Esta herramienta gratuita es obligatoria si quieres saberlo todo sobre cualquier página web

Es de código abierto, ha sido creada por una ingeniera de software afincada en Londres y es totalmente gratuita, para descubrir fallos en cualquier página web.
Muchas personas que quieren crear una marca personal o comenzar un negocio se aventuran a desarrollar una página web, aunque en muchos casos la configuración puede resultar en una puerta de entrada para los atacantes.
A pesar de que los desarrolladores y programadores actuales ya cuentan con algo de conocimiento en materias de ciberseguridad, lo cierto es que existen profesionales de este tipo que pueden descubrir vulnerabilidades críticas.
En definitiva, crear una página web tiene que llevar asociado un diseño seguro desde el principio, para evitar dejar puertas abiertas que puedan aprovechar los ciberdelincuentes.
Afortunadamente, en el mundo del código abierto puedes encontrar herramientas increíbles que te dirán los errores que pueden existir en tu página web, así como descubrir vulnerabilidades que, en un principio, no se habían visibilizado.
Una de estas herramientas, disponible directamente sin registro y en navegador web desde este enlace, es Web Check, creada para la comunidad por Alicia Sykes, una ingeniera de software afincada en Londres.
Gracias a ella, los usuarios que quieran descubrir cualquier detalle sobre su página web, sin tener que entrar en consolas o terminales, pueden hacerlo de forma muy fácil y con una interfaz gráfica moderna, cuidada y muy pulida.
Así ven tu página web los atacantes
Web Check, aunque es de código abierto, cuenta con el patrocinio de Terminal Trove, que incluye numerosas herramientas para los programadores que usen la terminal, en varios lenguajes de programación, licencias y sistemas operativos.
Concretamente, esta herramienta open source analiza directamente el enlace web que quieras revisar, algo imprescindible si crees que puede ser un dominio malicioso o para los equipos de pentesting, que realizan pruebas para mejorar las defensas de un servicio.
Para observar cómo funciona, hemos comprobado directamente qué se esconde tras la página web de la Agencia Tributaria de España y, aunque es un organismo vital a nivel nacional, mantiene algunas prácticas de seguridad que pueden ser peligrosas.

Como se puede observar en la anterior captura de pantalla, lo primero que destaca es que cuenta con un certificado SSL de alta seguridad; en la práctica, este es el candado que aparece en tu navegador, y en este caso, con 4.096 bits, un estándar muy alto.
Adicionalmente, se puede observar que cuenta con protección contra el secuestro de clics (X-Frame-Options), una especie de muralla para los ciberdelincuentes que crean páginas webs falsas de este tipo, evitando que hagas clic donde no debes.
Básicamente, la Agencia Tributaria cuenta con la directiva SAMEORIGIN, que prohíbe de forma tajante que una página web externa cargue cualquier otra página desde dentro de este dominio.
Cómo ver los puntos débiles de una web con Web Check
Para revisar las cuestiones que pueden poner en peligro de seguridad en la web, volveremos al ejemplo de la Agencia Tributaria, con diferentes elementos presentes que podrían mejorar.
Por ejemplo, si te fijas aparece como que no hay ningún WAF (Web Application Firewall) activado, lo que puede indicar una de las siguientes cuestiones: o se les ha pasado, algo bastante improbable, o maneja un sistema de seguridad interno propio oculto a los ojos de la herramienta.
Además de esto, conviene revisar el DNSSEC –Domain Name System Security Extensions–, que garantiza que un usuario no sea redirigido a un dominio malicioso, para evitar el envenamiento de caché, por ejemplo.
En el caso de la Agencia Tributaria, este valor aparece como false, por lo que un grupo organizado de otro país podría perfectamente redirigir a los usuarios a sitios falsos, con el consiguiente peligro asociado a la exfiltración de datos personales.
Por lo demás, hay configuraciones básicas de seguridad que faltan, como la cabeceera xContentTypeOptions, que le dice al navegador qué tipo de archivo intenta descargar; si se equivoca el navegador, esto puede dar lugar a brechas.
Y, por supuesto, el archivo security.txt ausente, un estándar mundial para que diferentes organizaciones sepan si existe un fallo, ante una investigación realizada por hackers éticos que buscan errores de seguridad, algo básico para saber a quién avisar de forma rápida y confidencial.
En conclusión, Web Check es una herramienta de rayos X para cualquier web y, gracias a su desarrolladora, se nota que ha sido muy pulida y es apta para comenzar cualquier investigación en seguridad.
