Sobre Asentic FreeScan

FreeScan ejecuta sólo pruebas pasivas y de bajo impacto: lectura de cabeceras, consultas DNS, validación del certificado y probe de paths bien conocidos. No inyectamos payloads, no realizamos fuzzing, no hacemos brute-force ni denegación de servicio.

Cada escaneo respeta un budget máximo de 200 requests con un User-Agent identificable: Asentic-FreeScan/0.4.0 (+https://scan.asentic.cl/about). El crawler within-scope está limitado a 25 páginas y sólo sigue enlaces internos del apex y subdominios, nunca dominios de terceros.

El escaneo cubre seis grandes áreas que determinan la postura de seguridad pública de un sitio web. En cada una verificamos la configuración expuesta y la comparamos contra estándares reconocidos:

• Cómo se entrega el sitio al visitante: configuración del servidor web, certificado y cifrado del tráfico, mecanismos que evitan que un atacante manipule el contenido en el navegador o robe sesiones.
• Identidad y reputación del correo y del dominio: controles que evitan que terceros suplanten el dominio para enviar phishing y que aseguran la entrega legítima de los correos propios, más la salud del registro del dominio: vigencia, candado anti-transferencia (registrar lock), redundancia de DNS y reputación en listas de bloqueo.
• Información que el sitio podría estar exponiendo sin saberlo: archivos olvidados, datos de configuración, credenciales filtradas en código público o subdominios sin uso que un atacante podría aprovechar como punto de entrada.
• Componentes de terceros que usa el sitio: librerías, plataformas y proveedores integrados que, si están desactualizados o mal configurados, abren puertas al ataque sin que el dueño del sitio se entere.
• Privacidad y cumplimiento normativo: manejo de cookies, consentimiento, política de privacidad, transferencias internacionales de datos y readiness contra los marcos más relevantes (Ley 21.719 chilena, RGPD europeo, PCI DSS, ISO 27001:2022, OWASP ASVS 5.0, NIST CSF 2.0). En industrias reguladas (alcohol, tabaco, juego/apuestas) también revisamos los controles de verificación de edad exigidos por ley.
• Modernidad técnica: uso de protocolos y mecanismos actuales que mejoran rendimiento, seguridad y deliverability por defecto.

Cada hallazgo del informe incluye explicación clara, recomendación práctica y, cuando aplica, mapeo a estándares internacionales (OWASP Top 10:2025, CWE) y puntaje de riesgo objetivo (CVSS 4.0). El detalle metodológico granular y la prueba reproducible son parte del diferenciador de ProScan y MaxScan.

1. Registro DNS TXT: el más universal; requiere acceso al panel DNS.
2. Archivo en /.well-known/: útil cuando no hay acceso a DNS pero sí al servidor web.
3. Meta tag en el HTML de la home: sirve para sitios con CMS limitado.
4. Código por correo del dominio: si tu email de contacto es del mismo dominio ([email protected]), te enviamos un código de 6 dígitos por mail; lo pegas y queda validado.

Si no tienes acceso a ninguno, escríbenos a [email protected] para validación manual.

• OWASP Web Security Testing Guide v4: fases pasivas (Information Gathering, Configuration & Deployment Management, Identity Management).
• OWASP Top 10:2025: cada hallazgo se mapea a la categoría correspondiente.
• CVSS 4.0: vector y score asignado a hallazgos clásicos (directory listing, secret leaks, takeovers, plugins desactualizados).
• CWE: referencia a la Common Weakness Enumeration cuando aplica.
• Compliance: PCI DSS 4.0.1, Ley 21.663 (Marco de Ciberseguridad, Chile), Ley 21.719 (Protección de Datos, Chile), RGPD, ISO 27001:2022, OWASP ASVS 5.0, NIST CSF 2.0.

FreeScan es una línea base automatizada. No reemplaza un análisis manual con casos de negocio. No abarca:

• Lógica de negocio, IDOR, escalamiento de privilegios.
• Inyecciones activas (SQL, XSS, SSTI, etc.): no se ejecutan payloads.
• Vulnerabilidades que requieran autenticación o sesión.
• APIs internas o flujos protegidos detrás de login.
• Análisis del código fuente o configuración del servidor.

Para cobertura más profunda Asentic ofrece dos planes pagos:

• ProScan: scan automatizado profundo con sondas activas controladas, deep CVE matching, content discovery, evidence pack reproducible y mapping completo a controles de compliance.
• MaxScan: pentest híbrido manual + automatizado, consultoría de remediación validada en laboratorio antes de aplicar en producción, rescan de cierre y firma del consultor.

Para Ethical Hacking, asesoría en ciberseguridad y servicios Blue Team/SOC: [email protected] o www.asentic.cl.

Sólo guardamos: el dominio escaneado, el email indicado, la evidencia del método de autorización (DNS/archivo/meta/código por correo) y el informe generado. No compartimos datos con terceros. El informe se borra automáticamente 30 días después de completarse (auto-cleanup diario validado por systemd timer).

El PDF nunca viaja como adjunto en emails: sólo se entrega via link firmado HTTPS punto a punto desde nuestros servidores, sin pasar por proveedores intermedios de correo.

Las estadísticas anónimas agregadas (categorías de findings, CMS, CDN, sin dominio ni email) se conservan más allá del PDF para alimentar contenido de educación en seguridad. Esos datos no permiten re-identificar al solicitante ni al sitio.

Cada usuario debe declarar al solicitar el escaneo que es propietario del dominio o actúa con su autorización, conforme a la Ley 21.663 Marco de Ciberseguridad. La validación técnica de propiedad (DNS/archivo/meta/email) constituye evidencia objetiva de control del dominio. Asentic se reserva el derecho de rechazar solicitudes sobre dominios sensibles (banca, gobierno, infraestructura crítica) sin acuerdo previo.

Derechos ARCO (Ley 21.719): puedes solicitar acceso, rectificación, cancelación u oposición de tus datos escribiendo a [email protected]. Respondemos en máximo 30 días hábiles. Consulta nuestra política de privacidad completa.