lo gratuito (y dónde no)
Seamos honestos: estas herramientas encuentran lo evidente —que es justo por donde entran la mayoría de los ataques masivos que terminan en un foro—. Pero tienen un límite. No prueban la lógica de negocio de tu aplicación, no encadenan vulnerabilidades como lo haría un atacante decidido, no validan flujos de autenticación complejos ni confirman explotabilidad real. Para eso existe el ethical hacking manual, donde un especialista intenta activamente vulnerar el sistema con casos de tu negocio. Esa es la diferencia entre nuestros planes ProScan y MaxScan y el diagnóstico gratuito.
Pero esa es la capa siguiente. El piso —el que separa “estuvimos en un foro la semana pasada” de “no nos pasó”— es gratuito y está al alcance de cualquiera hoy.
La pregunta no es si tienes presupuesto para seguridad. Es si vas a revisarte tú primero, o vas a esperar a que lo haga alguien más.
¿Quieres ver cómo se ve tu sitio desde afuera? Solicita tu diagnóstico gratuito en scan.asentic.cl. Si necesitas ayuda para priorizar los hallazgos según tu industria o marco regulatorio, escríbenos.
