Crítica
Sitio caído o código malicioso detectado (ioc-detected). Indicadores: miners de criptomonedas, eval(atob(...)), iframes ocultos con dimensión cero, scripts de dominios sospechosos, certificado TLS vencido. Acción inmediata.
El problema
Un sitio comprometido puede verse igual que uno limpio.
Los ataques de defacement e inyección de código apuntan precisamente a lo que los dueños de un sitio no controlan todo el día: lo que el servidor entrega a los visitantes. Un atacante puede inyectar un miner de criptomonedas, un redirect encubierto, o un script de robo de tarjetas sin tocar ningún archivo que el administrador revise periódicamente.
01 / riesgo
Defacement e inyección
El caso más directo: alguien compromete el servidor y modifica el contenido visible. Pero el patrón silencioso es más frecuente — un script inyectado en el <head> que extrae datos o sirve malware sin cambiar nada visible para el ojo humano.
02 / riesgo
Supply chain web
Tu sitio carga scripts y estilos de CDNs externos. Si uno de esos proveedores es comprometido y cambia el contenido que entrega, ese cambio llega a todos tus visitantes. El Site Monitor detecta cuando un nuevo dominio externo aparece referenciado desde tu sitio.
03 / riesgo
Ventana de detección
Un incidente que se detecta a los 20 minutos se resuelve en horas. Uno que se detecta al día siguiente porque un usuario reclamó puede haber afectado a cientos de personas. La ventana entre el compromiso y la detección define el daño.
Cómo funciona
HTML, no screenshots — más profundo y más preciso.
Herramientas como VisualPing comparan capturas de pantalla. Funcionan en sitios estáticos pero generan ruido continuo en sitios con contenido editorial que cambia legítimamente. Comparar el HTML permite distinguir cambio estructural de cambio de contenido — y detectar código inyectado que una captura de pantalla nunca mostraría.
01
Fetch cada 30 minutos
Descargamos el HTML de tu sitio desde una IP neutral cada media hora. Capturamos encabezados HTTP, cadena de redirecciones, información TLS del certificado en producción y latencia. Nada se instala en tu servidor.
02
Análisis en 3 capas independientes
Calculamos tres hashes ortogonales con sensibilidades distintas: (1) estructura del <head> normalizado — máxima sensibilidad, detecta cualquier script o recurso nuevo; (2) esqueleto del DOM — detecta iframes ocultos, divs inesperados, cambios estructurales del <body>; (3) orígenes externos — dominios cross-origin referenciados desde src, href o action.
03
Alerta con evidencia accionable
Cuando cualquiera de las 3 capas difiere del baseline establecido, recibís un email con el tipo de cambio, el detalle del diff (qué se agregó o qué desapareció), el nivel de urgencia y la recomendación concreta. Los filtros anti-ruido evitan repetir la misma alerta en corridas sucesivas hasta que el estado cambie.
Tipos de alerta
Tres niveles de urgencia con contexto para actuar.
Cada hallazgo se clasifica antes de enviarse. Tu equipo sabe a qué velocidad debe responder sin tener que interpretar la alerta.
Alta
Cambio estructural en el <head> o nuevo dominio externo referenciado (chrome-changed, origin-changed). Conviene investigar dentro de 2 horas: confirmar si el cambio fue intencional y quién lo autorizó.
Media / Informativa
Cambio en la estructura del DOM, certificado próximo a vencer, redirección nueva. Útil para mantener un registro de cambios en el sitio. El cert-expiring se envía con anticipación para coordinar renovación antes del corte.
Alcance
Qué incluye el servicio.
cadencia
Monitoreo cada 30 minutos
Ventana de detección de 30 minutos en horario laboral y fuera de él. Un ataque fuera del horario de oficina no espera al día siguiente para ser detectado.
análisis
3 capas + 10 reglas IOC
Análisis estructural de HTML con 3 hashes ortogonales más 10 reglas de detección de indicadores de compromiso. Allowlist de trackers conocidos (GTM, Cloudflare, Meta, Hotjar) para eliminar ruido de falsos positivos.
baseline
Baseline persistido
El estado "bueno" del sitio queda registrado y no se actualiza automáticamente. Cada deploy legítimo se acompaña de un reset de baseline explícito, lo que cierra el vector de ataque boiling-frog (cambios graduales acumulados).
TLS
Monitoreo de certificados
Alertas de certificado próximo a vencer (30 días, 14 días), certificado vencido y cambio de emisor. Asegura que el equipo se entera antes de la caída, no después.
privacidad
Sin agentes ni acceso interno
El monitoreo es 100% externo y pasivo. Sólo necesitamos la URL del sitio y la casilla de alertas. No requiere acceso SSH, credenciales de CMS ni cambios en tu infraestructura.
retención
Historial para auditoría
Cada alerta queda registrada con fecha, evidencia HTML y estado anterior vs. actual. Útil para mostrar a auditoría interna o reguladores el historial de integridad del sitio a lo largo del tiempo.
Valor para el cliente
Por qué importa detectarlo a los 30 minutos.
Lo que está en juego
Un sitio web comprometido es una puerta abierta hacia los visitantes de tu marca. Los atacantes que inyectan código malicioso apuntan a los datos de pago, credenciales y cookies de tus clientes — no al servidor en sí. La inyección ocurre en segundos; el daño escala con cada visita siguiente hasta que alguien lo detecta.
La diferencia entre detectar en 30 minutos y detectar al día siguiente puede medirse en cientos de usuarios expuestos. Para sitios con tráfico recurrente, la velocidad de detección es la variable que más reduce el alcance de un incidente.
Quién lo necesita
Organizaciones con sitios web transaccionales o de alta visibilidad — e-commerce, servicios financieros, salud, entidades educativas — donde un cambio no autorizado tiene impacto directo en los usuarios finales. También empresas que manejan terceros o agencias que actualizan el sitio y donde un control externo independiente agrega valor.
Modelo de trabajo
Onboarding en la primera semana: configuramos el sitio en el monitor, establecemos el baseline inicial junto al equipo técnico del cliente y definimos la casilla de alertas. Posteriormente: monitoreo autónomo + acompañamiento para el reset de baseline en cada deploy mayor.
¿Querés ver el monitor en acción?
Agendamos una sesión de 30 minutos donde te mostramos el motor corriendo sobre un sitio de demostración, revisamos un ejemplo real de alerta y conversamos sobre cómo se vería para el tuyo.