{"id":85988,"date":"2026-04-30T18:56:28","date_gmt":"2026-04-30T23:56:28","guid":{"rendered":"https:\/\/niixer.com\/?p=85988"},"modified":"2026-04-30T18:57:08","modified_gmt":"2026-04-30T23:57:08","slug":"auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real","status":"publish","type":"post","link":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/","title":{"rendered":"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico: As\u00ed se Protege una Tienda Online Real"},"content":{"rendered":"\n<p class=\"has-text-align-left\">\u00bfQu\u00e9 tan seguro est\u00e1 un sitio de comercio electr\u00f3nico ante los ojos de un atacante? Esta es la pregunta que un grupo de estudiantes de Ingenier\u00eda de la Universidad Central de Colombia respondi\u00f3 con herramientas reales, metodolog\u00edas internacionales y un enfoque completamente \u00e9tico y legal. El resultado: una auditor\u00eda completa sobre el dominio <strong><a href=\"https:\/\/celularestechologic.free.nf\/?i=1\">celularestechologic.free.nf<\/a><\/strong>, una tienda en l\u00ednea de venta de dispositivos m\u00f3viles, que expone con claridad c\u00f3mo funciona el hacking \u00e9tico desde adentro y qu\u00e9 tan vulnerable o resistente puede ser una infraestructura web moderna.<\/p>\n\n\n\n<p>En este art\u00edculo desglosamos paso a paso los hallazgos de esa auditor\u00eda, desde el reconocimiento de red hasta las pruebas de las diez vulnerabilidades m\u00e1s cr\u00edticas seg\u00fan OWASP, la organizaci\u00f3n de referencia mundial en seguridad de aplicaciones web.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 es el Hacking \u00c9tico y por Qu\u00e9 Importa?<\/strong><\/h2>\n\n\n\n<p>El hacking \u00e9tico es la pr\u00e1ctica de aplicar las mismas t\u00e9cnicas que usar\u00eda un atacante malicioso, pero con autorizaci\u00f3n expresa del propietario del sistema y con el objetivo de identificar vulnerabilidades antes de que alguien las explote. No se trata de una actividad clandestina ni ilegal: todo lo contrario. Un hacker \u00e9tico trabaja dentro de un marco legal estricto, documentado y acordado con el cliente. En un mundo donde los ciberataques cuestan a las empresas millones de d\u00f3lares al a\u00f1o y donde el comercio electr\u00f3nico maneja datos financieros y personales de miles de usuarios, contar con auditor\u00edas de seguridad peri\u00f3dicas no es un lujo, es una necesidad. La ciberseguridad preventiva es siempre m\u00e1s econ\u00f3mica que responder a una brecha de datos despu\u00e9s del hecho.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>El Punto de Partida: Las Reglas de Compromiso<\/strong><\/h2>\n\n\n\n<p>Antes de ejecutar cualquier herramienta o enviar un solo paquete de red, el equipo auditor formaliz\u00f3 un documento legal conocido como <strong>Reglas de Compromiso<\/strong> (Rules of Engagement). Este acta define con precisi\u00f3n el alcance de la prueba, el dominio autorizado, las herramientas permitidas, la ventana de tiempo en la que se ejecutar\u00e1n las pruebas y los canales de comunicaci\u00f3n en caso de emergencia.<\/p>\n\n\n\n<p>Para esta auditor\u00eda, los par\u00e1metros fueron los siguientes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Dominio objetivo:<\/strong> celularestechologic.free.nf<\/li>\n\n\n\n<li><strong>Direcci\u00f3n IP autorizada:<\/strong> 185.27.134.112<\/li>\n\n\n\n<li><strong>Herramientas aprobadas<\/strong>: Ping (ICMP), Tracert\/Traceroute y Nmap<\/li>\n\n\n\n<li><strong>Ventana de ejecuci\u00f3n:<\/strong> 11 de abril de 2026, de 19:00 a 23:59 hrs (GMT-5)<\/li>\n\n\n\n<li><strong>Restricciones<\/strong>: Prohibido realizar ataques DoS\/DDoS, explotar vulnerabilidades o alterar datos<\/li>\n<\/ul>\n\n\n\n<p>Este marco no es un simple formalismo. Es la l\u00ednea que separa al profesional de la ciberseguridad del delincuente inform\u00e1tico.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 1: Reconocimiento de Red \u2014 Ping e ICMP<\/strong><\/h2>\n\n\n\n<p>La primera herramienta utilizada fue <strong>Ping<\/strong>, un comando que env\u00eda solicitudes de eco mediante el protocolo ICMP para verificar si un servidor est\u00e1 activo y medir la latencia de la conexi\u00f3n.<\/p>\n\n\n\n<p>El resultado fue llamativo: se obtuvo una p\u00e9rdida del <strong>100% de los paquetes<\/strong>. Sin embargo, esto no signific\u00f3 que el servidor estuviera inactivo. Lo que revel\u00f3 fue algo m\u00e1s valioso desde el punto de vista de la seguridad: el proveedor de alojamiento (InfinityFree) tiene configurado un <strong>firewall que bloquea todo el tr\u00e1fico ICMP entrante<\/strong>, una pr\u00e1ctica est\u00e1ndar para mitigar ataques de denegaci\u00f3n de servicio (DDoS) b\u00e1sicos.<\/p>\n\n\n\n<p>Lo m\u00e1s relevante de esta prueba fue que, a pesar del bloqueo, el comando cumpli\u00f3 su funci\u00f3n de reconocimiento al resolver exitosamente el nombre de dominio a la direcci\u00f3n IP p\u00fablica <strong>185.27.134.112<\/strong>. Obtener esta direcci\u00f3n fue el primer paso cr\u00edtico para los an\u00e1lisis posteriores.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized wp-duotone-unset-1\"><img loading=\"lazy\" decoding=\"async\" width=\"735\" height=\"283\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1014.png\" alt=\"Resultado del comando Ping con p\u00e9rdida total de paquetes\" class=\"wp-image-86054\" style=\"aspect-ratio:2.597316547954282;width:616px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1014.png 735w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1014-300x116.png 300w\" sizes=\"auto, (max-width: 735px) 100vw, 735px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Trazando la Ruta: Tracert y el Viaje Internacional de los Paquetes<\/strong><\/h3>\n\n\n\n<p>El siguiente paso fue ejecutar <strong>Tracert<\/strong> (Traceroute), una herramienta que mapea la ruta l\u00f3gica que siguen los paquetes de datos desde el equipo del auditor hasta el servidor de destino, identificando cada nodo o salto intermedio.<\/p>\n\n\n\n<p>Los resultados revelaron informaci\u00f3n fascinante sobre la infraestructura de red global. Los paquetes no tomaron una ruta directa: partieron desde la red local (192.168.0.1), atravesaron la infraestructura del proveedor de internet local, cruzaron por nodos de tr\u00e1nsito en <strong>Miami<\/strong> (salto 5) y finalmente llegaron hasta el <strong>Reino Unido<\/strong> (Manchester, saltos 7 y 8), pasando por redes troncales Tier 1 como Level3 y Twelve99.<\/p>\n\n\n\n<p>A partir del salto 9, todos los nodos dejaron de responder, lo que confirm\u00f3 que el firewall perimetral de InfinityFree est\u00e1 configurado para no revelar la topolog\u00eda interna de su centro de datos, ocultando deliberadamente la infraestructura final al mapeo no autorizado.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"647\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1015.png\" alt=\"Traza de ruta (Traceroute) hacia celularestechologic.free.nf\" class=\"wp-image-86056\" style=\"aspect-ratio:1.1592242857487864;width:510px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1015.png 750w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1015-300x259.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Escaneo de Puertos con Nmap: \u00bfQu\u00e9 Servicios Est\u00e1n Expuestos?<\/strong><\/h3>\n\n\n\n<p>La fase de reconocimiento activo culmin\u00f3 con el escaneo de puertos mediante <strong>Nmap<\/strong>, la herramienta de an\u00e1lisis de red m\u00e1s utilizada en el mundo de la ciberseguridad. El objetivo era identificar qu\u00e9 servicios TCP estaban escuchando activamente en la direcci\u00f3n IP del servidor.<\/p>\n\n\n\n<p>Los resultados del escaneo mostraron \u00fanicamente tres puertos en estado abierto:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Puerto 80\/tcp (HTTP):<\/strong> Servicio web est\u00e1ndar sin cifrado.<\/li>\n\n\n\n<li><strong>Puerto 443\/tcp (HTTPS):<\/strong> Servicio web seguro con cifrado SSL\/TLS.<\/li>\n\n\n\n<li><strong>Puerto 2049\/tcp (NFS):<\/strong> Network File System, caracter\u00edstico de entornos de hosting compartido donde los servidores interconectan el almacenamiento de clientes mediante sistemas de archivos en red.<\/li>\n<\/ul>\n\n\n\n<p>Adicionalmente, el reporte indic\u00f3 que <strong>776 puertos se encontraban filtrados<\/strong> y 221 estaban cerrados. Esto confirm\u00f3 la existencia de un firewall perimetral activo que restringe el acceso a cualquier servicio no esencial, reduciendo significativamente la superficie de ataque disponible.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"581\" height=\"166\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1016.png\" alt=\"Escaneo B\u00e1sico de puertos TCP utilizando Nmap\" class=\"wp-image-86058\" style=\"aspect-ratio:3.500235338416643;width:471px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1016.png 581w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1016-300x86.png 300w\" sizes=\"auto, (max-width: 581px) 100vw, 581px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>DNS, WHOIS y Certificado SSL: La Identidad Digital del Sitio<\/strong><\/h3>\n\n\n\n<p>El an\u00e1lisis de reconocimiento pasivo complement\u00f3 la fase anterior con tres consultas fundamentales:<\/p>\n\n\n\n<p><strong>DNS con nslookup:<\/strong> La herramienta confirm\u00f3 que el dominio celularestechologic.free.nf resuelve a la direcci\u00f3n IP <strong>185.27.134.24<\/strong>, verificando la conectividad y la correcta configuraci\u00f3n de los servidores de nombres.<\/p>\n\n\n\n<p><strong>WHOIS:<\/strong> La consulta a la base de datos p\u00fablica revel\u00f3 que el dominio ra\u00edz <em>*free.nf*<\/em> fue creado el <strong>14 de junio de 2023<\/strong>, con \u00faltima actualizaci\u00f3n el 25 de noviembre de 2025 y fecha de vencimiento el 14 de junio de 2026. Los nameservers est\u00e1n alojados en InfinityFree (ns1.infinityfree.com \/ ns2.infinityfree.com). Esta informaci\u00f3n, aunque p\u00fablica, es de alto valor para un atacante, ya que permite conocer cu\u00e1ndo vence el dominio y qu\u00e9 registrador gestiona la cuenta.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized wp-duotone-rgb255255255-rgb000-2\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"706\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017-1024x706.png\" alt=\"Datos WHOIS de registro sin procesar\" class=\"wp-image-86060\" style=\"aspect-ratio:1.4504681815470866;width:447px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017-1024x706.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017-300x207.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017-768x529.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017-1536x1058.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017-130x90.png 130w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1017.png 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><strong>Certificado SSL:<\/strong> El sitio presenta un certificado v\u00e1lido emitido por <strong>ZeroSSL<\/strong>, con fecha de emisi\u00f3n el 26 de marzo de 2026 y vencimiento el 25 de junio de 2026. La presencia de este certificado protege las comunicaciones mediante cifrado, previniendo ataques de intermediario (Man in the Middle \/ MITM).<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"543\" height=\"651\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1018.png\" alt=\"Certificado SSL\" class=\"wp-image-86061\" style=\"aspect-ratio:0.8341174211511689;width:458px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1018.png 543w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1018-250x300.png 250w\" sizes=\"auto, (max-width: 543px) 100vw, 543px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fase 2: La Metodolog\u00eda OWASP Top 10, auditando la Capa de Aplicaci\u00f3n<\/strong><\/h2>\n\n\n\n<p>Con el reconocimiento de red completado, la auditor\u00eda avanz\u00f3 hacia la capa m\u00e1s cr\u00edtica: la <strong>aplicaci\u00f3n web<\/strong>. Para estructurar este an\u00e1lisis, el equipo adopt\u00f3 el est\u00e1ndar <strong>OWASP Top 10 (versi\u00f3n 2021)<\/strong>, el marco de gesti\u00f3n de riesgos en aplicaciones web m\u00e1s reconocido a nivel mundial. Este modelo eval\u00faa cada vulnerabilidad seg\u00fan su prevalencia, detectabilidad e impacto t\u00e9cnico potencial.<\/p>\n\n\n\n<p>A continuaci\u00f3n, se presentan los hallazgos m\u00e1s relevantes de cada categor\u00eda analizada.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A01 \u2014 Control de Acceso: Directorios Protegidos y Administraci\u00f3n Segura<\/strong><\/h3>\n\n\n\n<p>La prueba consisti\u00f3 en intentar acceder directamente a directorios internos del CMS, como `\/wp-includes\/`, y al panel de administraci\u00f3n `\/wp-admin\/` sin credenciales v\u00e1lidas. En ambos casos, el servidor respondi\u00f3 correctamente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El acceso al directorio interno devolvi\u00f3 un <strong>error 403 Forbidden<\/strong>, bloqueando cualquier visualizaci\u00f3n del \u00e1rbol de archivos.<\/li>\n\n\n\n<li>El acceso al panel administrativo redirigi\u00f3 al formulario de autenticaci\u00f3n sin revelar informaci\u00f3n del sistema.<\/li>\n<\/ul>\n\n\n\n<p><strong>Resultado:<\/strong> El sitio est\u00e1 mitigado contra estas formas b\u00e1sicas de p\u00e9rdida de control de acceso. Se recomienda complementar la protecci\u00f3n con Autenticaci\u00f3n Multifactor (MFA) y l\u00edmites en los intentos de inicio de sesi\u00f3n.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"948\" height=\"1008\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1019.png\" alt=\"Error 403 Forbidden al intentar acceder a wp-includes\" class=\"wp-image-86062\" style=\"aspect-ratio:0.9405031227642748;width:368px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1019.png 948w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1019-282x300.png 282w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1019-768x817.png 768w\" sizes=\"auto, (max-width: 948px) 100vw, 948px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img decoding=\"async\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1020.png\" alt=\"Redirecci\u00f3n al formulario de login de WordPress\" class=\"wp-image-86063\" style=\"aspect-ratio:1.3527644899321394;width:480px;height:auto\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A02 \u2014 Fallas Criptogr\u00e1ficas: HTTPS Obligatorio y Certificado V\u00e1lido<\/strong><\/h3>\n\n\n\n<p>Se realiz\u00f3 una petici\u00f3n forzada al servidor usando el protocolo no seguro HTTP (sin cifrado) para comprobar si el sitio permite tr\u00e1fico en texto plano. El servidor respondi\u00f3 con una <strong>redirecci\u00f3n 301 autom\u00e1tica hacia HTTPS<\/strong>, garantizando que todas las comunicaciones est\u00e9n cifradas.<\/p>\n\n\n\n<p>La auditor\u00eda del certificado SSL\/TLS confirm\u00f3 que se encuentra activo, vigente y reconocido por los navegadores modernos. Como recomendaci\u00f3n de mejora, se sugiere implementar la cabecera <strong>HSTS<\/strong> (HTTP Strict Transport Security) para obligar a los navegadores a usar HTTPS de forma permanente, incluso ante intentos de degradaci\u00f3n de protocolo.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"880\" height=\"805\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1021.png\" alt=\"\" class=\"wp-image-86064\" style=\"aspect-ratio:1.0932056728024633;width:574px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1021.png 880w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1021-300x274.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1021-768x703.png 768w\" sizes=\"auto, (max-width: 880px) 100vw, 880px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A03 \u2014 Inyecci\u00f3n SQL: El Sistema Resisti\u00f3 el Ataque<\/strong><\/h3>\n\n\n\n<p>Una de las pruebas m\u00e1s esperadas fue la inyecci\u00f3n de c\u00f3digo SQL en el formulario de inicio de sesi\u00f3n. Se ingres\u00f3 el vector de ataque cl\u00e1sico `&#8217; OR &#8216;1&#8217;=&#8217;1` en el campo de usuario para intentar forzar una condici\u00f3n l\u00f3gica verdadera que permitiera saltarse la autenticaci\u00f3n.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"682\" height=\"661\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1022.png\" alt=\"Formulario de login con payload SQL ingresado\" class=\"wp-image-86065\" style=\"aspect-ratio:1.031795186988795;width:428px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1022.png 682w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1022-300x291.png 300w\" sizes=\"auto, (max-width: 682px) 100vw, 682px\" \/><\/figure>\n\n\n\n<p>El sistema respondi\u00f3 de forma ejemplar: <strong>no devolvi\u00f3 errores de base de datos<\/strong> ni permiti\u00f3 el acceso no autorizado. WordPress trata los datos ingresados como texto inofensivo gracias al uso de <strong>consultas parametrizadas<\/strong> (Prepared Statements) a trav\u00e9s de su clase nativa `$wpdb` y el m\u00e9todo `prepare()`. El payload fue interpretado como un texto inv\u00e1lido y el formulario simplemente rechaz\u00f3 el acceso.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"633\" height=\"595\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1023.png\" alt=\"Respuesta del servidor con mensaje de error gen\u00e9rico\" class=\"wp-image-86066\" style=\"aspect-ratio:1.0638951625610589;width:412px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1023.png 633w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1023-300x282.png 300w\" sizes=\"auto, (max-width: 633px) 100vw, 633px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A04, A05 y A07 \u2014 Dise\u00f1o Inseguro, Configuraci\u00f3n y Autenticaci\u00f3n: Tres Victorias para la Seguridad<\/strong><\/h3>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Dise\u00f1o Inseguro (A04):<\/strong> <\/h4>\n\n\n\n<p>Se prob\u00f3 la enumeraci\u00f3n de usuarios mediante el par\u00e1metro `\/?author=1` en la URL. El sistema rechaz\u00f3 la solicitud mostrando el mensaje &#8220;prohibido &#8211; n\u00famero en el nombre del autor no permitido&#8221;, impidiendo que un atacante descubra nombres de usuario v\u00e1lidos para usarlos en ataques de fuerza bruta.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"798\" height=\"214\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1024.png\" alt=\"Mensaje &quot;prohibido - n\u00famero en el nombre del autor no permitido&quot;\" class=\"wp-image-86067\" style=\"aspect-ratio:3.729203404124818;width:589px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1024.png 798w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1024-300x80.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1024-768x206.png 768w\" sizes=\"auto, (max-width: 798px) 100vw, 798px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Configuraci\u00f3n Defectuosa (A05):<\/strong><\/h4>\n\n\n\n<p>Se intent\u00f3 acceder al archivo `xmlrpc.php`, un protocolo de WordPress frecuentemente explotado para amplificar ataques. El servidor devolvi\u00f3 un error `ERR_EMPTY_RESPONSE`, confirmando que el acceso est\u00e1 bloqueado a nivel de firewall.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"547\" height=\"535\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1025.png\" alt=\"Error ERR_EMPTY_RESPONSE al acceder a xmlrpc.php\" class=\"wp-image-86068\" style=\"aspect-ratio:1.0224604240901922;width:399px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1025.png 547w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1025-300x293.png 300w\" sizes=\"auto, (max-width: 547px) 100vw, 547px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Autenticaci\u00f3n (A07):<\/strong><\/h4>\n\n\n\n<p>Al ingresar credenciales incorrectas, el sistema respondi\u00f3 con el mensaje gen\u00e9rico <strong>&#8220;Datos de acceso no v\u00e1lidos&#8221;<\/strong>, sin especificar si el error proven\u00eda del usuario o la contrase\u00f1a. Esta respuesta ambigua es una excelente pr\u00e1ctica de seguridad que dificulta la enumeraci\u00f3n de cuentas.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"344\" height=\"485\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1026.png\" alt=\"Formulario de login con mensaje de error gen\u00e9rico\" class=\"wp-image-86069\" style=\"aspect-ratio:0.7093146889196765;width:272px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1026.png 344w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1026-213x300.png 213w\" sizes=\"auto, (max-width: 344px) 100vw, 344px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A06 \u2014 El Tal\u00f3n de Aquiles: WordPress Desactualizado<\/strong><\/h3>\n\n\n\n<p>Este fue el hallazgo m\u00e1s cr\u00edtico de toda la auditor\u00eda. El panel de administraci\u00f3n revel\u00f3 que el sitio ejecuta <strong>WordPress 6.9.1<\/strong>, mientras que la versi\u00f3n m\u00e1s reciente disponible en el momento de la prueba era la <strong>6.9.4<\/strong>. Adem\u00e1s, cuatro plugins instalados \u2014Everest Forms, PageLayer, Starter Templates y WooCommerce\u2014 tambi\u00e9n presentaban actualizaciones pendientes.<\/p>\n\n\n\n<p>Operar con versiones desactualizadas representa un riesgo severo. Las bases de datos p\u00fablicas de vulnerabilidades (CVEs) documentan en detalle las fallas conocidas de cada versi\u00f3n, y los atacantes las explotan activamente. La recomendaci\u00f3n inmediata es aplicar todos los parches disponibles y activar las actualizaciones autom\u00e1ticas en segundo plano.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"396\" height=\"140\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1027.png\" alt=\"Panel de WordPress indicando versi\u00f3n desactualizada y actualizaciones pendientes\" class=\"wp-image-86070\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1027.png 396w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1027-300x106.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1027-392x140.png 392w\" sizes=\"auto, (max-width: 396px) 100vw, 396px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A08 y A09 \u2014 Integridad del Software y la Gran Deuda Pendiente: el Monitoreo<\/strong><\/h3>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Integridad del software (A08):<\/strong><\/h4>\n\n\n\n<p> Se verific\u00f3 que WordPress descarga todos sus parches desde los repositorios oficiales, donde se validan firmas digitales antes de instalar cualquier paquete. Sin embargo, el sistema mostr\u00f3 una advertencia cr\u00edtica: <strong>&#8220;Actualizaci\u00f3n autom\u00e1tica con un retraso de 2 meses. Puede que haya un problema con WP-Cron.&#8221;<\/strong> Esto significa que el mecanismo autom\u00e1tico de actualizaci\u00f3n est\u00e1 fallando, forzando una dependencia total de la intervenci\u00f3n manual del administrador.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Registro y monitoreo (A09):<\/strong><\/h4>\n\n\n\n<p> Se intent\u00f3 acceder al archivo de registro del sistema (`\/wp-content\/debug.log`) a trav\u00e9s del navegador. El servidor devolvi\u00f3 un <strong>error 404<\/strong>, lo que confirm\u00f3 que el sistema no est\u00e1 generando ni almacenando registros de seguridad. En la pr\u00e1ctica, esto significa que, ante un ataque de fuerza bruta o una intrusi\u00f3n, los administradores no tendr\u00edan alertas ni evidencia forense para investigar lo ocurrido.<\/p>\n\n\n\n<p>Esta es la vulnerabilidad m\u00e1s peligrosa en t\u00e9rminos operativos, porque no se trata de un punto de entrada directo para el atacante, sino de la <strong>ausencia de visibilidad<\/strong> sobre lo que ocurre en el sistema. La recomendaci\u00f3n principal es instalar un plugin de auditor\u00eda como <strong>WP Activity Log<\/strong> y activar la generaci\u00f3n de logs de forma segura.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"939\" height=\"942\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1028.png\" alt=\"Error 404 al intentar acceder al archivo debug.log\" class=\"wp-image-86071\" style=\"aspect-ratio:0.996823445025105;width:473px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1028.png 939w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1028-300x300.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1028-150x150.png 150w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1028-768x770.png 768w\" sizes=\"auto, (max-width: 939px) 100vw, 939px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A10 \u2014 SSRF: El Servidor No Hace lo que el Atacante Quiere<\/strong><\/h3>\n\n\n\n<p>La \u00faltima prueba evalu\u00f3 la vulnerabilidad de <strong>Falsificaci\u00f3n de Solicitudes del Lado del Servidor<\/strong> (SSRF). En entornos WordPress, el principal vector de este ataque es el archivo `xmlrpc.php`, cuya funci\u00f3n de Pingback puede ser abusada para obligar al servidor a realizar peticiones HTTP hacia infraestructuras internas o externas, ocultando el origen real del ataque.<\/p>\n\n\n\n<p>Al intentar acceder a este archivo, el servidor cort\u00f3 la conexi\u00f3n abruptamente devolviendo un error `ERR_EMPTY_RESPONSE`. Esto confirma que InfinityFree aplica reglas de firewall que bloquean cualquier tr\u00e1fico hacia este punto de entrada cr\u00edtico, neutralizando el riesgo de SSRF por esta v\u00eda.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img decoding=\"async\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1030.png\" alt=\"Error ERR_EMPTY_RESPONSE al acceder a xmlrpc.php para prueba SSRF\" class=\"wp-image-86073\" style=\"aspect-ratio:0.9811240233733832;width:383px;height:auto\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusiones: Un Sistema Robusto con Tareas Pendientes<\/strong><\/h2>\n\n\n\n<p>La auditor\u00eda completa sobre celularestechologic.free.nf dej\u00f3 un balance claro y honesto:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Lo que funciona bien: <\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Firewall perimetral s\u00f3lido que filtra el tr\u00e1fico no esencial.<\/li>\n\n\n\n<li>HTTPS habilitado y funcionando con certificado SSL v\u00e1lido.<\/li>\n\n\n\n<li>Protecci\u00f3n contra inyecci\u00f3n SQL gracias a la arquitectura de WordPress.<\/li>\n\n\n\n<li>Bloqueo de acceso a directorios sensibles y al panel administrativo.<\/li>\n\n\n\n<li>Mensajes de error gen\u00e9ricos que dificultan la enumeraci\u00f3n de usuarios.<\/li>\n\n\n\n<li>Bloqueo del archivo xmlrpc.php a nivel de infraestructura.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Lo que necesita atenci\u00f3n urgente:<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Actualizar el n\u00facleo de WordPress de la versi\u00f3n 6.9.1 a la 6.9.4 y mantener los plugins al d\u00eda.<\/li>\n\n\n\n<li>Reparar el sistema WP-Cron para restablecer las actualizaciones autom\u00e1ticas.<\/li>\n\n\n\n<li>Implementar un sistema de registro y monitoreo activo (logs de seguridad y auditor\u00eda).<\/li>\n\n\n\n<li>A\u00f1adir Autenticaci\u00f3n Multifactor (MFA) para las cuentas administrativas.<\/li>\n\n\n\n<li>Implementar la cabecera HSTS para reforzar la pol\u00edtica de transporte seguro.<\/li>\n<\/ul>\n\n\n\n<p>La ciberseguridad no es un estado binario entre &#8220;seguro&#8221; e &#8220;inseguro&#8221;. Es un proceso continuo de evaluaci\u00f3n, mejora y adaptaci\u00f3n. Esta auditor\u00eda demostr\u00f3 que incluso un sitio con buenas pr\u00e1cticas de base puede tener brechas operativas que, de no corregirse, se convierten en la puerta de entrada que un atacante necesita.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Cr\u00e9ditos: <\/h3>\n\n\n\n<p><strong>Autores:<\/strong> <a href=\"https:\/\/niixer.com\/?s=Omar+Daniel+Gait%C3%A1n+Porras\">Omar Daniel Gait\u00e1n Porras<\/a>, <a href=\"https:\/\/niixer.com\/?s=Andr%C3%A9s+Camilo+Plaza+Jim%C3%A9nez\">Andr\u00e9s Camilo Plaza Jim\u00e9nez<\/a>, <a href=\"https:\/\/niixer.com\/?s=Kevin+Camilo+Lozano+Castellanos\">Kevin Camilo Lozano Castellanos<\/a> <\/p>\n\n\n\n<p><strong>Editor:<\/strong> <a href=\"https:\/\/niixer.com\/?s=Carlos+Iv%C3%A1n+Pinz%C3%B3n+Romero\">Carlos Iv\u00e1n Pinz\u00f3n Romero<\/a><\/p>\n\n\n\n<p><strong>C\u00f3digo:<\/strong> <a href=\"https:\/\/niixer.com\/?s=UCHE-1\">UCHE-1<\/a><\/p>\n\n\n\n<p><strong>Universidad:<\/strong> <a href=\"https:\/\/niixer.com\/?s=Universidad+Central\">Universidad Central<\/a><\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Fuentes:<\/h4>\n\n\n\n<pre class=\"wp-block-preformatted\">InfinityFree. (s. f.). Knowledge base: Security and firewalls.<br>https:\/\/www.infinityfree.com\/support\/<br>Mockapetris, P. (1987). Domain names - implementation and specification (RFC 1035). Internet Engineering Task Force. https:\/\/doi.org\/10.17487\/RFC1035<br>NIST. (2008). Technical guide to information security testing and assessment (Special Publication 800-115). National Institute of Standards and Technology. https:\/\/doi.org\/10.6028\/NIST.SP.800-115<br>WP Activity Log. (2024). WordPress activity log: Features and documentation. https:\/\/wpactivitylog.com\/features\/<br>WordPress.org. (s. f.). Debugging in WordPress: WP_DEBUG_LOG documentation. https:\/\/wordpress.org\/documentation\/article\/debugging-in-wordpress\/<br>ZeroSSL. (2026). Terms of service and certificate issuance. https:\/\/zerossl.com\/terms\/<\/pre>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 tan seguro est\u00e1 un sitio de comercio electr\u00f3nico ante los ojos de un atacante? Esta es la pregunta que un grupo de estudiantes de Ingenier\u00eda de la Universidad Central de Colombia respondi\u00f3 con herramientas reales, metodolog\u00edas internacionales y un enfoque completamente \u00e9tico y legal. El resultado: una auditor\u00eda completaSeguir Leyendo<\/p>\n","protected":false},"author":2086,"featured_media":86077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4557],"tags":[4563,2596,4559,4561,4566,1709,4564],"class_list":["post-85988","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hacking-etico","tag-auditoria-de-seguridad","tag-ciberseguridad","tag-hacking-etico","tag-owasp-top-10","tag-reconocimiento-de-red","tag-seguridad-web","tag-wordpress"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Auditor\u00eda de Seguridad Web con Hacking \u00c9tico<\/title>\n<meta name=\"description\" content=\"Auditoria de seguridad web implementando t\u00e9cnicas de pentesting y OWASP en un ambiente realista de una pagina web de WordPress\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico\" \/>\n<meta property=\"og:description\" content=\"Auditoria de seguridad web implementando t\u00e9cnicas de pentesting y OWASP en un ambiente realista de una pagina web de WordPress\" \/>\n<meta property=\"og:url\" content=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/\" \/>\n<meta property=\"og:site_name\" content=\"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/niixer\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-30T23:56:28+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-30T23:57:08+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"klozanoc\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"klozanoc\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico","description":"Auditoria de seguridad web implementando t\u00e9cnicas de pentesting y OWASP en un ambiente realista de una pagina web de WordPress","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/","og_locale":"es_ES","og_type":"article","og_title":"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico","og_description":"Auditoria de seguridad web implementando t\u00e9cnicas de pentesting y OWASP en un ambiente realista de una pagina web de WordPress","og_url":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/","og_site_name":"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos","article_publisher":"https:\/\/www.facebook.com\/niixer\/","article_published_time":"2026-04-30T23:56:28+00:00","article_modified_time":"2026-04-30T23:57:08+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp","type":"image\/webp"}],"author":"klozanoc","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"klozanoc","Tiempo de lectura":"14 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#article","isPartOf":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/"},"author":{"name":"klozanoc","@id":"https:\/\/niixer.com\/#\/schema\/person\/e63add4d76ce9566b33476ed7aa4710c"},"headline":"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico: As\u00ed se Protege una Tienda Online Real","datePublished":"2026-04-30T23:56:28+00:00","dateModified":"2026-04-30T23:57:08+00:00","mainEntityOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/"},"wordCount":2392,"publisher":{"@id":"https:\/\/niixer.com\/#organization"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp","keywords":["Auditor\u00eda de Seguridad","ciberseguridad","Hacking \u00c9tico","OWASP Top 10","Reconocimiento de Red","Seguridad web","WordPress"],"articleSection":["Hacking \u00c9tico"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/","url":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/","name":"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico","isPartOf":{"@id":"https:\/\/niixer.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#primaryimage"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp","datePublished":"2026-04-30T23:56:28+00:00","dateModified":"2026-04-30T23:57:08+00:00","description":"Auditoria de seguridad web implementando t\u00e9cnicas de pentesting y OWASP en un ambiente realista de una pagina web de WordPress","breadcrumb":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#primaryimage","url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp","width":1280,"height":720,"caption":"Auditoria de seguridad web"},{"@type":"BreadcrumbList","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/niixer.com\/"},{"@type":"ListItem","position":2,"name":"Auditor\u00eda de Seguridad Web con Hacking \u00c9tico: As\u00ed se Protege una Tienda Online Real"}]},{"@type":"WebSite","@id":"https:\/\/niixer.com\/#website","url":"https:\/\/niixer.com\/","name":"Portal de noticias de tecnolog\u00eda, ciencia, Android, iOS, Realidad Virtual, Aumentada y Mixta, Videojuegos, computadores, todo lo mas reciente en tecnolog\u00eda","description":"Portal de noticias de tecnolog\u00eda","publisher":{"@id":"https:\/\/niixer.com\/#organization"},"alternateName":"Niixer","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/niixer.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/niixer.com\/#organization","name":"Niixer","alternateName":"Niixer.com","url":"https:\/\/niixer.com\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/","url":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","width":140,"height":140,"caption":"Niixer"},"image":{"@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/niixer\/","https:\/\/www.instagram.com\/niixer.tecnologia\/"]},{"@type":"Person","@id":"https:\/\/niixer.com\/#\/schema\/person\/e63add4d76ce9566b33476ed7aa4710c","name":"klozanoc","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/secure.gravatar.com\/avatar\/f027ebb7a446a65e45674234bb9f87ed0547e13872a6d654f4913362f8725993?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/f027ebb7a446a65e45674234bb9f87ed0547e13872a6d654f4913362f8725993?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/f027ebb7a446a65e45674234bb9f87ed0547e13872a6d654f4913362f8725993?s=96&d=mm&r=g","caption":"klozanoc"},"url":"https:\/\/niixer.com\/index.php\/author\/klozanoc\/"}]}},"jetpack_featured_media_url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Hacking-etico.webp","_links":{"self":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/users\/2086"}],"replies":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/comments?post=85988"}],"version-history":[{"count":7,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85988\/revisions"}],"predecessor-version":[{"id":86078,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85988\/revisions\/86078"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media\/86077"}],"wp:attachment":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media?parent=85988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/categories?post=85988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/tags?post=85988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}