Herramientas de pentest gratuitas para tu web

No necesitas un presupuesto de miles de euros para evaluar la seguridad de tu sitio web. Existen herramientas open source y gratuitas de calidad profesional que pueden detectar la mayoría de las vulnerabilidades comunes. Esta guía presenta las más efectivas, con instrucciones de uso prácticas.

WarDek — Escaneo multi-framework

Tipo: SaaS con plan gratuito Ideal para: auditoría rápida multi-normativa (OWASP + NIS2 + RGPD + AI Act)

WarDek no es solo un escáner de vulnerabilidades: analiza tu sitio desde la perspectiva de cumplimiento normativo europeo. El plan gratuito incluye 3 escaneos mensuales.

1. Accede a wardek.io
2. Introduce la URL de tu sitio
3. Obtén un informe con puntuación por framework
4. Sigue las recomendaciones priorizadas

OWASP ZAP — Escáner de vulnerabilidades web

Tipo: Open source (OWASP) Ideal para: análisis profundo de aplicaciones web Descarga: zaproxy.org

OWASP ZAP (Zed Attack Proxy) es el escáner de seguridad web gratuito más completo. Funciona como proxy entre tu navegador y el servidor, interceptando y analizando todas las comunicaciones.

Uso básico

# Instalación
# Descarga desde zaproxy.org o usa Docker
docker pull zaproxy/zap-stable

# Escaneo automatizado rápido
docker run -t zaproxy/zap-stable zap-baseline.py -t https://tusitio.es

# Escaneo completo (más lento, más profundo)
docker run -t zaproxy/zap-stable zap-full-scan.py -t https://tusitio.es

Qué detecta

• Inyección SQL
• Cross-Site Scripting (XSS)
• Configuraciones inseguras
• Headers de seguridad faltantes
• Vulnerabilidades de sesión
• Information disclosure

Nmap — Escáner de red y puertos

Tipo: Open source Ideal para: descubrimiento de servicios y puertos abiertos

# Instalación
sudo apt install nmap  # Debian/Ubuntu

# Escaneo básico de puertos
nmap tusitio.es

# Escaneo con detección de servicios y versiones
nmap -sV tusitio.es

# Escaneo de vulnerabilidades conocidas
nmap --script vuln tusitio.es

# Escaneo de SSL/TLS
nmap --script ssl-enum-ciphers -p 443 tusitio.es

Qué detecta

• Puertos abiertos innecesarios
• Servicios expuestos con versiones vulnerables
• Configuración SSL/TLS débil
• Información del servidor revelada

Nikto — Escáner de servidores web

Tipo: Open source (Perl) Ideal para: detección de configuraciones inseguras y archivos expuestos

# Instalación
sudo apt install nikto  # Debian/Ubuntu

# Escaneo básico
nikto -h https://tusitio.es

# Escaneo con salida en HTML
nikto -h https://tusitio.es -o informe.html -Format htm

Qué detecta

• Archivos y directorios expuestos (.git, .env, backups)
• Configuraciones por defecto del servidor
• Headers de seguridad faltantes
• Software obsoleto
• Métodos HTTP peligrosos habilitados

Nuclei — Motor de escaneo basado en plantillas

Tipo: Open source (ProjectDiscovery) Ideal para: escaneo automatizado con plantillas actualizadas por la comunidad

# Instalación
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# O descarga binario desde GitHub releases

# Escaneo con todas las plantillas
nuclei -u https://tusitio.es

# Escaneo solo de vulnerabilidades críticas y altas
nuclei -u https://tusitio.es -severity critical,high

# Escaneo de headers de seguridad
nuclei -u https://tusitio.es -tags headers

# Escaneo de tecnologías detectadas
nuclei -u https://tusitio.es -tags tech

Qué detecta

• CVEs conocidos en tecnologías detectadas
• Misconfiguraciones comunes
• Exposición de información sensible
• Paneles de administración expuestos
• Vulnerabilidades específicas de CMS

SSL Labs (Qualys) — Análisis SSL/TLS

Tipo: Servicio online gratuito Ideal para: evaluación detallada de la configuración SSL/TLS URL: ssllabs.com/ssltest

No requiere instalación. Introduce tu dominio y obtén un informe detallado con nota de A+ a F:

• Validez del certificado
• Protocolo y cipher suites soportados
• Vulnerabilidades conocidas (BEAST, POODLE, Heartbleed)
• Configuración HSTS
• Cadena de certificados

SecurityHeaders.com — Análisis de headers

Tipo: Servicio online gratuito Ideal para: verificación rápida de headers de seguridad URL: securityheaders.com

Introduce tu URL y obtén una nota por los headers de seguridad:

• Strict-Transport-Security
• Content-Security-Policy
• X-Content-Type-Options
• X-Frame-Options
• Referrer-Policy
• Permissions-Policy

Mozilla Observatory — Auditoría HTTP

Tipo: Servicio online gratuito (Mozilla) Ideal para: auditoría completa de configuración HTTP URL: observatory.mozilla.org

Combina múltiples tests en un solo análisis:

• Headers de seguridad
• TLS
• Cookies
• Redirecciones
• Subresource integrity

Metodología de pentest para PYMES

Fase 1: Reconocimiento (30 min)

# Descubrimiento de tecnologías
whatweb https://tusitio.es

# Puertos y servicios
nmap -sV tusitio.es

# Subdominios
amass enum -passive -d tusitio.es

Fase 2: Análisis automatizado (1 hora)

# Escaneo de vulnerabilidades web
zap-baseline.py -t https://tusitio.es

# Configuraciones inseguras
nikto -h https://tusitio.es

# CVEs conocidos
nuclei -u https://tusitio.es -severity critical,high

Fase 3: Análisis específico (30 min)

# SSL/TLS
ssllabs.com/ssltest (online)

# Headers
securityheaders.com (online)

# Multi-framework
wardek.io (online)

Fase 4: Informe y remediación

1. Priorizar por severidad (crítico → alto → medio → bajo)
2. Documentar cada hallazgo con evidencia
3. Definir plan de remediación con plazos
4. Re-escanear tras las correcciones

Marco legal del pentest en España

Solo testea sitios web que te pertenecen o para los que tienes autorización escrita. El acceso no autorizado a sistemas informáticos está tipificado en el Código Penal español (Art. 197 bis y 264).

Para pentests a terceros:

• Contrato de autorización firmado
• Alcance definido (URLs, IPs, horarios)
• Cláusula de confidencialidad
• Seguro de responsabilidad civil recomendable

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.