Cómo funciona Vulny
Vulny ejecuta un escaneo seguro y automatizado que cubre tres cosas a la vez: seguridad, SEO y búsqueda con IA (GEO). Introduces una dirección de sitio web de tu propiedad y Vulny la prueba tal como lo harían un atacante, un motor de búsqueda y un asistente de IA respectivamente — y luego devuelve hallazgos priorizados con una corrección en lenguaje claro para cada uno. Esto es lo que ocurre en cada etapa.
¿Cómo funciona un escaneo de vulnerabilidades externo?
Un escaneo externo observa tus sistemas desde la Internet pública, exactamente como lo haría un atacante antes de irrumpir. Vulny descubre tus hosts expuestos a Internet, encuentra cada puerto abierto e identifica el servicio y la versión detrás de cada uno — servidores web, servidores de correo, bases de datos, servicios de acceso remoto y más. Luego contrasta cada servicio con vulnerabilidades conocidas, de modo que veas lo que un externo podría alcanzar y explotar. No se instalan credenciales ni agentes: el escaneo se ejecuta enteramente desde fuera, por lo que puedes iniciar uno en minutos en cualquier dominio o IP de tu propiedad. Esta vista desde fuera hacia dentro es la que más importa, porque es exactamente la superficie que los atacantes sondean primero — cada servicio expuesto, incluido el subdominio olvidado o el servidor de pruebas que nadie recordaba que seguía activo.
¿Qué comprueba el escáner de aplicaciones web?
Cada servicio web que Vulny encuentra se prueba para detectar los problemas que con más frecuencia conducen a una brecha. Eso incluye las categorías del OWASP Top 10 — inyección, control de acceso roto, mala configuración de seguridad y más — además de archivos sensibles expuestos como copias de seguridad, directorios .git y archivos de configuración o de entorno, cabeceras de seguridad ausentes o débiles y páginas predeterminadas que nunca deberían ser públicas. Las plantillas de detección se actualizan de forma continua, por lo que el escáner sigue comprobando vulnerabilidades web recién divulgadas, no solo una lista fija del día en que se lanzó. Cada hallazgo regresa con su gravedad, la URL afectada y una corrección en lenguaje claro, para que un desarrollador pueda reproducirlo y cerrarlo sin necesitar un especialista en seguridad. Las pruebas son no destructivas: Vulny confirma que existe una debilidad sin explotarla ni alterar tus datos.
¿Qué es el escaneo de shadow-API?
Las shadow-API son puntos finales que existen pero no están en tu documentación — versiones antiguas, rutas de administración olvidadas o servicios que un equipo lanzó sin avisar a nadie. Son un objetivo predilecto porque nadie las vigila. Vulny rastrea tu aplicación para descubrir tanto los puntos finales de API documentados como los no documentados, y luego los somete a fuzzing de forma segura en busca de fallos de autenticación y autorización y errores de inyección, incluidos SSRF, LFI, SSTI y path traversal. El resultado es un mapa de tu superficie de API real — incluidas las partes que olvidaste que tenías — y dónde es débil cada una. Esto importa más cada año, porque los atacantes comprometen cada vez más a las empresas a través de las API en lugar del sitio web frontal, y no puedes defender un punto final cuya existencia desconoces.
¿Cómo comprueba Vulny tu configuración TLS / SSL?
Vulny inspecciona la configuración de certificados y cifrado de cada servicio que usa TLS. Señala los certificados caducados, autofirmados o emitidos por una autoridad no confiable, así como las configuraciones que aún permiten versiones de protocolo obsoletas o cifrados débiles a los que un atacante podría degradar. Una configuración TLS débil socava silenciosamente todo lo demás, por eso estas comprobaciones se ejecutan en cada puerto cifrado — no solo en tu sitio web principal — y te dicen exactamente qué cambiar. Un mal TLS rara vez arroja un error evidente, por lo que pasa desapercibido durante años: el sitio sigue cargando y el candado sigue apareciendo, pero la conexión puede ser interceptada o degradada. Vulny saca a la luz esas debilidades silenciosas indicando el certificado, protocolo o cifrado concreto que corregir.
¿Cómo asocia Vulny las vulnerabilidades a los CVE?
Una vez que Vulny conoce el software y las versiones que ejecutas, los contrasta con una base de detección de 357,755+ pruebas de vulnerabilidades. Cada coincidencia se enriquece con su gravedad CVSS, con si figura en la lista CISA KEV de vulnerabilidades que se sabe que se explotan en la práctica, con su probabilidad de explotación EPSS y con cualquier código de explotación público. Ese contexto convierte una lista larga en una corta: en lugar de mil problemas teóricos, obtienes el puñado que es realmente peligroso para ti, clasificado primero. La base se actualiza cada dos horas, por lo que se te vuelve a comprobar contra CVE recién publicados el mismo día en que se divulgan. Como la asociación usa las versiones precisas que Vulny identificó, evita los falsos positivos que aquejan a los escáneres genéricos, los cuales marcan un CVE en cada host que ejecuta aproximadamente el producto correcto sin importar la versión.
¿Cómo funciona la auditoría SEO?
En la misma pasada, Vulny comprueba cuán preparadas están tus páginas para posicionarse en Google. Carga cada página tal como lo hace un motor de búsqueda y revisa las señales que deciden la visibilidad — desde lo rastreable y rápida que es la página hasta la claridad con la que le dice a Google de qué trata. Obtienes una única puntuación SEO con los problemas concretos que te frenan y una corrección en lenguaje claro para cada uno, para que escales en los rankings sin contratar a una agencia de SEO. La idea es simple: el sitio web más seguro del mundo igual fracasa si los clientes no lo encuentran en Google, así que la seguridad y la localizabilidad pertenecen a un solo escaneo, no a dos herramientas.
¿Cómo funciona la auditoría de búsqueda con IA (GEO)?
Los compradores piden cada vez más recomendaciones a ChatGPT, Perplexity y la IA de Google en lugar de desplazarse por una página de resultados — y esos motores solo citan páginas que pueden leer y en las que confían. La auditoría GEO (Generative Engine Optimisation) de Vulny comprueba si tu sitio es visible y citable para los asistentes de IA, luego puntúa la probabilidad de que seas citado y te dice qué mejorar. Este es el frente más nuevo para ser encontrado en línea, y la mayoría de tus competidores aún no lo vigilan — que es precisamente por lo que es una ventaja arreglarlo ahora. Seguridad, SEO y búsqueda con IA, un solo escaneo, un solo informe.
¿Qué encuentra un escaneo típico?
Un primer escaneo del sitio web de una pequeña empresa suele sacar a la luz un puñado de problemas reales: un servidor web desactualizado con un CVE conocido, un par de cabeceras de seguridad ausentes, una carpeta de copia de seguridad o .git expuesta y una configuración TLS que aún permite un protocolo antiguo. Cada hallazgo viene con su gravedad, el host y el puerto afectados y una corrección en lenguaje claro. Puedes exportar toda la evaluación como un informe PDF con tu marca o DOC editable — listo para un auditor, un cliente o tus propios ingenieros. Lo crucial es que los hallazgos se clasifican por riesgo real en lugar de volcarse como una lista indiferenciada, de modo que dedicas tu tiempo a los uno o dos problemas que un atacante usaría realmente, y no a cien notas de baja prioridad.
¿Es el escaneo seguro y no disruptivo?
Vulny está construido para ser no destructivo: identifica y verifica debilidades sin explotarlas, eliminar datos ni dejar servicios fuera de línea. Los escaneos tienen en cuenta el ritmo para no sobrecargar tus servidores, y solo puedes escanear activos de tu propiedad o que estés autorizado a probar — Vulny verifica la propiedad del dominio antes del primer escaneo de cualquier objetivo nuevo. Eso hace que sea seguro ejecutarlos de forma continua en segundo plano en lugar de solo durante una ventana de mantenimiento programada. Obtienes la misma profundidad de prueba que intentaría un atacante, pero sin el riesgo para la disponibilidad o la integridad de los datos que conllevaría una intrusión real — o un escáner imprudente —, que es lo que hace que el escaneo permanente sea práctico en lugar de un evento anual.
Véalo en su propio sitio
Ejecuta un escaneo de seguridad, SEO y búsqueda con IA (GEO) — y obtén un informe PDF con tu marca, listo para ISO 27001.
Analizar mi sitio →