{"id":85965,"date":"2026-05-03T14:13:33","date_gmt":"2026-05-03T19:13:33","guid":{"rendered":"https:\/\/niixer.com\/?p=85965"},"modified":"2026-05-05T19:06:15","modified_gmt":"2026-05-06T00:06:15","slug":"analisis-seguridad-web-kali-linux-owasp","status":"publish","type":"post","link":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/","title":{"rendered":"Reconocimiento de red y hacking \u00e9tico: c\u00f3mo se analiza la seguridad de un sitio web paso a paso"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1-1024x576.webp\" alt=\"Reconocimiento de red y hacking \u00e9tico: c\u00f3mo se analiza la seguridad de un sitio web paso a paso\" class=\"wp-image-85986\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1-1024x576.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1-300x169.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1-768x432.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1.webp 1280w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>La <a href=\"https:\/\/www.ibm.com\/mx-es\/think\/topics\/web-security\">seguridad web<\/a> ya no es un lujo reservado para grandes corporaciones. Hoy, cualquier sitio \u2014desde una tienda en l\u00ednea hasta un portal educativo\u2014 puede convertirse en blanco de atacantes si no cuenta con una evaluaci\u00f3n peri\u00f3dica de sus vulnerabilidades.<\/p>\n\n\n\n<p>En este art\u00edculo exploramos, de forma did\u00e1ctica y detallada, c\u00f3mo funciona un an\u00e1lisis de seguridad web real, basado en t\u00e9cnicas de reconocimiento de red y en la metodolog\u00eda <a href=\"https:\/\/owasp.org\/Top10\/2021\/es\/\">OWASP Top 10 (2021)<\/a>. Este an\u00e1lisis se realiza exclusivamente sobre un entorno de prueba debidamente autorizado, con fines educativos y acad\u00e9micos.<\/p>\n\n\n\n<p>Es importante aclarar que las actividades descritas corresponden a un escaneo y reconocimiento de vulnerabilidades bajo consentimiento expl\u00edcito del propietario del sistema, cumpliendo con principios \u00e9ticos y legales de la ciberseguridad. En ning\u00fan caso se promueve el acceso no autorizado ni el uso indebido de estas t\u00e9cnicas fuera de un contexto controlado y permitido.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 es el hacking \u00e9tico y por qu\u00e9 importa?<\/h2>\n\n\n\n<p>El <a href=\"https:\/\/www.ibm.com\/mx-es\/think\/topics\/ethical-hacking\">hacking \u00e9tico<\/a> consiste en aplicar las mismas t\u00e9cnicas y herramientas que usar\u00eda un atacante, pero con autorizaci\u00f3n expl\u00edcita del propietario del sistema y con el \u00fanico objetivo de encontrar fallas antes de que alguien malintencionado lo haga. No se trata de romper nada: se trata de entender c\u00f3mo est\u00e1 construido un sistema para protegerlo mejor.<br>En este caso, el an\u00e1lisis fue realizado sobre el dominio yamahacolombia-pyp.free.nf, con carta de autorizaci\u00f3n firmada por el propietario del sitio, en el marco de un proyecto acad\u00e9mico de la Universidad Central de Colombia, asignatura Hacking \u00c9tico I. Este punto es fundamental: ninguna prueba de <a href=\"http:\/\/seguridad web Kali Linux\">seguridad<\/a> debe ejecutarse sin consentimiento previo y documentado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">El entorno de trabajo: Kali Linux sobre VirtualBox<br><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"900\" height=\"619\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/01-1.webp\" alt=\"Kali Linux con VirtualBox\" class=\"wp-image-85971\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/01-1.webp 900w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/01-1-300x206.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/01-1-768x528.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/01-1-130x90.webp 130w\" sizes=\"auto, (max-width: 900px) 100vw, 900px\" \/><\/figure>\n\n\n\n<p>Para llevar a cabo las pruebas se utiliz\u00f3 <a href=\"https:\/\/www.kali.org\/\">Kali Linux<\/a>, una distribuci\u00f3n de Linux especialmente dise\u00f1ada para la seguridad inform\u00e1tica, que incluye cientos de herramientas preinstaladas para an\u00e1lisis de redes, pruebas de penetraci\u00f3n y evaluaci\u00f3n de vulnerabilidades. Este sistema fue ejecutado dentro de una m\u00e1quina virtual usando Oracle VM VirtualBox, lo que ofrece varias ventajas clave: el equipo f\u00edsico queda protegido ante posibles errores, es f\u00e1cil revertir cambios y el entorno puede replicarse con precisi\u00f3n.<\/p>\n\n\n\n<p>Esta combinaci\u00f3n de herramientas es el punto de partida est\u00e1ndar en proyectos de ciberseguridad a nivel acad\u00e9mico y profesional.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 1: Reconocimiento de conectividad con Ping y Traceroute<\/strong><br><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"900\" height=\"658\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/02.webp\" alt=\"\" class=\"wp-image-85973\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/02.webp 900w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/02-300x219.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/02-768x561.webp 768w\" sizes=\"auto, (max-width: 900px) 100vw, 900px\" \/><\/figure>\n\n\n\n<p>La primera etapa de cualquier an\u00e1lisis de seguridad web es verificar que el objetivo existe y est\u00e1 en l\u00ednea. Para ello se emple\u00f3 el comando <code>ping<\/code>, que env\u00eda paquetes ICMP al servidor y espera respuesta. En este caso, el dominio resolvi\u00f3 correctamente hacia la direcci\u00f3n IP <code>185.27.134.65<\/code>, confirmando que el DNS funciona y que el servidor est\u00e1 activo en la red.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"897\" height=\"596\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/03.webp\" alt=\"\" class=\"wp-image-85974\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/03.webp 897w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/03-300x199.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/03-768x510.webp 768w\" sizes=\"auto, (max-width: 897px) 100vw, 897px\" \/><\/figure>\n\n\n\n<p>A continuaci\u00f3n se ejecut\u00f3 <code>traceroute<\/code>, que mapea el camino que recorren los paquetes desde el equipo local hasta el servidor, mostrando cada nodo intermedio. El primer salto correspondi\u00f3 a la IP interna de VirtualBox (<code>10.0.2.2<\/code>), y los saltos siguientes aparecieron bloqueados, representados como <code>* * *<\/code>. Este comportamiento es habitual: muchos servidores y firewalls est\u00e1n configurados para ignorar estas solicitudes de rastreo por razones de seguridad, lo que ya nos da una primera se\u00f1al sobre el nivel de protecci\u00f3n perimetral del sitio.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 2: Consultas DNS con Nslookup<\/strong><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"861\" height=\"328\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/04.webp\" alt=\"\" class=\"wp-image-85975\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/04.webp 861w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/04-300x114.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/04-768x293.webp 768w\" sizes=\"auto, (max-width: 861px) 100vw, 861px\" \/><\/figure>\n\n\n\n<p>El sistema de nombres de dominio (<a href=\"https:\/\/niixer.com\/?s=DNS\" type=\"link\" id=\"https:\/\/niixer.com\/?s=DNS\">DNS<\/a>) es el directorio telef\u00f3nico de internet: traduce nombres como <em>yamahacolombia-pyp.free.nf<\/em> en direcciones IP que los servidores pueden entender. Usando <code>nslookup<\/code>, se confirm\u00f3 la resoluci\u00f3n correcta del dominio hacia <code>185.27.134.65<\/code>. La respuesta fue de tipo &#8220;no autoritativa&#8221;, es decir, provino de una cach\u00e9 del servidor DNS local, lo cual es completamente normal y no compromete la validez de los datos.<\/p>\n\n\n\n<p>Tambi\u00e9n se consultaron registros especializados del DNS: los registros MX (servidores de correo), NS (servidores de nombres) y TXT (verificaciones adicionales). Los resultados mostraron que el dominio usa <code>ns2.free.nf<\/code> como servidor de nombres principal, perteneciente al proveedor de hosting. No se encontraron registros MX propios ni pol\u00edticas de seguridad configuradas en los registros TXT, lo que indica que el sitio no tiene servicios de correo propios y carece de configuraciones avanzadas de protecci\u00f3n DNS.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 3: An\u00e1lisis de puertos con Nmap<\/strong><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"859\" height=\"315\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/05.webp\" alt=\"Nmap\" class=\"wp-image-85983\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/05.webp 859w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/05-300x110.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/05-768x282.webp 768w\" sizes=\"auto, (max-width: 859px) 100vw, 859px\" \/><\/figure>\n\n\n\n<p>Nmap es probablemente la herramienta de escaneo de puertos m\u00e1s reconocida en el mundo de la ciberseguridad. Mediante el comando <code>nmap -sS -sV yamahacolombia-pyp.free.nf<\/code> se identificaron los puertos abiertos en el servidor. Los resultados m\u00e1s relevantes fueron:<\/p>\n\n\n\n<p>El puerto <strong>80 (HTTP)<\/strong> y el puerto <strong>443 (HTTPS)<\/strong> aparecieron abiertos, confirmando que el servidor ofrece servicios web tanto en conexi\u00f3n est\u00e1ndar como cifrada. Adicionalmente, el puerto <strong>2049<\/strong> apareci\u00f3 abierto, aunque su prop\u00f3sito no pudo determinarse con claridad. Todos los puertos detectados mostraron el estado <code>tcpwrapped<\/code>, lo que indica la presencia de mecanismos de seguridad que limitan el acceso directo a los servicios. La mayor\u00eda de los puertos restantes aparecieron como filtrados, evidencia clara de la presencia de un firewall activo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 4: Consulta de registros DNS (A, MX, NS y TXT)<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Consulta del registro A del dominio<\/h3>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"582\" height=\"397\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/comando-dig.webp\" alt=\"Consulta DNS A\n\" class=\"wp-image-86098\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/comando-dig.webp 582w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/comando-dig-300x205.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/comando-dig-130x90.webp 130w\" sizes=\"auto, (max-width: 582px) 100vw, 582px\" \/><\/figure>\n\n\n\n<p>Se realiz\u00f3 la consulta DNS del registro tipo <strong>A<\/strong> para el dominio yamahacolombia-pyp.free.nf utilizando la herramienta <code>dig<\/code>, ampliamente empleada en entornos de administraci\u00f3n de redes y pruebas de seguridad.<\/p>\n\n\n\n<p>El <a href=\"https:\/\/dle.rae.es\/objetivo\">objetivo<\/a> de esta consulta es identificar la direcci\u00f3n IP asociada al dominio, lo que permite comprender hacia qu\u00e9 servidor se dirige el tr\u00e1fico cuando un <a href=\"https:\/\/niixer.com\/?s=usuario\">usuario<\/a> intenta acceder al sitio web.<\/p>\n\n\n\n<p>El resultado obtenido evidencia una resoluci\u00f3n exitosa del dominio:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El estado de la consulta (<strong>NOERROR<\/strong>) indica que no se presentaron fallos durante la resoluci\u00f3n.<\/li>\n\n\n\n<li>En la secci\u00f3n <strong>ANSWER SECTION<\/strong> se identifica el registro A correspondiente, el cual asocia el dominio con la direcci\u00f3n IP <strong>185.27.134.65<\/strong>.<\/li>\n\n\n\n<li>El valor <strong>TTL (86242 segundos)<\/strong> define el tiempo durante el cual esta informaci\u00f3n puede permanecer en cach\u00e9 en otros servidores DNS, optimizando futuras consultas.<\/li>\n\n\n\n<li>El tiempo de respuesta fue de <strong>28 milisegundos<\/strong>, lo que refleja una resoluci\u00f3n eficiente por parte del servidor DNS.<\/li>\n\n\n\n<li>El servidor que respondi\u00f3 a la consulta fue <strong>192.168.10.1<\/strong>, correspondiente al resolvedor local configurado en la red.<\/li>\n<\/ul>\n\n\n\n<p>Desde una perspectiva t\u00e9cnica, el registro A es fundamental dentro de la infraestructura de Internet, ya que permite traducir nombres de dominio legibles por humanos en <a href=\"https:\/\/niixer.com\/?s=direcciones+IP\">direcciones IP<\/a> comprensibles por los sistemas. Este proceso es esencial para el funcionamiento de servicios web y constituye una de las bases del sistema de nombres de dominio (DNS).<\/p>\n\n\n\n<p>En el contexto de an\u00e1lisis de seguridad o reconocimiento de <a href=\"https:\/\/dle.rae.es\/infraestructura\" type=\"link\" id=\"https:\/\/dle.rae.es\/infraestructura\">infraestructura<\/a>, este tipo de consultas permite identificar el servidor de destino, lo que puede ser utilizado posteriormente para evaluar configuraciones, servicios expuestos o posibles vulnerabilidades.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Consulta del registro MX del dominio<\/h3>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"562\" height=\"433\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-193930.webp\" alt=\"Consulta DNS MX\" class=\"wp-image-86107\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-193930.webp 562w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-193930-300x231.webp 300w\" sizes=\"auto, (max-width: 562px) 100vw, 562px\" \/><\/figure>\n\n\n\n<p>La consulta de registros MX (Mail Exchange) realizada sobre el dominio yamahacolombia-pyp.free.nf arroj\u00f3 un resultado significativo desde el punto de vista t\u00e9cnico.<\/p>\n\n\n\n<p>En primer lugar, el estado de la respuesta (NOERROR) confirma que el dominio existe y que la consulta fue procesada correctamente por el servidor DNS. Sin embargo, el aspecto m\u00e1s relevante se observa en la secci\u00f3n de respuesta, donde se indica ANSWER: 0, lo que significa que no se encontraron registros MX asociados al dominio.<\/p>\n\n\n\n<p>La ausencia de registros MX implica que el dominio no tiene servidores de correo configurados, por lo tanto, no est\u00e1 habilitado para recibir mensajes de correo electr\u00f3nico. Esta situaci\u00f3n suele presentarse en dominios destinados exclusivamente a alojamiento web o en entornos de prueba donde no se ha implementado infraestructura de mensajer\u00eda.<\/p>\n\n\n\n<p>Adicionalmente, en la secci\u00f3n AUTHORITY SECTION se presenta un registro de tipo SOA (Start of Authority) correspondiente al dominio base free.nf, el cual identifica el servidor DNS autoritativo encargado de la gesti\u00f3n de la zona. Este registro tambi\u00e9n incluye informaci\u00f3n administrativa y par\u00e1metros de control como el n\u00famero de serie y los tiempos de actualizaci\u00f3n del DNS.<\/p>\n\n\n\n<p>El tiempo de respuesta de la consulta fue de 496 milisegundos, un valor relativamente superior al observado en otras consultas, lo que podr\u00eda estar relacionado con el proceso de resoluci\u00f3n o con la latencia del servidor DNS utilizado.<\/p>\n\n\n\n<p>Desde una perspectiva t\u00e9cnica y de seguridad, la inexistencia de registros MX indica que no hay servicios de correo expuestos asociados al dominio, lo cual reduce la superficie de ataque en vectores relacionados con el correo electr\u00f3nico. No obstante, tambi\u00e9n evidencia que no se han implementado mecanismos de autenticaci\u00f3n de correo como SPF, DKIM o DMARC, los cuales dependen de una configuraci\u00f3n adecuada del servicio de mensajer\u00eda.<\/p>\n\n\n\n<p>En conclusi\u00f3n, los resultados obtenidos permiten afirmar que el dominio analizado no cuenta con infraestructura de correo electr\u00f3nico configurada, limitando su funcionalidad a otros servicios, principalmente web.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Consulta del registro NS del dominio<\/h3>\n\n\n\n<p>\u00bfQu\u00e9 son los registros NS?<\/p>\n\n\n\n<p>Los <strong>NS (Name Server)<\/strong> indican <strong>qu\u00e9 servidores DNS son autoritativos<\/strong> para el dominio. Son los encargados de responder consultas como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>A (IP)<\/li>\n\n\n\n<li>MX (correo)<\/li>\n\n\n\n<li>TXT (seguridad)<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"567\" height=\"441\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-195322.webp\" alt=\"Consulta DNS NS\" class=\"wp-image-86129\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-195322.webp 567w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-195322-300x233.webp 300w\" sizes=\"auto, (max-width: 567px) 100vw, 567px\" \/><\/figure>\n\n\n\n<p>La consulta de registros NS (Name Server) del dominio yamahacolombia-pyp.free.nf se realiz\u00f3 correctamente (status: NOERROR), confirmando la existencia del dominio.<\/p>\n\n\n\n<p>Sin embargo, el resultado muestra ANSWER: 0, lo que indica que no se encontraron registros NS definidos directamente para el subdominio consultado. En su lugar, la respuesta incluye un registro SOA en la secci\u00f3n de autoridad, correspondiente al dominio base free.nf, lo que sugiere que la gesti\u00f3n DNS se delega a nivel del dominio principal.<\/p>\n\n\n\n<p>En t\u00e9rminos pr\u00e1cticos, esto implica que el subdominio utiliza la configuraci\u00f3n DNS heredada del proveedor de hosting, sin definir servidores de nombres propios.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Consulta del registro TXT del dominio<\/h3>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"568\" height=\"528\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-200221.webp\" alt=\"Consulta DNS TXT\" class=\"wp-image-86139\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-200221.webp 568w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Captura-de-pantalla-2026-04-30-200221-300x279.webp 300w\" sizes=\"auto, (max-width: 568px) 100vw, 568px\" \/><\/figure>\n\n\n\n<p>La consulta de registros TXT del dominio yamahacolombia-pyp.free.nf se realiz\u00f3 exitosamente (status: NOERROR), lo que confirma que el dominio existe y es resoluble.<\/p>\n\n\n\n<p>No obstante, el resultado presenta ANSWER: 0, indicando que no hay registros TXT configurados para el dominio. Esto implica que no se han definido pol\u00edticas o configuraciones adicionales com\u00fanmente asociadas a este tipo de registros, como mecanismos de autenticaci\u00f3n de correo (SPF, DKIM o DMARC) o verificaciones de dominio.<\/p>\n\n\n\n<p>En la secci\u00f3n de autoridad (AUTHORITY SECTION) se observa un registro SOA perteneciente al dominio base free.nf, lo que indica que la gesti\u00f3n DNS est\u00e1 centralizada en el proveedor y no en el subdominio espec\u00edfico.<\/p>\n\n\n\n<p>Desde el punto de vista t\u00e9cnico y de seguridad, la ausencia de registros TXT refleja una configuraci\u00f3n m\u00ednima del dominio, sin implementaci\u00f3n de controles adicionales relacionados con validaci\u00f3n o protecci\u00f3n de servicios.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 5: Consulta WHOIS e identificaci\u00f3n del registrante<\/strong><\/h2>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"741\" height=\"895\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1053.png\" alt=\"Consulta Whois\n\" class=\"wp-image-86150\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1053.png 741w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1053-248x300.png 248w\" sizes=\"auto, (max-width: 741px) 100vw, 741px\" \/><\/figure>\n\n\n\n<p>Como parte del proceso de reconocimiento, se realiz\u00f3 una consulta WHOIS al dominio free.nf con el fin de identificar informaci\u00f3n clave sobre su registro y configuraci\u00f3n.<\/p>\n\n\n\n<p>Los resultados muestran que el dominio est\u00e1 registrado a trav\u00e9s de la empresa Key-Systems GmbH, encargada de su gesti\u00f3n. Adem\u00e1s, se identifican fechas relevantes como su creaci\u00f3n en junio de 2023, su \u00faltima actualizaci\u00f3n en noviembre de 2025 y su fecha de expiraci\u00f3n en junio de 2026, lo que permite entender su ciclo de vida y vigencia.<\/p>\n\n\n\n<p>En cuanto a la infraestructura, el dominio utiliza servidores de nombres asociados al proveedor InfinityFree, espec\u00edficamente ns1.infinityfree.com y ns2.infinityfree.com. Esto sugiere que el sitio est\u00e1 alojado en un entorno de hosting gratuito, lo cual suele implicar configuraciones b\u00e1sicas y limitaciones en t\u00e9rminos de personalizaci\u00f3n y seguridad.<\/p>\n\n\n\n<p>En conjunto, esta informaci\u00f3n permite tener una visi\u00f3n inicial de la infraestructura del dominio, siendo un punto de partida clave para posteriores an\u00e1lisis dentro del proceso de evaluaci\u00f3n de seguridad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 6: An\u00e1lisis del certificado SSL\/TLS (puerto 443)<\/strong><\/h2>\n\n\n\n<p>En esta fase se realiz\u00f3 la verificaci\u00f3n del servicio HTTPS del dominio yamahacolombia-pyp.free.nf mediante el an\u00e1lisis del puerto 443, el cual es utilizado para establecer comunicaciones seguras a trav\u00e9s del protocolo SSL\/TLS.<\/p>\n\n\n\n<p>La comprobaci\u00f3n se llev\u00f3 a cabo utilizando la herramienta <code>nmap<\/code> en un entorno de Kali Linux, ejecutando el siguiente comando:<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"531\" height=\"175\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1084.png\" alt=\"Consulta Puerto 443\" class=\"wp-image-86291\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1084.png 531w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1084-300x99.png 300w\" sizes=\"auto, (max-width: 531px) 100vw, 531px\" \/><\/figure>\n\n\n\n<p>El resultado obtenido fue:<\/p>\n\n\n\n<p>PORT STATE SERVICE<br>443\/tcp open https<\/p>\n\n\n\n<p>Este resultado indica que el puerto 443 se encuentra abierto y operativo, lo que confirma que el servidor web permite conexiones seguras mediante HTTPS. Esto implica la presencia de un certificado digital activo, encargado de cifrar la comunicaci\u00f3n entre el cliente y el servidor.<\/p>\n\n\n\n<p>Desde el punto de vista de seguridad, la habilitaci\u00f3n del puerto 443 es un aspecto fundamental, ya que garantiza la protecci\u00f3n de la informaci\u00f3n transmitida, evitando su interceptaci\u00f3n o manipulaci\u00f3n por terceros. No obstante, para un an\u00e1lisis m\u00e1s completo, es recomendable profundizar en las caracter\u00edsticas del certificado, como su emisor, vigencia y algoritmo de cifrado.<\/p>\n\n\n\n<p>En conclusi\u00f3n, esta fase permiti\u00f3 verificar que el dominio cuenta con soporte para comunicaciones seguras, constituyendo un elemento esencial dentro de la evaluaci\u00f3n de su postura de seguridad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 7: Consulta del certificado SSL\/TLS<\/strong><\/h2>\n\n\n\n<p>Con el objetivo de evaluar la seguridad de las comunicaciones del dominio yamahacolombia-pyp.free.nf, se realiz\u00f3 la inspecci\u00f3n de su certificado digital a trav\u00e9s del protocolo HTTPS (puerto 443), utilizando la herramienta openssl en un entorno de Kali Linux.<\/p>\n\n\n\n<p>Para ello, se ejecut\u00f3 el siguiente comando:<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"582\" height=\"417\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1085.png\" alt=\"Consulta certificado 443\" class=\"wp-image-86295\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1085.png 582w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1085-300x215.png 300w\" sizes=\"auto, (max-width: 582px) 100vw, 582px\" \/><\/figure>\n\n\n\n<p>Este proceso permite establecer una conexi\u00f3n segura con el servidor, iniciar el handshake TLS y obtener informaci\u00f3n detallada del certificado digital presentado.<\/p>\n\n\n\n<p>Como resultado, se identific\u00f3 que el certificado es emitido por la autoridad certificadora ZeroSSL, lo que garantiza la autenticidad del servicio. Asimismo, el certificado est\u00e1 asociado al dominio <strong>free.nf<\/strong>, indicando que la gesti\u00f3n del servicio se realiza a trav\u00e9s del proveedor de hosting.<\/p>\n\n\n\n<p>En cuanto a la seguridad de la comunicaci\u00f3n, se evidenci\u00f3 el uso del protocolo <strong>TLS versi\u00f3n 1.3<\/strong>, junto con el cifrado <strong>TLS_AES_256_GCM_SHA384<\/strong>, considerado uno de los m\u00e1s robustos en la actualidad. Esta configuraci\u00f3n proporciona un alto nivel de protecci\u00f3n en la transmisi\u00f3n de datos, asegurando confidencialidad e integridad.<\/p>\n\n\n\n<p>Adicionalmente, el resultado <strong>Verify return code: 0 (ok)<\/strong> confirma que el certificado es v\u00e1lido y confiable, sin presentar errores de verificaci\u00f3n.<\/p>\n\n\n\n<p>En conclusi\u00f3n, el an\u00e1lisis del certificado SSL\/TLS demuestra que el sitio web cuenta con una implementaci\u00f3n adecuada de mecanismos de seguridad para la protecci\u00f3n de la informaci\u00f3n, cumpliendo con buenas pr\u00e1cticas en el uso de comunicaciones cifradas mediante HTTPS.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 8: OWASP identificaci\u00f3n de vulnerabilidades<\/strong><\/h2>\n\n\n\n<p>El proyecto OWASP es una referencia global en ciberseguridad que proporciona gu\u00edas, metodolog\u00edas y est\u00e1ndares para identificar vulnerabilidades en aplicaciones web. Uno de sus principales aportes es el OWASP Top 10 (2021), un listado de los riesgos m\u00e1s cr\u00edticos, utilizado como base para evaluar la seguridad de sistemas.<\/p>\n\n\n\n<p>En este contexto, OWASP permite estructurar el an\u00e1lisis de forma sistem\u00e1tica, facilitando la identificaci\u00f3n de fallos como configuraciones inseguras, problemas de control de acceso o debilidades en el uso de cifrado, incluso desde fases tempranas como el reconocimiento.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A01: Broken Access Control <\/strong><\/h3>\n\n\n\n<p>La categor\u00eda A01: Broken Access Control del OWASP se refiere a fallos en los mecanismos que restringen el acceso a recursos sensibles.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evalu\u00f3 el acceso a la ruta administrativa de WordPress (\/wp-admin) para verificar la implementaci\u00f3n de controles de acceso.<\/p>\n\n\n\n<p>Comandos utilizados:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>curl -I https:\/\/yamahacolombia-pyp.free.nf\/wp-admin\/\ncurl -k -I -A \"Mozilla\/5.0\" https:\/\/yamahacolombia-pyp.free.nf\/wp-admin\/<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"284\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-34-1024x284.png\" alt=\"\" class=\"wp-image-86482\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-34-1024x284.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-34-300x83.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-34-768x213.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-34.png 1139w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><strong>Resultados:<\/strong><\/p>\n\n\n\n<p>Inicialmente se present\u00f3 un error SSL (limitaci\u00f3n del entorno).<br>Posteriormente, se obtuvo respuesta HTTP 200 OK al simular un navegador.<\/p>\n\n\n\n<p><strong>An\u00e1lisis:<\/strong><br>El servidor responde a la solicitud sin aplicar una redirecci\u00f3n directa, mientras que en un navegador normalmente redirige a \/wp-login.php. Esto indica que el control de acceso no se gestiona a nivel de servidor, sino a nivel de la aplicaci\u00f3n (WordPress), lo cual es un comportamiento esperado, aunque dependiente de una correcta configuraci\u00f3n interna.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A02: Cryptographic Failures (Fallos Criptogr\u00e1ficos)<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda A02: Cryptographic Failures del OWASP se enfoca en errores en la implementaci\u00f3n de mecanismos criptogr\u00e1ficos que pueden comprometer la confidencialidad e integridad de la informaci\u00f3n.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evalu\u00f3 la seguridad de la comunicaci\u00f3n HTTPS mediante la verificaci\u00f3n del puerto 443 y el an\u00e1lisis del certificado SSL\/TLS.<\/p>\n\n\n\n<p>An\u00e1lisis de resultados:<br>Se confirm\u00f3 que el puerto 443 se encuentra abierto, lo que indica soporte para conexiones seguras. El certificado digital es emitido por ZeroSSL y utiliza TLS 1.3 con el cifrado TLS_AES_256_GCM_SHA384, est\u00e1ndares modernos que garantizan un alto nivel de protecci\u00f3n. Adem\u00e1s, la verificaci\u00f3n del certificado fue exitosa, confirmando su validez y confiabilidad.<\/p>\n\n\n\n<p>An\u00e1lisis de seguridad:<br>No se identifican fallos cr\u00edticos en la implementaci\u00f3n criptogr\u00e1fica. Sin embargo, el certificado est\u00e1 asociado al dominio del proveedor de hosting (free.nf), lo que implica dependencia de la infraestructura del servicio.<\/p>\n\n\n\n<p>Recomendaciones:<\/p>\n\n\n\n<p>Implementar un certificado SSL propio<br>Configurar pol\u00edticas HSTS<br>Forzar el uso de HTTPS<br>Asegurar cookies con atributos de seguridad<\/p>\n\n\n\n<p>Conclusi\u00f3n:<br>El sitio cumple con buenas pr\u00e1cticas en el uso de cifrado, reduciendo el riesgo de exposici\u00f3n de informaci\u00f3n durante la transmisi\u00f3n de datos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A03: Injection (Inyecci\u00f3n)<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda A03: Injection del OWASP aborda vulnerabilidades que se presentan cuando una aplicaci\u00f3n procesa entradas del usuario de forma insegura, permitiendo la ejecuci\u00f3n de comandos maliciosos. Entre estas, la inyecci\u00f3n SQL es una de las m\u00e1s cr\u00edticas, ya que puede comprometer la integridad y confidencialidad de la base de datos.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se realizaron pruebas b\u00e1sicas de inyecci\u00f3n mediante el uso de curl, as\u00ed como pruebas automatizadas con sqlmap, con el objetivo de evaluar la respuesta del sistema ante entradas manipuladas.<\/p>\n\n\n\n<p><strong>Comandos utilizados:<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>curl -k \"https:\/\/yamahacolombia-pyp.free.nf\/?s=' OR '1'='1\"\ncurl -k -X POST https:\/\/yamahacolombia-pyp.free.nf\/wp-login.php -d \"log=admin' OR '1'=1&amp;pwd=test\"\n<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"154\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-35-1024x154.png\" alt=\"\" class=\"wp-image-86483\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-35-1024x154.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-35-300x45.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-35-768x115.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-35.png 1034w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<pre class=\"wp-block-code\"><code>sqlmap -u \"https:\/\/yamahacolombia-pyp.free.nf\/sample-page-2\/\" --forms --batch --dbs<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"707\" height=\"72\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-36.png\" alt=\"\" class=\"wp-image-86484\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-36.png 707w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-36-300x31.png 300w\" sizes=\"auto, (max-width: 707px) 100vw, 707px\" \/><\/figure>\n\n\n\n<p><strong>An\u00e1lisis de resultados<\/strong><\/p>\n\n\n\n<p>Las pruebas no evidenciaron comportamientos vulnerables ante intentos b\u00e1sicos de inyecci\u00f3n.<\/p>\n\n\n\n<p>En primer lugar, la solicitud fue rechazada por un error en el formato de la URL.<br>Por esta raz\u00f3n, la aplicaci\u00f3n no proces\u00f3 la entrada enviada.<\/p>\n\n\n\n<p>Posteriormente, durante la segunda prueba, la conexi\u00f3n se interrumpi\u00f3 en la negociaci\u00f3n SSL\/TLS.<br>Este comportamiento no mostr\u00f3 indicios de ejecuci\u00f3n de consultas manipuladas.<\/p>\n\n\n\n<p>En cuanto al an\u00e1lisis automatizado, la herramienta <code>sqlmap<\/code> no encontr\u00f3 formularios ni par\u00e1metros din\u00e1micos.<br>Debido a esto, no fue posible evaluar vectores de inyecci\u00f3n de forma directa.<\/p>\n\n\n\n<p>En conjunto, los resultados sugieren que la aplicaci\u00f3n no expone puntos de entrada vulnerables en las rutas evaluadas.<br>Adem\u00e1s, la estructura basada en WordPress reduce la visibilidad de par\u00e1metros, lo que dificulta ataques automatizados.<\/p>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>No se identificaron vulnerabilidades explotables relacionadas con inyecci\u00f3n en las pruebas realizadas. Sin embargo, la ausencia de resultados tambi\u00e9n puede estar influenciada por la selecci\u00f3n de puntos de entrada, lo que resalta la importancia de identificar correctamente formularios y par\u00e1metros din\u00e1micos durante el an\u00e1lisis.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validar y sanitizar todas las entradas del usuario<\/li>\n\n\n\n<li>Utilizar consultas preparadas (prepared statements)<\/li>\n\n\n\n<li>Mantener actualizado el sistema, temas y plugins<\/li>\n\n\n\n<li>Evitar la exposici\u00f3n de errores internos<\/li>\n\n\n\n<li>Implementar mecanismos de protecci\u00f3n como WAF<\/li>\n\n\n\n<li>Realizar pruebas peri\u00f3dicas sobre puntos de entrada reales<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis realizado, alineado con la categor\u00eda A03 de OWASP, no evidenci\u00f3 vulnerabilidades de inyecci\u00f3n en los vectores evaluados. No obstante, se recomienda ampliar las pruebas sobre entradas din\u00e1micas para garantizar una evaluaci\u00f3n m\u00e1s completa de la seguridad de la aplicaci\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A04: Insecure Design (Dise\u00f1o Inseguro)<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda A04: Insecure Design del OWASP hace referencia a deficiencias en el dise\u00f1o de la aplicaci\u00f3n, donde no se incorporan controles de seguridad desde las etapas iniciales de desarrollo, lo que puede permitir el abuso de funcionalidades.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se realiz\u00f3 una evaluaci\u00f3n general de la estructura, navegaci\u00f3n y funcionalidades disponibles, incluyendo p\u00e1ginas informativas, tienda y formulario de atenci\u00f3n al cliente (PQR).<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"526\" height=\"671\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-37.png\" alt=\"PQRS\n\" class=\"wp-image-86485\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-37.png 526w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-37-235x300.png 235w\" sizes=\"auto, (max-width: 526px) 100vw, 526px\" \/><\/figure>\n\n\n\n<p data-wp-context---core-fit-text=\"core\/fit-text::{&quot;fontSize&quot;:&quot;&quot;}\" data-wp-init---core-fit-text=\"core\/fit-text::callbacks.init\" data-wp-interactive data-wp-style--font-size=\"core\/fit-text::context.fontSize\" class=\"has-fit-text\">Formulario de atenci\u00f3n al cliente (PQR) sin mecanismos de protecci\u00f3n como CAPTCHA o limitaci\u00f3n de solicitudes.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"799\" height=\"921\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-38.png\" alt=\"Home\" class=\"wp-image-86486\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-38.png 799w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-38-260x300.png 260w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-38-768x885.png 768w\" sizes=\"auto, (max-width: 799px) 100vw, 799px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Navegaci\u00f3n libre en la p\u00e1gina principal y secci\u00f3n de tienda sin restricciones de acceso.<\/em><\/p>\n\n\n\n<p><strong>An\u00e1lisis de resultados<\/strong><\/p>\n\n\n\n<p>Durante la exploraci\u00f3n del sitio se identificaron los siguientes aspectos relevantes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Navegaci\u00f3n libre entre secciones sin restricciones de acceso<\/li>\n\n\n\n<li>Formulario PQR sin mecanismos visibles de protecci\u00f3n (ej. CAPTCHA)<\/li>\n\n\n\n<li>Ausencia de limitaci\u00f3n en la cantidad de solicitudes (rate limiting)<\/li>\n\n\n\n<li>Funcionalidades p\u00fablicas (como tienda y formularios) sin validaciones adicionales visibles<\/li>\n<\/ul>\n\n\n\n<p>Estas condiciones evidencian la falta de controles orientados a prevenir el uso automatizado o abusivo del sistema.<\/p>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>Las debilidades identificadas sugieren una ausencia de controles de seguridad a nivel de dise\u00f1o, lo que podr\u00eda permitir:<\/p>\n\n\n\n<p>Env\u00edo masivo de solicitudes (spam)<br>Abuso del formulario de atenci\u00f3n al cliente<br>Interacciones automatizadas mediante bots<\/p>\n\n\n\n<p>Esto indica que la seguridad no ha sido integrada de forma adecuada desde la arquitectura de la aplicaci\u00f3n, aline\u00e1ndose con la categor\u00eda A04 del OWASP Top 10.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementar mecanismos CAPTCHA en formularios<\/li>\n\n\n\n<li>Aplicar limitaci\u00f3n de solicitudes (rate limiting)<\/li>\n\n\n\n<li>Validar el comportamiento del usuario<\/li>\n\n\n\n<li>Incorporar controles de seguridad desde el dise\u00f1o de la aplicaci\u00f3n<\/li>\n\n\n\n<li>Implementar monitoreo de actividad sospechosa<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis evidencia debilidades en el dise\u00f1o de la aplicaci\u00f3n que podr\u00edan facilitar abusos en funcionalidades p\u00fablicas. Esto posiciona al sistema dentro de la categor\u00eda A04: Insecure Design, resaltando la necesidad de integrar controles de seguridad desde etapas tempranas del desarrollo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A05: Security Misconfiguration <\/strong><\/h3>\n\n\n\n<p>La categor\u00eda A05: Security Misconfiguration del OWASP hace referencia a errores en la configuraci\u00f3n de aplicaciones, servidores o servicios que pueden exponer informaci\u00f3n sensible o facilitar ataques.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evaluaron aspectos relacionados con la configuraci\u00f3n del sistema, incluyendo el acceso a rutas administrativas, comportamiento del servidor y caracter\u00edsticas del entorno de hosting.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"589\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-39-1024x589.png\" alt=\"\" class=\"wp-image-86489\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-39-1024x589.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-39-300x173.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-39-768x442.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-39.png 1444w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Inicio de sesi\u00f3n WordPress<\/em><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"909\" height=\"95\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-40.png\" alt=\"\" class=\"wp-image-86491\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-40.png 909w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-40-300x31.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-40-768x80.png 768w\" sizes=\"auto, (max-width: 909px) 100vw, 909px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Respuesta del servidor ante solicitud mediante curl<\/em><\/p>\n\n\n\n<p>An\u00e1lisis de resultados<\/p>\n\n\n\n<p>Durante la evaluaci\u00f3n se identificaron los siguientes puntos:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Acceso p\u00fablico a rutas administrativas de WordPress como <strong>\/wp-admin<\/strong><\/li>\n\n\n\n<li>Uso de un servicio de hosting gratuito (<em>free.nf<\/em>), con configuraciones limitadas<\/li>\n\n\n\n<li>Respuestas del servidor con errores al utilizar herramientas como <code>curl<\/code>, indicando posibles restricciones o filtrado de solicitudes automatizadas<\/li>\n\n\n\n<li>Uso de certificado SSL compartido bajo el dominio del proveedor<\/li>\n\n\n\n<li>Ausencia visible de configuraciones avanzadas de seguridad<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>Las condiciones observadas evidencian posibles debilidades en la configuraci\u00f3n, tales como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Exposici\u00f3n de rutas comunes que facilitan ataques automatizados<\/li>\n\n\n\n<li>Dependencia de configuraciones predeterminadas del proveedor<\/li>\n\n\n\n<li>Falta de personalizaci\u00f3n en la seguridad del sistema<\/li>\n\n\n\n<li>Posible ausencia de encabezados de seguridad (security headers)<\/li>\n<\/ul>\n\n\n\n<p>Esto puede permitir la identificaci\u00f3n de tecnolog\u00edas (fingerprinting) y la explotaci\u00f3n de configuraciones por defecto.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Restringir el acceso a rutas sensibles como <strong>\/wp-admin<\/strong><\/li>\n\n\n\n<li>Implementar encabezados de seguridad (CSP, X-Frame-Options, X-XSS-Protection)<\/li>\n\n\n\n<li>Utilizar un certificado SSL propio<\/li>\n\n\n\n<li>Deshabilitar servicios o rutas innecesarias<\/li>\n\n\n\n<li>Configurar adecuadamente el servidor web y WordPress<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis evidencia deficiencias en la configuraci\u00f3n del sistema que pueden incrementar la superficie de ataque. Esto posiciona la aplicaci\u00f3n dentro de la categor\u00eda <strong>A05: Security Misconfiguration<\/strong>, resaltando la necesidad de fortalecer las configuraciones de seguridad para reducir riesgos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">&nbsp;<strong>A06: Vulnerable and Outdated Components<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda A06: Vulnerable and Outdated Components del OWASP se refiere al uso de software o componentes desactualizados que pueden contener vulnerabilidades conocidas y comprometer la seguridad de una aplicaci\u00f3n.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se realiz\u00f3 la identificaci\u00f3n de tecnolog\u00edas con el fin de evaluar posibles riesgos asociados a componentes vulnerables.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"88\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-41-1024x88.png\" alt=\"\" class=\"wp-image-86494\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-41-1024x88.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-41-300x26.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-41-768x66.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-41.png 1125w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Identificaci\u00f3n de tecnolog\u00edas mediante WhatWeb<\/em><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"458\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-43-1024x458.png\" alt=\"\" class=\"wp-image-86496\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-43-1024x458.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-43-300x134.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-43-768x344.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-43.png 1157w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Prueba Plugins WPScan<\/em><\/p>\n\n\n\n<p>An\u00e1lisis de resultados<\/p>\n\n\n\n<p>Durante la evaluaci\u00f3n se identificaron los siguientes elementos:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Uso del CMS <strong>WordPress<\/strong>, evidenciado por la ruta <strong>\/wp-admin<\/strong><\/li>\n\n\n\n<li>Servidor web <strong>OpenResty<\/strong>, detectado mediante <code>whatweb<\/code><\/li>\n\n\n\n<li>Direcci\u00f3n IP p\u00fablica asociada (<strong>185.27.134.65<\/strong>)<\/li>\n\n\n\n<li>Uso de scripts del lado del cliente (JavaScript)<\/li>\n<\/ul>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>El uso de WordPress y OpenResty implica riesgos potenciales si estos componentes no se mantienen actualizados, ya que:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>WordPress es un objetivo frecuente de ataques<\/li>\n\n\n\n<li>Plugins y temas pueden contener vulnerabilidades conocidas<\/li>\n\n\n\n<li>No se identificaron versiones espec\u00edficas, lo que dificulta evaluar su nivel de actualizaci\u00f3n<\/li>\n\n\n\n<li>El uso de hosting gratuito puede limitar la gesti\u00f3n de actualizaciones<\/li>\n<\/ul>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mantener actualizado WordPress, plugins y temas<\/li>\n\n\n\n<li>Eliminar componentes innecesarios<\/li>\n\n\n\n<li>Realizar escaneos de vulnerabilidades peri\u00f3dicos<\/li>\n\n\n\n<li>Implementar monitoreo de seguridad<\/li>\n\n\n\n<li>Mantener actualizado el servidor web (OpenResty\/Nginx)<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis evidencia el uso de componentes que pueden representar un riesgo si no se mantienen actualizados. Esto ubica al sistema dentro de la categor\u00eda <strong>A06: Vulnerable and Outdated Components<\/strong>, resaltando la importancia de una adecuada gesti\u00f3n de actualizaciones para reducir vulnerabilidades.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A07: Cross Site Scripting (XSS)<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda <strong>A07: Cross Site Scripting (XSS)<\/strong> del OWASP se refiere a vulnerabilidades que permiten ejecutar c\u00f3digo JavaScript malicioso en el navegador del usuario. Esto ocurre cuando las entradas no se validan ni sanitizan correctamente.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evaluaron distintos puntos de entrada, incluyendo formularios y par\u00e1metros en la URL.<\/p>\n\n\n\n<p><strong>Comando Utilizado:<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;script&gt;alert('XSS')&lt;\/script&gt;\n&lt;img src=x onerror=alert('XSS')&gt;<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"876\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-44-1024x876.png\" alt=\"\" class=\"wp-image-86498\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-44-1024x876.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-44-300x257.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-44-768x657.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-44.png 1218w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Formulario de entrada servicio al cliente<\/em><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"616\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-45-1024x616.png\" alt=\"\" class=\"wp-image-86499\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-45-1024x616.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-45-300x180.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-45-768x462.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-45-1536x923.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-45.png 1730w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Par\u00e1metros en URL<\/em><\/p>\n\n\n\n<p><strong>An\u00e1lisis de resultados<\/strong><\/p>\n\n\n\n<p>Durante la ejecuci\u00f3n:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El navegador no ejecut\u00f3 ning\u00fan script inyectado<\/li>\n\n\n\n<li>En los formularios, el contenido fue tratado como texto plano<\/li>\n\n\n\n<li>En las URLs, los par\u00e1metros no fueron reflejados en la respuesta<\/li>\n<\/ul>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>No se evidencian vulnerabilidades XSS en pruebas b\u00e1sicas, lo que sugiere la implementaci\u00f3n de mecanismos de validaci\u00f3n y sanitizaci\u00f3n. Sin embargo, no se descarta la existencia de vulnerabilidades en contextos m\u00e1s complejos o en componentes internos no evaluados.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validar y sanitizar todas las entradas del usuario<\/li>\n\n\n\n<li>Escapar correctamente caracteres especiales<\/li>\n\n\n\n<li>Implementar pol\u00edticas de seguridad como CSP (Content Security Policy)<\/li>\n\n\n\n<li>Realizar pruebas automatizadas y avanzadas de XSS<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis no evidenci\u00f3 vulnerabilidades de tipo XSS en los vectores evaluados, lo que refleja un manejo adecuado de las entradas. No obstante, se recomienda ampliar las pruebas para asegurar una cobertura completa frente a este tipo de ataques.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A08: Software and Data Integrity Failures<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda <strong>A08: Software and Data Integrity Failures<\/strong> del OWASP aborda fallos en la verificaci\u00f3n de la integridad del software y los datos. Estos problemas pueden permitir la ejecuci\u00f3n de c\u00f3digo no confiable o la manipulaci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evalu\u00f3 el uso de recursos del lado del cliente y la dependencia de componentes externos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"558\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-46-1024x558.png\" alt=\"\" class=\"wp-image-86503\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-46-1024x558.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-46-300x163.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-46-768x418.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-46-1536x837.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-46.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Security Logging and Monitoring Failures<\/em><\/p>\n\n\n\n<p><strong>An\u00e1lisis de resultados<\/strong><\/p>\n\n\n\n<p>Durante la evaluaci\u00f3n se identificaron varios elementos relevantes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Presencia de scripts en JavaScript ejecutados en el navegador<\/li>\n\n\n\n<li>Implementaci\u00f3n del sitio en un entorno de hosting externo<\/li>\n\n\n\n<li>Identificaci\u00f3n del servidor mediante <code>whatweb<\/code> (OpenResty)<\/li>\n\n\n\n<li>Ausencia de mecanismos visibles de verificaci\u00f3n de integridad<\/li>\n\n\n\n<li>Falta de uso de Subresource Integrity (SRI)<\/li>\n<\/ul>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>El uso de scripts sin verificaci\u00f3n de integridad representa un riesgo importante.<br>En caso de que un recurso sea comprometido, podr\u00eda ejecutarse c\u00f3digo malicioso en el navegador del usuario.<\/p>\n\n\n\n<p>Por otra parte, la dependencia de recursos externos incrementa la exposici\u00f3n si no se aplican controles adecuados.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementar Subresource Integrity (SRI)<\/li>\n\n\n\n<li>Validar los recursos antes de su ejecuci\u00f3n<\/li>\n\n\n\n<li>Utilizar fuentes confiables para scripts<\/li>\n\n\n\n<li>Aplicar pol\u00edticas CSP (Content Security Policy)<\/li>\n\n\n\n<li>Mantener control sobre los archivos cargados<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>En este caso, no se evidencian mecanismos visibles de verificaci\u00f3n de integridad.<br>Por lo tanto, existe un riesgo potencial asociado a la manipulaci\u00f3n de recursos, alineado con la categor\u00eda <strong>A08<\/strong> del OWASP Top 10.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>&nbsp;A09: Security Logging and Monitoring Failures<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda <strong>A09: Security Logging and Monitoring Failures<\/strong> del OWASP se refiere a la ausencia de mecanismos adecuados para registrar y monitorear eventos de seguridad. Esta debilidad dificulta la detecci\u00f3n y respuesta ante posibles incidentes.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evalu\u00f3 el comportamiento del sistema frente a distintas interacciones del usuario.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"876\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-48-1024x876.png\" alt=\"\" class=\"wp-image-86506\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-48-1024x876.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-48-300x257.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-48-768x657.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-48.png 1218w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Alerta XSS<\/em><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"843\" height=\"678\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-49.png\" alt=\"\" class=\"wp-image-86507\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-49.png 843w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-49-300x241.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/image-49-768x618.png 768w\" sizes=\"auto, (max-width: 843px) 100vw, 843px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Navegaci\u00f3n normal sin bloqueos<\/em><\/p>\n\n\n\n<p><strong>An\u00e1lisis de resultados<\/strong><\/p>\n\n\n\n<p>Durante la evaluaci\u00f3n se identificaron los siguientes aspectos:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>No se generan alertas al ingresar datos maliciosos (XSS o inyecci\u00f3n)<\/li>\n\n\n\n<li>No se aplican bloqueos ante m\u00faltiples intentos o env\u00edos repetidos<\/li>\n\n\n\n<li>El sistema no muestra notificaciones relacionadas con eventos de seguridad<\/li>\n\n\n\n<li>No se evidencia monitoreo ni registro visible de actividad<\/li>\n<\/ul>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>La ausencia de controles de registro y monitoreo indica debilidades importantes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Falta de registro de eventos relevantes<\/li>\n\n\n\n<li>Ausencia de monitoreo en tiempo real<\/li>\n\n\n\n<li>Dificultad para detectar ataques o comportamientos an\u00f3malos<\/li>\n<\/ul>\n\n\n\n<p>En consecuencia, actividades maliciosas podr\u00edan pasar desapercibidas, aumentando el riesgo para la aplicaci\u00f3n.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementar sistemas de logging (registros de eventos)<\/li>\n\n\n\n<li>Monitorear intentos fallidos o actividades sospechosas<\/li>\n\n\n\n<li>Configurar alertas de seguridad<\/li>\n\n\n\n<li>Utilizar herramientas SIEM<\/li>\n\n\n\n<li>Mantener registros de auditor\u00eda<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis evidencia la ausencia de mecanismos visibles de monitoreo y registro de eventos.<br>Esta situaci\u00f3n se alinea con la categor\u00eda <strong>A09: Security Logging and Monitoring Failures<\/strong>, destacando la necesidad de fortalecer la capacidad de detecci\u00f3n y respuesta ante incidentes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A10: Server-Side Request Forgery (SSRF)<\/strong><\/h3>\n\n\n\n<p>La categor\u00eda <strong>A10: Server-Side Request Forgery (SSRF)<\/strong> del OWASP se refiere a vulnerabilidades que permiten a un atacante forzar al servidor a realizar solicitudes hacia recursos internos o externos no autorizados.<\/p>\n\n\n\n<p>En el dominio yamahacolombia-pyp.free.nf se evaluaron posibles funcionalidades que permitieran la interacci\u00f3n con recursos externos.<\/p>\n\n\n\n<p><strong>An\u00e1lisis de resultados<\/strong><\/p>\n\n\n\n<p>Durante la evaluaci\u00f3n no se identificaron vectores asociados a SSRF:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>No existen campos que permitan ingresar URLs externas<\/li>\n\n\n\n<li>No se observan funcionalidades que interact\u00faen con recursos del servidor<\/li>\n\n\n\n<li>No se detectaron endpoints que procesen solicitudes remotas<\/li>\n<\/ul>\n\n\n\n<p><strong>Evaluaci\u00f3n de seguridad<\/strong><\/p>\n\n\n\n<p>Debido a la ausencia de funcionalidades relacionadas con el procesamiento de URLs, el riesgo de SSRF en el sistema es bajo.<br>Adem\u00e1s, no se evidenciaron comportamientos que indiquen la posibilidad de explotaci\u00f3n en esta categor\u00eda.<\/p>\n\n\n\n<p><strong>Recomendaciones<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validar estrictamente cualquier entrada que incluya URLs<\/li>\n\n\n\n<li>Restringir el acceso a recursos internos<\/li>\n\n\n\n<li>Implementar listas blancas de dominios permitidos<\/li>\n\n\n\n<li>Bloquear solicitudes hacia direcciones internas<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>El an\u00e1lisis no evidencia vulnerabilidades relacionadas con SSRF, principalmente por la falta de funcionalidades que permitan este tipo de interacci\u00f3n.<br>Esto indica una baja exposici\u00f3n frente a la categor\u00eda <strong>A10<\/strong> del OWASP Top 10.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusiones<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El presente trabajo permiti\u00f3 aplicar t\u00e9cnicas de reconocimiento de red sobre el sitio web yamahacolombia-pyp.free.nf, utilizando herramientas de Kali Linux en un entorno controlado. A partir de las pruebas realizadas, se identific\u00f3 la infraestructura del servidor, se analiz\u00f3 la configuraci\u00f3n de sus servicios y se evaluaron posibles vulnerabilidades con base en el OWASP Top 10 (2021).<\/li>\n\n\n\n<li>Las pruebas de conectividad, como <em>ping<\/em> y <em>traceroute<\/em>, evidenciaron la disponibilidad del servidor y la presencia de medidas de seguridad perimetral. Entre ellas, se destacan restricciones en el tr\u00e1fico ICMP y limitaciones en el trazado de rutas, lo que sugiere la implementaci\u00f3n de controles b\u00e1sicos por parte del proveedor de hosting.<\/li>\n\n\n\n<li>En cuanto a la seguridad de la comunicaci\u00f3n, el an\u00e1lisis del certificado SSL\/TLS confirm\u00f3 el uso de TLS 1.3 junto con el cifrado <strong>TLS_AES_256_GCM_SHA384<\/strong>, lo cual representa una pr\u00e1ctica adecuada. Sin embargo, el uso de un certificado compartido bajo el dominio del proveedor (<em>free.nf<\/em>) puede limitar la confianza en escenarios m\u00e1s exigentes.<\/li>\n\n\n\n<li>Desde la perspectiva del OWASP Top 10, se identificaron debilidades en categor\u00edas como A01 (Control de acceso), A04 (Dise\u00f1o inseguro), A05 (Mala configuraci\u00f3n), A06 (Componentes vulnerables), A08 (Integridad de software) y A09 (Monitoreo y registro). Por el contrario, no se evidenciaron vulnerabilidades cr\u00edticas en A02 (Cifrado), A03 (Inyecci\u00f3n), A07 (XSS) y A10 (SSRF), lo que indica la presencia de controles b\u00e1sicos en estas \u00e1reas.<\/li>\n\n\n\n<li>Entre los principales riesgos detectados se encuentran la ausencia de mecanismos de protecci\u00f3n en formularios (como CAPTCHA o limitaci\u00f3n de solicitudes), la exposici\u00f3n de rutas administrativas sensibles y la falta de monitoreo de eventos. Estas condiciones pueden facilitar abusos del sistema y dificultar la detecci\u00f3n de incidentes.<\/li>\n\n\n\n<li>En conclusi\u00f3n, el sistema presenta un nivel b\u00e1sico de seguridad funcional, pero requiere fortalecer aspectos clave como el dise\u00f1o, la configuraci\u00f3n y el monitoreo. Este an\u00e1lisis demuestra la importancia del reconocimiento como fase inicial en la ciberseguridad, as\u00ed como la necesidad de aplicar buenas pr\u00e1cticas de forma continua para garantizar la protecci\u00f3n de la informaci\u00f3n.<\/li>\n\n\n\n<li>Finalmente, este ejercicio resalta el valor del hacking \u00e9tico como herramienta para identificar debilidades y mejorar la seguridad de los sistemas. La adopci\u00f3n de metodolog\u00edas reconocidas y la realizaci\u00f3n de evaluaciones peri\u00f3dicas son fundamentales para mantener entornos web seguros y confiables.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-embed aligncenter is-type-wp-embed is-provider-fliphtml-5 wp-block-embed-fliphtml-5\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" title=\"Reconocimiento de Red (1)\" width=\"640\" height=\"360\" src=\"https:\/\/online.fliphtml5.com\/mkvdzm\/kwam\/#?secret=xfhZgGaF23\" data-secret=\"xfhZgGaF23\" scrolling=\"no\" frameborder=\"0\"><\/iframe>\n<\/div><\/figure>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"Reconocimiento de red y hacking \u00e9tico: c\u00f3mo se analiza la seguridad de un sitio web paso a paso\" width=\"800\" height=\"450\" src=\"https:\/\/www.youtube.com\/embed\/_YRsK3_6gWI?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<p>Cr\u00e9ditos<br>Autores: Yhonatan Estyben Garcia Becerra &#8211; Julian Mateo Botia Leguizamo &#8211; Oscar Eduardo Pacheco Sanchez<br>Editor: Magister Ingeniero Carlos Iv\u00e1n Pinz\u00f3n Romero<br>C\u00f3digo: HEG1-20269<br>Universidad: Universidad Central<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Referencias:\n\nGordon, L. A., &amp; Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438\u2013457. https:\/\/doi.org\/10.1145\/581271.581274\n\nICANN. (2023). WHOIS lookup service. https:\/\/lookup.icann.org\/\n\nKali Linux. (2023). Kali Linux documentation. Offensive Security. https:\/\/www.kali.org\/docs\/\n\nLyon, G. F. (2009). Nmap network scanning: The official Nmap project guide to network discovery and security scanning. Insecure.Com LLC. https:\/\/nmap.org\/book\/\n\nMozilla Developer Network. (2023). HTTP headers for web security. Mozilla Foundation. https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Headers\n\nOpenSSL Project. (2023). OpenSSL cryptography and SSL\/TLS toolkit. https:\/\/www.openssl.org\/\n\nOWASP Foundation. (2021). OWASP Top Ten 2021. https:\/\/owasp.org\/www-project-top-ten\/\n\nStuttard, D., &amp; Pinto, M. (2011). The web application hacker\u2019s handbook: Finding and exploiting security flaws (2.\u00aa ed.). Wiley.\n\nWordPress.org. (2024). Hardening WordPress. https:\/\/developer.wordpress.org\/advanced-administration\/security\/hardening\/\n\nZeroSSL. (2024). Free SSL certificates. https:\/\/zerossl.com\/<\/code><\/pre>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La seguridad web ya no es un lujo reservado para grandes corporaciones. Hoy, cualquier sitio \u2014desde una tienda en l\u00ednea hasta un portal educativo\u2014 puede convertirse en blanco de atacantes si no cuenta con una evaluaci\u00f3n peri\u00f3dica de sus vulnerabilidades. En este art\u00edculo exploramos, de forma did\u00e1ctica y detallada, c\u00f3moSeguir Leyendo<\/p>\n","protected":false},"author":1186,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4557],"tags":[],"class_list":["post-85965","post","type-post","status-publish","format-standard","hentry","category-hacking-etico"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.6 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>An\u00e1lisis de seguridad web con Kali Linux y OWASP<\/title>\n<meta name=\"description\" content=\"An\u00e1lisis de seguridad web con Kali Linux y OWASP para identificar vulnerabilidades web con DNS, WHOIS, nmap y SSL\/TLS.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"An\u00e1lisis de seguridad web con Kali Linux y OWASP\" \/>\n<meta property=\"og:description\" content=\"An\u00e1lisis de seguridad web con Kali Linux y OWASP para identificar vulnerabilidades web con DNS, WHOIS, nmap y SSL\/TLS.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/\" \/>\n<meta property=\"og:site_name\" content=\"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/niixer\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-03T19:13:33+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-06T00:06:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"ygarciab2\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"ygarciab2\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"29 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"An\u00e1lisis de seguridad web con Kali Linux y OWASP","description":"An\u00e1lisis de seguridad web con Kali Linux y OWASP para identificar vulnerabilidades web con DNS, WHOIS, nmap y SSL\/TLS.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/","og_locale":"es_ES","og_type":"article","og_title":"An\u00e1lisis de seguridad web con Kali Linux y OWASP","og_description":"An\u00e1lisis de seguridad web con Kali Linux y OWASP para identificar vulnerabilidades web con DNS, WHOIS, nmap y SSL\/TLS.","og_url":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/","og_site_name":"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos","article_publisher":"https:\/\/www.facebook.com\/niixer\/","article_published_time":"2026-05-03T19:13:33+00:00","article_modified_time":"2026-05-06T00:06:15+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1.webp","type":"image\/webp"}],"author":"ygarciab2","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"ygarciab2","Tiempo de lectura":"29 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#article","isPartOf":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/"},"author":{"name":"ygarciab2","@id":"https:\/\/niixer.com\/#\/schema\/person\/e0a21d850584d9274a2d0c0dd531f7d9"},"headline":"Reconocimiento de red y hacking \u00e9tico: c\u00f3mo se analiza la seguridad de un sitio web paso a paso","datePublished":"2026-05-03T19:13:33+00:00","dateModified":"2026-05-06T00:06:15+00:00","mainEntityOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/"},"wordCount":5515,"publisher":{"@id":"https:\/\/niixer.com\/#organization"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1-1024x576.webp","articleSection":["Hacking \u00c9tico"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/","url":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/","name":"An\u00e1lisis de seguridad web con Kali Linux y OWASP","isPartOf":{"@id":"https:\/\/niixer.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#primaryimage"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1-1024x576.webp","datePublished":"2026-05-03T19:13:33+00:00","dateModified":"2026-05-06T00:06:15+00:00","description":"An\u00e1lisis de seguridad web con Kali Linux y OWASP para identificar vulnerabilidades web con DNS, WHOIS, nmap y SSL\/TLS.","breadcrumb":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#primaryimage","url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1.webp","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-1-1.webp","width":1280,"height":720},{"@type":"BreadcrumbList","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/03\/analisis-seguridad-web-kali-linux-owasp\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/niixer.com\/"},{"@type":"ListItem","position":2,"name":"Reconocimiento de red y hacking \u00e9tico: c\u00f3mo se analiza la seguridad de un sitio web paso a paso"}]},{"@type":"WebSite","@id":"https:\/\/niixer.com\/#website","url":"https:\/\/niixer.com\/","name":"Portal de noticias de tecnolog\u00eda, ciencia, Android, iOS, Realidad Virtual, Aumentada y Mixta, Videojuegos, computadores, todo lo mas reciente en tecnolog\u00eda","description":"Portal de noticias de tecnolog\u00eda","publisher":{"@id":"https:\/\/niixer.com\/#organization"},"alternateName":"Niixer","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/niixer.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/niixer.com\/#organization","name":"Niixer","alternateName":"Niixer.com","url":"https:\/\/niixer.com\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/","url":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","width":140,"height":140,"caption":"Niixer"},"image":{"@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/niixer\/","https:\/\/www.instagram.com\/niixer.tecnologia\/"]},{"@type":"Person","@id":"https:\/\/niixer.com\/#\/schema\/person\/e0a21d850584d9274a2d0c0dd531f7d9","name":"ygarciab2","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/secure.gravatar.com\/avatar\/1ae9a326a538842d99bc6da74d384bf3f3bc566c706e042d70d9ae7a33381801?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/1ae9a326a538842d99bc6da74d384bf3f3bc566c706e042d70d9ae7a33381801?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/1ae9a326a538842d99bc6da74d384bf3f3bc566c706e042d70d9ae7a33381801?s=96&d=mm&r=g","caption":"ygarciab2"},"url":"https:\/\/niixer.com\/index.php\/author\/ygarciab2\/"}]}},"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/users\/1186"}],"replies":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/comments?post=85965"}],"version-history":[{"count":11,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85965\/revisions"}],"predecessor-version":[{"id":86543,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85965\/revisions\/86543"}],"wp:attachment":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media?parent=85965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/categories?post=85965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/tags?post=85965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}