Encuentra tus puntos débiles antes que los hackers.
Escribe la dirección de tu sitio web. El primer informe suele estar listo en 60 segundos; los escáneres conectados siguen en segundo plano y cada resultado aparece cuando llega.
Qué pasa cuando pulsas Escanear
Un flujo, capas independientes.
Comprobaciones independientes cubren ocho capas centrales de tu sitio. Cuando corresponde o se conectan expresamente, otros módulos revisan puertos, subdominios, señales de malware, repositorios y configuración cloud. Los resultados base aparecen primero; los escáneres ampliados siguen en segundo plano.
Por qué importa
¿No eres técnico? Esto también va de ti.
Los hackers no eligen objetivos. Los robots sí.
La mayoría de los ataques son automáticos. Los bots sondean todos los sitios de internet, incluidos los pequeños. El tuyo está siendo probado ahora mismo — lo sepas o no.
Una filtración puede costarte el negocio.
Una lista de clientes robada, una página alterada, un aviso en Google — la confianza tarda años en construirse y se pierde con un solo incidente. Y encima, multas de privacidad.
No puedes arreglar lo que no ves.
La mayoría de los puntos débiles son silenciosos: nada parece roto hasta que es demasiado tarde. Un escaneo los hace visibles — en lenguaje claro, sin tecnicismos.
Diseñado para Código Generado con IA
Escáneres independientes. Hallazgos con evidencias. Soluciones claras.
Cómo funciona
Tres pasos. Sin instalaciones. Sin registro.
- 1
Pega tu dirección
Escribe la dirección de tu sitio y pulsa Escanear. Es todo lo que necesitamos.
- 2
Coordinamos módulos independientes
Los mismos estándares con los que se audita a las grandes empresas: OWASP, NIST, RGPD y más.
- 3
Recibes una lista de arreglos
Cada problema explicado en palabras sencillas, con una solución paso a paso para tu desarrollador — o para pegar en la IA.
Diseñado para Código Generado con IA
Resultados con evidencia. Tu IA se las pierde.
No solo verificamos si existen los headers — validamos sus valores, probamos bypasses y generamos el prompt exacto de corrección para tu herramienta de IA.
BoringSec vs. escáneres gratuitos
Los escáneres gratuitos comprueban una cosa. Un solo flujo cubre más.
SSL Labs, Mozilla Observatory y securityheaders.com son herramientas especializadas. BoringSec reúne módulos base de URL y motores verificados en un solo flujo. La monitorización continua es opcional.
| Capacidad | BoringSec | SSL Labs | Mozilla Observatory | securityheaders.com | ImmuniWeb |
|---|---|---|---|---|---|
| Módulos base de URL | Módulos base | Solo TLS | Cabeceras + TLS | Solo cabeceras | Varias herramientas |
| Cabeceras de seguridad HTTP (15+) | |||||
| Análisis profundo de SSL/TLS | Parcial | ||||
| DNS (SPF, DMARC, DKIM, CAA, DNSSEC) | Parcial | ||||
| Secretos y claves de API expuestos en bundles | |||||
| CVEs conocidos en tu stack tecnológico | Parcial | ||||
| Seguridad de bases de datos (Supabase, Firebase) | |||||
| Comprobaciones de GDPR y privacidad | |||||
| Reputación de malware y listas negras | |||||
| Monitorización continua opcional | Plan de pago | Parcial | |||
| Soluciones en lenguaje claro y listas para IA | Limitado | Limitado | |||
| Informes en 10 idiomas | |||||
| Calificación unificada de A++ a F | Parcial | Parcial | Parcial | Parcial |
Valoramos estas herramientas y también las usamos. Esta comparación muestra en qué se centra cada una; la disponibilidad puede cambiar.
Dos minutos ahora valen más que dos semanas después de un hackeo.
Empieza Aquí
Cada problema explicado como lo haría una persona.
Hoy BoringSec es más que un escáner de URLs. El producto ahora incluye análisis de sitios en vivo, revisión de GitHub, escaneo de código y proyectos vía API, y exportaciones listas para remediar con asistencia de IA.
- service_role key in bundle.jsCWE-798
- RLS disabled · users, paymentsOWASP A01
- Missing CSP headerCWE-693
- TLS 1.3 · HSTS preloadOK
+ Content-Security-Policy: default-src 'self'; + Strict-Transport-Security: max-age=63072000
Every issue scored on CVSS 4.0 + business impact. Critical / High / Medium / Low / Info — so you know what to fix today vs. queue for next sprint.
Each finding links directly to its source — OWASP article, CWE entry, NIST control, Google doc. Defensible in front of auditors, procurement, and your board.
El análisis de IA opcional puede explicar la evidencia en contexto cuando se configura un proveedor en el servidor. Los hallazgos, las pruebas y la puntuación deterministas siguen disponibles sin IA.
Every finding ships with the exact fix — code diffs, config snippets, or paste-ready prompts for Cursor, Claude Code, Lovable, Bolt, v0, Windsurf.
Análisis profundo,
no escaneos superficiales.
Cada escaneo ejecuta las comprobaciones aplicables al objetivo. El informe base muestra qué pasó, qué falló o qué no pudo verificarse; los escáneres conectados continúan de forma independiente.
Preguntas que la gente hace de verdad
¿El escaneo es seguro para mi sitio?
Usamos comprobaciones de solo lectura y con límites de frecuencia en superficies públicas. No iniciamos sesión ni modificamos tu sitio; los módulos más profundos funcionan de forma independiente e informan de límites o fallos.
¿Es gratis de verdad?
Sí: el escaneo y la vista previa de resultados son gratis, sin tarjeta y sin registro. Si quieres el informe completo, verás el precio claro en la página de resultados.
No soy técnico. ¿Entenderé los resultados?
Justo para ti lo construimos. Cada problema está explicado en palabras sencillas, y cada arreglo viene como una lista paso a paso que puedes pasar a cualquier desarrollador — o pegar en la IA.
¿Qué pasa después del escaneo?
Ves tu puntuación y los hallazgos más importantes al momento. No enviamos nada a nadie y nadie te llamará: el informe es tuyo, y tú decides el siguiente paso.
¿Aún con dudas? El primer vistazo es gratis y los resultados base suelen aparecer en 60 segundos.