Escanear Vulnerabilidades Web Online: 21 Servicios Sencillos

Este artículo presenta herramientas para escanear vulnerabilidades web y realizar una evaluación simple y rápida de la seguridad de un sitio web. Se han considerado criterios como la disponibilidad de uso gratuito, la facilidad de uso, la ausencia de registro de usuario obligatorio, la velocidad de detección de problemas y el alcance de las funcionalidades gratuitas.

Para verificar la seguridad de un sitio web de forma rápida, puedes utilizar herramientas para escanear vulnerabilidades web online. Estos servicios automatizados revisan tu página en busca de fallos de configuración, malware, presencia en listas negras y debilidades conocidas como SQLi o XSS. Opciones como Sucuri SiteCheck u Observatory by Mozilla ofrecen análisis gratuitos para una primera evaluación.

Importante: Ten en cuenta que las herramientas automatizadas pueden generar “falsos positivos” (alertas que no son reales) o pasar por alto fallos lógicos complejos.

Recuerda: si necesitas respuestas precisas y completas sobre la vulnerabilidad de tu sitio o si ha sido comprometido, requieres un pentest profesional. El proceso de escanear vulnerabilidades web online con estas herramientas es un excelente primer paso, pero no sustituye un análisis profundo. Alternativamente, si el incidente es evidente (por ejemplo, deface, bloqueo del sitio, fuga de información, etc.), es necesaria una investigación de incidente forense.

Escáneres de Vulnerabilidades Profundos (DAST)

Herramientas diseñadas para encontrar fallos en el código y la infraestructura, permitiendo analizar vulnerabilidades web online a un nivel más profundo.

1. Acunetix: Un escáner comercial clásico y robusto. Verifica sitios web en busca de múltiples vulnerabilidades críticas (SQLi, XSS). Requiere registro con un correo electrónico corporativo. Ofrece un periodo de prueba gratuito. El servicio proporciona resultados de gran utilidad técnica.
2. Detectify: Escáner de seguridad comercial creado por hackers éticos que ejecuta varias decenas de pruebas automatizadas, incluyendo las del OWASP Top 10, análisis de malware y muchas otras. Requiere registro y ofrece un periodo de prueba gratuito. El escaneo dura varias horas y genera un volumen considerable de resultados detallados.
3. Intruder: Un escáner comercial moderno para un amplio espectro de vulnerabilidades. El servicio cuenta con funcionalidades avanzadas como el análisis de seguridad para sistemas en la nube y APIs. Es de uso intuitivo, ideal para empresas ágiles. Requiere registro y ofrece un periodo de prueba gratuito.
4. Invicti (antes Netsparker): Uno de los escáneres comerciales líderes del mercado, famoso por su tecnología “Proof-Based Scanning”. Dispone de una versión de prueba gratuita. Requiere registro corporativo y proporciona una cantidad alta de resultados verificados para reducir falsos positivos.
5. Probely: Escáner de vulnerabilidades de pago con una interfaz de usuario de alta calidad y una versión de prueba gratuita. El registro y uso son sencillos. Probely está orientado a desarrolladores de sitios y aplicaciones web (DevSecOps), ya que incluye no solo la detección de vulnerabilidades, sino también la gestión de su ciclo de vida completo. El servicio opera con rapidez.
6. HostedScan: Una plataforma online moderna que automatiza el escaneo de seguridad sin complicaciones. Utiliza en su núcleo motores potentes como OWASP ZAP y OpenVAS, pero gestionados 100% desde la nube. A diferencia de las opciones puramente corporativas, ofrece un plan gratuito (“Free Forever”) que permite escanear hasta 3 objetivos al mes. Es ideal para obtener resultados profesionales sin necesidad de configuraciones complejas.
7. ImmuniWeb: Servicio con una opción gratuita (Community Edition) de interfaz funcional, simple y bien diseñada. El escáner verifica la seguridad del servidor, cumplimiento PCI DSS y GDPR, cabeceras HTTP (incluyendo CSP) y CMS (WordPress/Drupal). No es especialmente rápido, pero presenta resultados claros y bien estructurados.
8. Pentest-Tools: Un escáner rápido y de uso sencillo que opera desde la nube. El escaneo gratuito “Light” permite una vista rápida de la superficie de ataque, aunque solo puede ejecutarse dos veces sin créditos. No requiere registro para la prueba básica, pero sus resultados son limitados frente a la versión completa.

Escáneres de Reputación, Malware y Configuración

Este tipo de scanner de vulnerabilidades web online se enfoca en verificar rápidamente listas negras, virus o configuraciones SSL.

9. Observatory by Mozilla: Servicio gratuito del proyecto Mozilla, referencia en la industria. Es simple de usar, rápido y visual. No busca vulnerabilidades de código, sino que califica la seguridad de las cabeceras HTTP, pruebas de SSL, TLS y precarga HSTS. Indispensable para verificar buenas prácticas.
10. Sucuri SiteCheck: El escáner gratuito más popular para detección de malware externo. SiteCheck es fácil de usar y compatible con todo tipo de webs. Su funcionalidad es limitada (no ve el código del servidor): comprueba la presencia del sitio en listas negras, verifica firewall (WAF), inyecciones de malware visibles y errores de cabeceras.
11. VirusTotal: El conocido agregador de inteligencia de amenazas, propiedad de Google. Funciona analizando tu URL contra docenas de bases de datos de antivirus y listas negras. Es gratuito, de máxima simplicidad y proporciona resultados instantáneos sobre la reputación del dominio.
12. Norton Safe Web: Escáner de reputación gratuito y de fácil ejecución. No busca fallos técnicos, sino que indica si el sitio es seguro para visitar según la base de datos de amenazas de Norton. No genera resultados a menos que tu sitio ya se encuentre indexado en su servicio.
13. Quttera: Herramienta gratuita con motor de detección heurística. Su ejecución es ligeramente más lenta, aunque generalmente rápida. Es fácil de usar y permite verificar archivos maliciosos, sospechosos y si el sitio figura en listas de navegación segura.
14. SiteGuarding: Este servicio escanea sitios en busca de malware, verifica listas negras, spam, etc. El escáner declara ser compatible con plataformas como WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin, entre otras.
15. UpGuard Scan: Esta herramienta realiza evaluaciones de riesgo externo (Cyber Risk). Analiza información pública como registros DNS, configuraciones de correo y exposición de datos. Dispone de una versión de prueba gratuita.
16. H-X Scanner: Escáner online gratuito. Dispone de dos modos: rápido y normal. No requiere registro: solo debes introducir la dirección de tu sitio y un correo electrónico para recibir el informe.

Escáneres especializados en WordPress

Servicios diseñados específicamente para revisar vulnerabilidades sitio web online en el CMS más usado del mundo.

17. Wprecon: Escáner gratuito, de uso simple y relativamente rápido. Entre los sistemas de su categoría, ofrece los informes más detallados y comprensibles. La herramienta verifica la versión de WordPress, plugins, temas, identificación de usuarios, indexación de directorios e iframes. Los resultados son bastante completos para una auditoría inicial.
18. WPsec: Escáner para sitios WordPress con una versión gratuita limitada. WPsec utiliza en su backend el motor WPScan, el estándar de la industria para vulnerabilidades de WordPress. Proporciona información sobre versiones obsoletas del núcleo, plugins vulnerables y otros posibles riesgos de seguridad.
19. IsitWP Security Scanner: Un escáner gratuito, fácil de usar y sin registro, basado en el motor de Sucuri. Útil para una segunda opinión rápida sobre malware conocido, aunque con funcionalidad limitada a verificaciones externas.
20. Web Inspector: Escáner online para verificar la seguridad de sitios WordPress. El servicio utiliza Google Safe Browsing y el motor de Comodo para analizar el sitio. Verifica la existencia de código malicioso, backdoors, virus, y scripts o archivos sospechosos.

Google Safe Browsing: La Verificación Oficial

21. Google Safe Browsing: No es un escáner activo, sino la interfaz para la “lista negra” oficial de Google. Se trata de una de las principales herramientas para detectar vulnerabilidades en páginas web a nivel de reputación. Muchos de los escáneres mencionados arriba consultan esta base de datos. Está integrado en Google Search Console.

Si tu sitio llega a ser incluido aquí (pantalla roja al entrar), recibirás instrucciones detalladas en la consola sobre cómo limpiar el sitio y solicitar la reconsideración. Es el estándar de oro para saber si Google te considera peligroso.