WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Donde debe publicarse security.txt?

Publiquelo en /.well-known/security.txt en su sitio web publico para que las herramientas automatizadas y los investigadores puedan descubrirlo de manera predecible.

Necesito un programa de bug bounty para usar security.txt?

No. security.txt es util incluso sin recompensas financieras. Proporciona una ruta clara para la divulgacion responsable y establece expectativas de comunicacion.

Con que frecuencia debo actualizar el archivo?

Reviselo cada vez que cambien los propietarios, los canales de reporte o las paginas de politica, y actualice la fecha de expiracion en un calendario regular para que el archivo siga siendo creible.

Deben los equipos legales revisar la politica de divulgacion?

Si. Los responsables legales, de producto y tecnicos deben alinearse en las expectativas de respuesta, el lenguaje de safe harbor y los limites de alcance antes de la publicacion.

Guia security.txt — Divulgacion de vulnerabilidades para sitios web

Por que un archivo security.txt es importante

Cuando un investigador, cliente, socio o sistema automatizado detecta una posible vulnerabilidad en su sitio web, la parte mas dificil a menudo no es el error en si. Es saber donde reportarlo sin perder dias en bandejas de entrada de soporte generico o publicaciones en redes sociales. security.txt resuelve ese problema de descubrimiento con un punto de entrada simple y estandarizado.

Para las PYME, no se trata solo de parecer maduras. Se trata de reducir la friccion de divulgacion. Cuanto mas rapido los reportantes legitimos puedan llegar al contacto correcto, mas probable es que resuelva problemas de forma privada, documente decisiones y evite un manejo caotico cuando el hallazgo es real.

Un punto de entrada de divulgacion publico tambien senala algo importante internamente: los reportes de seguridad son esperados, clasificados y atendidos. Esa mentalidad es mas sana que pretender que los reportes nunca llegaran o que el soporte puede improvisar un proceso seguro bajo presion.

Que debe contener un security.txt minimo

El archivo es intencionalmente simple. Publiquelo en /.well-known/security.txt y mantenga el contenido legible para humanos y maquinas. No necesita un gran programa de bug bounty para beneficiarse. Necesita informacion de contacto clara, expectativas de alcance y un proceso mantenido detras.

Contact: una direccion de correo electronico monitoreada o un canal de reporte seguro gestionado por personas capaces de enrutar hallazgos de seguridad rapidamente.
Expires: una fecha que demuestre que el archivo esta mantenido y no abandonado.
Policy: una pagina que describa como maneja los reportes, ventanas de respuesta esperadas y lenguaje basico de safe harbor si lo proporciona.
Preferred-Languages: opcional, util cuando su equipo operativo trabaja principalmente en espanol o ingles.
Acknowledgments o Hiring: opcional, solo si reflejan un proceso real y mantenido.

Como operacionalizar el manejo de divulgaciones

Publicar el archivo es la parte facil. El trabajo real es asegurar que los reportes no desaparezcan en un buzon. Alguien necesita gestionar la recepcion, validar la gravedad, solicitar pasos de reproduccion, asignar la remediacion y cerrar el ciclo con el reportante cuando sea apropiado.

Aqui es donde muchas empresas fallan. Agregan un archivo security.txt por imagen, pero la direccion enruta a un buzon compartido que nadie monitorea, o a un equipo legal que no sabe que hacer con reportes tecnicos. Si no puede responder de manera responsable, mantenga el alcance simple y documente expectativas de respuesta realistas.

Vincule el manejo de divulgaciones a su proceso existente de gestion de incidentes y vulnerabilidades. Incluso un equipo pequeno puede ejecutar un flujo de trabajo ligero: recepcion, clasificacion, asignacion, correccion, validacion y archivado de evidencia. La postura de fiabilidad de WarDek encaja bien aqui porque el producto esta construido alrededor de la evidencia, el contexto de remediacion y la toma de decisiones auditable en lugar de alertas vagas.

Pasos de implementacion para un sitio web en produccion

Primero, publique el archivo en su dominio canonico y confirme que es accesible sin redirecciones ni sorpresas de content-type. Luego, replique la misma politica de divulgacion en una pagina legible por humanos si desea explicar las expectativas de respuesta con mas detalle.

Segundo, pruebe el flujo de trabajo de contacto de extremo a extremo. Envie un reporte de muestra, confirme que las personas correctas lo reciben y defina quien decide si un hallazgo es valido, duplicado, fuera de alcance o urgente. security.txt solo es util si el camino operativo detras funciona.

Tercero, mantengalo. Un archivo expirado o un buzon muerto es peor que ningun archivo porque crea falsa confianza. Ponga las verificaciones de renovacion y propiedad en la misma cadencia que otras superficies de confianza como TLS, paginas de privacidad y documentos de cumplimiento.

Errores que debilitan la confianza

No publique un contacto de divulgacion que envie respuestas automaticas y nada mas. No prometa un bug bounty si no existe. No copie una declaracion de safe harbor de una plataforma grande si sus equipos legal y tecnico nunca han acordado como deben manejarse las pruebas externas.

Tambien evite tratar security.txt como una casilla de verificacion de cumplimiento. Su valor es practico: acorta el camino entre el descubrimiento y el manejo responsable. Cuando esta vinculado a un proceso real, fortalece la confianza con investigadores, clientes y operadores internos por igual.