Pruebas de seguridad automatizadas
paradevs.

Defenty orquesta nuclei, ffuf, katana y 17 herramientas profesionales contra tu dominio — automáticamente. Secrets expuestos, puertos abiertos, CVEs, misconfiguraciones. Resultados en minutos.

Ver informe de ejemplo
Sin registro·Vulnerabilidades reales en minutos·Scan gratuito
Hecho para:Next.js·Supabase·Firebase·Vercel·AWS·Netlify
defenty — security scanrunning
Proceso

Del dominio al informe de seguridad en minutos

Un pipeline coordinado — cada fase alimenta la siguiente.

01

Ingresa tu dominio

Sin agentes, sin plugins, sin registro. Solo tu dominio y el correo para recibir el informe.

02

Mapeo de superficie de ataque

subfinder, katana y nmap enumeran subdominios, puertos abiertos, endpoints activos y stack tecnológico de todo tu dominio.

03

Sondeo activo de seguridad

Las herramientas analizan cada punto de entrada:

  • nuclei ejecuta 3.800+ plantillas de vulnerabilidad
  • ffuf hace fuzzing en directorios y rutas sensibles
  • 10 módulos especializados: secrets, DNS, análisis JS profundo, cloud, cadenas de ataque
  • Dev Checks prueban rate limiting, CAPTCHA y paneles admin
  • testssl audita la configuración TLS y debilidades conocidas

04

Hallazgos priorizados

Tu informe incluye:

  • Puntuación de seguridad (0–100) con índice de explotabilidad
  • Cadenas de ataque correlacionadas — ve cómo se combinan las vulnerabilidades
  • Snippets de corrección con código real para tu stack

Exportable en PDF, JSON o HTML.

Tiempo de escaneo: ~5 min (scan gratuito) a ~60 min (recon completo), según la complejidad del dominio.

Cobertura

Cobertura de seguridad completa

Seis etapas automatizadas mapean toda la superficie de ataque de tu dominio. La profundidad varía según el plan.

1 / 6Pipeline

Descubrimiento

Mapeo inicial de la infraestructura y presencia digital.

  • detección de tecnologías utilizadas
  • identificación de hosting e infraestructura
  • enumeración de subdominios
  • inteligencia DNS: DNSSEC, análisis NS/MX, intentos de zone transfer
httpx — asset discovery
HOST
STATUSTECH
api.example.com
200Node.js
admin.example.com
403Next.js
staging.example.com
200React
mail.example.com
Postfix
cdn.example.com
200Cloudflare
dev.example.com
200Vite
[+] 6 hosts · subfinder + dnsx + httpx

2 / 6Pipeline

Infraestructura & Puertos

Todo lo que está expuesto en tu infraestructura — servicios, puertos y configuraciones.

  • escaneo completo de puertos y servicios expuestos (Infrawatch+, hasta 65.535 en DeepRecon)
  • detección de servicios sensibles: Redis, MongoDB, Elasticsearch, Docker API
  • auditoría de encabezados de seguridad y configuración TLS/SSL
  • fingerprinting de tecnologías y versiones de servicios
  • verificación de seguridad de correo (SPF, DMARC y DKIM)
BTLS
Encabezados de Seguridad2/6 ok
CSP HSTS X-Frame X-Content Referrer Permissions

Puertos Abiertos5 servicios expuestos

:80HTTP
:443HTTPS
:22SSH
:8080Dev HTTP
:3306MySQL

3 / 6Pipeline

Secretos & Credenciales

Rastreamos credenciales y claves sensibles que pueden estar expuestas sin que lo sepas.

  • detección de secretos en archivos JavaScript del frontend (20+ proveedores)
  • identificación de claves de AWS, Stripe, Firebase, GitHub, OpenAI, Anthropic y otras APIs
  • prueba de RLS de Firebase y Supabase — disponible en planes pagos (hasta 30 tablas en DeepRecon)
  • análisis profundo de JS: DOM XSS sinks, postMessage inseguro, prototype pollution
trufflehog + gitleaks — secret scan
Secretos encontrados3 found
AWS_ACCESS_KEY_IDEXPOSED
AWS Key · bundle.js
STRIPE_SECRET_KEYEXPOSED
Clave de Stripe · app.js
FIREBASE_API_KEYEXPOSED
Firebase API Key · config.js
[+] 3 secrets · 2 sources scanned

4 / 6Pipeline

Dev Security Checks

Verificaciones de madurez de seguridad en aplicaciones modernas.

  • protección contra fuerza bruta y abuso de login
  • detección de CAPTCHA y rate limiting
  • análisis de flags de cookies y políticas CSP
  • pruebas específicas del stack: fugas de datos en Next.js, WordPress xmlrpc, misconfigs Supabase
  • detección de archivos sensibles (.env, backups, configs)

4

Falló

2

Pasó

Dev Security Checks

Rate limiting en el loginfail
CAPTCHA en el formulario de loginfail
Panel admin expuesto (/admin)fail
Archivo .env accesiblefail
Cookie security flagspass
SRI en scripts externospass

5 / 6Pipeline

Detección de Vulnerabilidades

Búsqueda automatizada de vulnerabilidades conocidas y fallos comunes.

  • 3.800+ checks de seguridad automatizados
  • detección de CVEs en frameworks y plugins
  • correlación de cadenas de ataque — rutas multi-paso detectadas (WebSecurity+)
  • exposición cloud: buckets S3, Azure Blob, GCP Storage, Firebase RTDB (Infrawatch+)
  • inteligencia de respuesta: cache poisoning, CRLF injection, fuga de headers
Findings por severidad22 total
CRITICAL
2
HIGH
3
MEDIUM
5
LOW
4
INFO
8
Top findings
CRITICALArchivo .env accesible en /.env
CRITICALMySQL (3306) expuesto en internet
HIGHClave de API expuesta en JavaScript

6 / 6Pipeline

Informe Completo

Todos los hallazgos consolidados en un informe claro y accionable.

  • puntuación de seguridad (0–100) con análisis de evolución entre escaneos
  • puntuación de explotabilidad — nivel de riesgo real para tu negocio
  • informe ejecutivo con hallazgos priorizados por impacto
  • snippets de remediación con código real para tu framework
  • narrativa de cadena de ataque — paso a paso de cómo actuaría un atacante (WebSecurity+)
  • exportación en JSON, HTML o PDF
Grade D

Plan de acción

Corregir ahora — 2 problemas
Esta semana — 3 problemas
Cuando sea posible — 5 problemas

Exportar Informe

JSONHTMLPDFplanes pagos
Informe

Informe completo. Riesgos reales.

Mira cómo Defenty presenta los riesgos encontrados en tu dominio.

defenty.com/report/example.com
preview
Informe
Vulnerabilidades
Compliance & Defensas
Superficie de Ataque
Historial
31/100
Grado D
Explotabilidad:HIGH
↓ 12 pts vs scan anterior
CRITICAL2
HIGH3
MEDIUM4
LOW1
INFO8
Superficie de ataque
12Subdominios
4Páginas de Login
162Endpoints
3Tecnologías

Principales hallazgos

critical
Archivo .env expuesto públicamente en /.env+18 pts

DATABASE_URL=postgres://admin:p4ss@db.internal/prod · SECRET_KEY=sk_live_...

Contexto de riesgo

El archivo contiene DATABASE_URL, SECRET_KEY y tokens de API — acceso directo a la base de datos.

critical
Subdominios administrativos expuestos encontrados+15 pts

api.example.com · admin.example.com · staging.example.com

high
Clave de API expuesta en bundle JavaScript+10 pts

AIzaSyD_Key45afea534••••••4fefe · main.chunk.js:2847

high
Endpoint de login sin rate limiting — fuerza bruta posible+9 pts

POST /api/login · POST /api/auth/token · sin CAPTCHA, sin bloqueo

medium
Content-Security-Policy ausente+5 pts

Cadena de Ataque

RUTA CRÍTICA
1.env expuesto en /.env
2Credenciales de BD filtradas
3Acceso directo a la base de datos

Remediación

Next.js
// next.config.js
headers: () => [{
  source: '/(.*)',
  headers: [
    { key: 'Strict-Transport-Security',
      value: 'max-age=63072000' },
    { key: 'Content-Security-Policy',
      value: "default-src 'self'" },
  ]
}]

Encabezados de Seguridad

HSTS
CSP
X-Frame
X-Content
Referrer
Permissions

SSL / TLS

Certificado
Validez287d
TLS 1.3
TLS 1.2
TLS 1.0legado ⚠
WAFNo detectado

Seguridad de correo

SPF
DMARC
DKIM
Vista previa ilustrativa — el informe real reflejará tu dominio, con exportación en JSON, HTML y PDF.
Precios

Precios

Elige el plan según lo que necesites cubrir.

Leyenda:IncluidoLimitadoNo incluido

QuickScan

Gratuito

  • Security score
  • Principales vulnerabilidades
  • Análisis de TLS
Más popular

WebSecurity

$27

  • Probes específicos de tu stack
  • Cadenas de ataque correlacionadas
  • Seguridad de login y detección de secrets

InfraWatch

$47

  • Análisis profundo de JS (DOM XSS · postMessage)
  • Exposición cloud (S3 · Azure · GCP · Firebase)
  • Port scanning completo + detección de servicios

DeepRecon

$75

  • Prueba profunda de autenticación y sesión
  • OSINT (filtraciones · GitHub dorks · pastes)
  • Vulnerability scan avanzado
Más popular

Recurso

QuickScan

Gratuito

Análisis rápido de la superficie de ataque

  • Security score
  • Principales vulnerabilidades
  • Análisis de TLS
  • Security headers
  • Análisis DNS (DNSSEC · NS · MX)

Sin este scan, estás expuesto a:

  • Datos sensibles expuestos públicamente
  • Headers ausentes — infracción directa al GDPR
  • SSL expirado bloquea usuarios y destruye el SEO
  • Subdominios olvidados accesibles por cualquiera
  • Daño reputacional con clientes y socios

WebSecurity

$27

Análisis de seguridad de aplicaciones web

1 rescan incluido

  • Probes específicos de tu stack
  • Cadenas de ataque correlacionadas
  • Seguridad de login y detección de secrets
  • Corrección con código listo
  • Informe ejecutivo con IA + evolución entre scans

Sin este scan, estás expuesto a:

  • Credenciales de API expuestas en archivos JS públicos
  • Sin cadenas de ataque, no ves cómo se combinan las vulnerabilidades
  • Sin probes específicos, fallos de Next.js / Supabase pasan inadvertidos
  • Takeover de subdominio por atacantes
  • Multa GDPR: hasta €20M por incidente
  • Notificación de brecha obligatoria al regulador

Vuelve a escanear el mismo dominio hasta 30 días después del escaneo inicial — ideal para validar las correcciones aplicadas.

InfraWatch

$47

Análisis de infraestructura expuesta

1 rescan incluido

  • Análisis profundo de JS (DOM XSS · postMessage)
  • Exposición cloud (S3 · Azure · GCP · Firebase)
  • Port scanning completo + detección de servicios
  • Inteligencia DNS avanzada

Sin este scan, estás expuesto a:

  • Base de datos expuesta directamente a internet
  • DOM XSS sinks y vulnerabilidades postMessage sin detectar
  • Buckets S3 / Azure / GCP con escritura pública
  • Compromiso silencioso sin generar alertas
  • Responsabilidad civil por fallo de seguridad probado

Vuelve a escanear el mismo dominio hasta 30 días después del escaneo inicial — ideal para validar las correcciones aplicadas.

DeepRecon

$75

Análisis completo de seguridad ofensiva

1 rescan incluido

  • Prueba profunda de autenticación y sesión
  • OSINT (filtraciones · GitHub dorks · pastes)
  • Vulnerability scan avanzado
  • AI Attack Scenario (exclusivo)

Sin este scan, estás expuesto a:

  • Session fixation e IDOR sin detectar
  • Credenciales filtradas en brechas permiten takeover de cuenta
  • Compromiso total del entorno de producción
  • Notificación obligatoria al regulador (GDPR art. 33)
  • Multa de hasta 2% de la facturación anual global
  • Daño reputacional irreversible y pérdida de contratos

Vuelve a escanear el mismo dominio hasta 30 días después del escaneo inicial — ideal para validar las correcciones aplicadas.

Security Score
Detección de tecnologías
Security headers
Análisis SSL/TLS
Enumeración de subdominios
Análisis DNS (DNSSEC · NS · MX)
Comprobaciones de seguridad para dev
Detección de secrets en JavaScript
Comprobaciones de seguridad en login
Detección de WAF
Seguridad de email (SPF · DMARC · DKIM)
URLs históricas
Escaneo XSS
Probes específicos de tu stack
Fuzzing de endpoints API
Cadenas de ataque correlacionadas

Pago único, sin suscripción. Todos los planes incluyen informe por email y análisis con IA.

Comienza ahora

Realiza tu primer scan ahora

Sin agentes. Sin registro. Solo tu dominio.

El scan gratuito cubre SSL, análisis DNS, headers de seguridad, subdominios y vulnerabilidades críticas — en menos de 5 minutos. Los planes de pago añaden cadenas de ataque y corrección con código.

Sin cuenta requeridaResultados en minutosDel gratuito al recon completo