Escáner de Vulnerabilidades Web Online: Guía y Herramientas 2026

Imagina que un atacante escribe tu dominio en un navegador. ¿Qué ve? ¿Un certificado SSL válido o una advertencia roja que espanta a cualquier visitante? ¿Cabeceras de seguridad que dificultan los ataques o un servidor que responde con toda su información expuesta? ¿Registros DNS que protegen tu correo corporativo o una configuración que permite a cualquiera enviar emails en tu nombre?

No necesitas instalar nada para averiguarlo. Los escáneres de vulnerabilidades web online hacen exactamente esto: analizan tu dominio desde fuera, como lo haría un atacante, y te muestran lo que encuentran. Sin agentes, sin configuración, sin acceso a tu infraestructura interna.

En esta guía vamos a explicar qué analiza un escáner web online, cuáles son las herramientas gratuitas más populares, cómo interpretar los resultados sin ser experto en ciberseguridad y, sobre todo, dónde están las limitaciones que la mayoría de estas herramientas no te cuentan.

---

Qué analiza un escáner web online

Un escáner de vulnerabilidades web online se conecta a tu dominio desde internet y examina todo lo que es visible públicamente. No necesita credenciales ni acceso interno. Trabaja con lo que cualquier persona (o bot) puede ver. Esto incluye varias capas de tu infraestructura.

Configuración SSL/TLS

El escáner comprueba si tu certificado SSL es válido, si ha caducado, qué protocolos soporta (TLS 1.2, TLS 1.3, o protocolos antiguos como TLS 1.0 que deberían estar deshabilitados), la fortaleza del cifrado y si la cadena de certificados está completa. Un certificado mal configurado no solo genera advertencias en el navegador, también puede permitir ataques de tipo man-in-the-middle.

Cabeceras de seguridad HTTP

Las cabeceras HTTP son instrucciones que tu servidor envía al navegador del visitante. Le dicen cómo comportarse: si puede cargar scripts de terceros, si debe forzar HTTPS, si permite que tu web se muestre dentro de un iframe de otro sitio. Las cabeceras clave son:

• Strict-Transport-Security (HSTS): fuerza conexiones HTTPS y previene ataques de degradación de protocolo
• Content-Security-Policy (CSP): controla qué recursos puede cargar la página, mitigando ataques XSS
• X-Frame-Options: previene que tu web se muestre en iframes de sitios maliciosos (clickjacking)
• X-Content-Type-Options: evita que el navegador interprete archivos de forma incorrecta
• Permissions-Policy: restringe el acceso a APIs del navegador como cámara, micrófono o geolocalización

La ausencia de estas cabeceras no significa que te vayan a atacar mañana. Pero significa que tu superficie de ataque es mayor de lo necesario.

Registros DNS y seguridad del correo

El correo electrónico sigue siendo el vector de ataque más utilizado. Un escáner online comprueba si tu dominio tiene configurados los registros DNS que protegen tu correo:

• SPF (Sender Policy Framework): define qué servidores pueden enviar correo en nombre de tu dominio
• DKIM (DomainKeys Identified Mail): firma criptográficamente los emails salientes para verificar que no han sido modificados
• DMARC (Domain-based Message Authentication): indica a los servidores receptores qué hacer con emails que fallen la validación SPF/DKIM

Sin estos registros, cualquiera puede enviar un email que parezca venir de tu dominio. Esto no es teórico: es la base del 90% de los ataques de phishing dirigido.

Puertos abiertos y servicios expuestos

Cada puerto abierto en tu servidor es un punto de entrada potencial. Los escáneres online comprueban los puertos más comunes (80, 443, 22, 3389, 8080, etc.) y detectan qué servicios están escuchando. Un panel de administración expuesto en el puerto 8080, un servicio SSH sin restricción de IP o un servidor de base de datos accesible desde internet son hallazgos frecuentes y peligrosos.

Detección de CVEs conocidos

Algunos escáneres identifican las tecnologías que utiliza tu servidor (versión de Apache, nginx, PHP, WordPress, etc.) y cruzan esa información con bases de datos de vulnerabilidades conocidas (CVE). Si tu servidor muestra que ejecuta Apache 2.4.49, el escáner sabe que esa versión tiene un path traversal crítico documentado.

Huella tecnológica

El fingerprinting tecnológico identifica el CMS, el framework, las librerías JavaScript, el CDN, el proveedor de hosting y otros componentes de tu stack. Esta información es útil porque cada tecnología tiene sus vulnerabilidades conocidas, y un atacante la utiliza para planificar su siguiente paso.

---

Herramientas gratuitas populares

Existen docenas de herramientas online gratuitas. Cada una hace bien una cosa específica. Aquí están las más utilizadas.

SSL Labs (Qualys)

La referencia para analizar la configuración SSL/TLS de un dominio. Te da una nota de la A+ a la F, detalla los protocolos soportados, la configuración del cifrado, la cadena de certificados y las vulnerabilidades conocidas como Heartbleed o POODLE. Es exhaustivo para SSL, pero solo analiza SSL. No te dice nada sobre cabeceras, DNS ni puertos.

SecurityHeaders.com

Creada por Scott Helme, analiza las cabeceras de seguridad HTTP de tu dominio y las puntúa de la A a la F. Explica cada cabecera, por qué es importante y cómo configurarla. Es la herramienta más clara para entender tus cabeceras, pero solo analiza cabeceras. No toca SSL, DNS ni nada más.

Shodan

El buscador de dispositivos conectados a internet. Muestra los puertos abiertos, los servicios que ejecutan y las versiones de software detectadas. Es potente para descubrir lo que tienes expuesto, pero su interfaz no es amigable para no técnicos y los resultados requieren interpretación.

DNSdumpster

Herramienta de reconocimiento DNS que muestra subdominios, registros MX, registros TXT (donde viven SPF y DMARC) y mapas de la infraestructura DNS. Muy útil para tener una visión general de tu configuración DNS, pero no evalúa si la configuración es segura o no.

BuiltWith

Identifica las tecnologías que utiliza cualquier sitio web: CMS, framework JavaScript, CDN, herramientas de analítica, proveedor de email marketing. Es útil para entender tu huella tecnológica, pero no analiza vulnerabilidades. Solo te dice qué usas, no si es seguro.

El problema: fragmentación

Para tener una visión completa de la seguridad de tu dominio, necesitas abrir cinco pestañas y ejecutar cinco herramientas diferentes. Y después, unir los resultados manualmente. Ninguna de estas herramientas por sí sola te da la foto completa. Además, ninguna guarda un historial ni te avisa si algo cambia.

---

Qué buscar en los resultados

Los resultados de un escaneo pueden ser abrumadores si no sabes qué estás mirando. Vamos a traducir los hallazgos más comunes a un lenguaje que cualquier responsable de negocio puede entender.

Certificado SSL caducado o inválido

Qué significa: los navegadores mostrarán una pantalla de advertencia roja a tus visitantes. Chrome literalmente dice "Tu conexión no es privada". La mayoría de usuarios no van a hacer clic en "Avanzado" para continuar. Si tienes una tienda online o un formulario de contacto, estás perdiendo clientes.

Impacto real: pérdida directa de tráfico y conversiones, penalización en el posicionamiento de Google, y posibilidad de ataques de interceptación de datos.

Falta de HSTS

Qué significa: un atacante en la misma red (por ejemplo, en una WiFi pública) puede forzar a tu navegador a conectarse por HTTP en lugar de HTTPS. Esto se llama ataque de degradación de protocolo (downgrade attack) y permite interceptar contraseñas, cookies de sesión y cualquier dato que transmitas.

Impacto real: especialmente grave si tus empleados o clientes acceden desde redes no controladas. En oficinas, coworkings o aeropuertos esto es un riesgo real.

Sin registros SPF/DKIM/DMARC

Qué significa: cualquier persona puede enviar un email que parezca venir de tu dominio. Tu dirección [email protected] puede aparecer en un email de phishing pidiendo a tus clientes que paguen una factura a una cuenta diferente.

Impacto real: fraude por suplantación de identidad, pérdida de confianza de clientes y proveedores, posibles responsabilidades legales.

Puerto RDP (3389) abierto a internet

Qué significa: el protocolo de escritorio remoto está accesible desde cualquier lugar del mundo. Este es literalmente el vector de entrada más utilizado por los grupos de ransomware. No es una exageración: el 70% de los ataques de ransomware a PYMEs empiezan por un RDP expuesto con credenciales débiles.

Impacto real: ransomware, cifrado de todos tus datos, petición de rescate. Para una PYME, puede significar semanas de inactividad.

Tecnologías obsoletas con CVEs conocidos

Qué significa: tu servidor ejecuta software con vulnerabilidades públicas y documentadas. Existen exploits disponibles que cualquiera puede descargar y usar. No necesitas ser un hacker sofisticado para explotar una vulnerabilidad conocida en WordPress 5.0 o Apache 2.4.49.

Impacto real: acceso no autorizado al servidor, robo de datos, defacement del sitio web, uso del servidor para minar criptomonedas o lanzar ataques contra terceros.

---

Limitaciones de los escáneres online gratuitos

Los escáneres online son útiles como punto de partida. Pero tienen limitaciones importantes que debes conocer antes de asumir que tu seguridad está cubierta.

Solo ven la superficie externa

Un escáner online analiza lo que es visible desde internet. No puede examinar la configuración de tu cloud (AWS, Azure, GCP), las reglas de tus bases de datos, los permisos de tus buckets de almacenamiento ni la seguridad de tus APIs internas. Es como inspeccionar la fachada de un edificio sin entrar dentro.

No realizan escaneo autenticado

Las herramientas gratuitas no inician sesión en tu aplicación. No prueban formularios protegidos, no comprueban inyecciones SQL detrás de un login, no analizan flujos de compra ni áreas de administración. La mayoría de vulnerabilidades graves de una aplicación web están detrás de la autenticación.

No auditan configuración cloud

Tu dominio puede pasar un escaneo con nota A+, pero tener un bucket S3 público con datos de clientes, una base de datos Firebase sin reglas de seguridad o funciones Lambda con permisos excesivos. Los escáneres web no tocan nada de esto. Para eso necesitas CSPM.

No monitorizan de forma continua

Un escaneo puntual es una foto. Te dice cómo estaba tu dominio en ese momento. Mañana, alguien de tu equipo puede cambiar la configuración del servidor, renovar mal un certificado o exponer un nuevo servicio. Sin monitorización continua, no te enterarás hasta que sea demasiado tarde.

Un escaneo puntual es mejor que nada. Pero confiar solo en escaneos puntuales es como ir al médico una vez y asumir que estás sano para siempre.

No priorizan los hallazgos por contexto

Las herramientas gratuitas te dan una lista de hallazgos sin contexto de negocio. Te dicen que falta una cabecera Permissions-Policy, pero no te dicen si eso es crítico para tu caso específico. Un escáner no sabe si eres una fintech que procesa pagos o un blog personal. La priorización requiere contexto que una herramienta gratuita no tiene.

---

Un escáner que te da la foto completa en un solo paso

Lo que necesitas es un escáner que haga el trabajo de las cinco herramientas que mencionamos antes, pero en un solo informe. Que analice SSL, cabeceras, DNS, correo electrónico y puertos a la vez. Y que te explique los resultados de forma clara, con prioridades y recomendaciones concretas.

Eso es exactamente lo que hace el escáner gratuito de Vulnerabbit.

Introduces tu dominio, completas una verificación rápida y en menos de un minuto recibes un informe completo con:

• Estado de tu certificado SSL y configuración TLS
• Análisis de todas las cabeceras de seguridad HTTP
• Verificación de SPF, DKIM y DMARC
• Detección de puertos abiertos y servicios expuestos
• Identificación de tecnologías y CVEs conocidos

Todo en un solo informe, enviado a tu correo. Sin crear cuenta, sin instalar nada.

Cuando necesitas ir más allá del escaneo puntual

El escáner gratuito te da la foto. Pero si necesitas la película — monitorización continua, alertas cuando algo cambia, escaneos autenticados de tu aplicación web — necesitas herramientas más avanzadas.

Vulnerabbit como plataforma combina tres capas de protección:

• ASM (Attack Surface Management): descubrimiento y monitorización continua de todos tus activos expuestos a internet. No solo los que conoces, también los que no sabías que existían.
• DAST (Dynamic Application Security Testing): escaneo autenticado de tu aplicación web, probando vulnerabilidades reales como inyecciones SQL, XSS, CSRF y errores de lógica de negocio.
• CSPM (Cloud Security Posture Management): auditoría continua de la configuración de tu infraestructura cloud. Detecta buckets públicos, bases de datos sin cifrar, permisos excesivos y configuraciones que incumplen las mejores prácticas.

---

Conclusión: empieza por lo que puedes ver desde fuera

No puedes proteger lo que no conoces. Y el primer paso para conocer tu postura de seguridad es mirar tu dominio como lo haría un atacante: desde fuera.

Un escáner de vulnerabilidades web online te da esa primera visión. Te muestra los problemas más obvios — los que un atacante encontraría en los primeros cinco minutos de reconocimiento. Y muchas veces, esos problemas obvios son los que causan las brechas reales.

Empieza con el escáner gratuito de Vulnerabbit. En menos de un minuto sabrás qué ve un atacante cuando mira tu dominio. A partir de ahí, puedes decidir hasta dónde quieres llegar.