Saltar al contenido
>_ITDITDPlataforma de seguridad web
Preparación ante ciberamenazas, con calma de centro de mando

Aprende de incidentes reales. Defiende tu propio sitio.

No cómo atacar, sino cómo defender, a partir de brechas que de verdad ocurrieron. Defensa práctica que puedes aplicar hoy, incluso sin formación en seguridad.

Ver incidentesEmpezar a defender
itd@defense:~ — site-health.shLIVE
$  
  • >.env exposure[ Protegido ]
  • >TLS / cert expiry[ Vigilar ]
  • >Dependency CVEs[ Crítico ]
  • >Security headers[ Protegido ]
  • >Secret in repo[ Protegido ]
ONLINEBoletín de amenazasLIVE7 Incidentes y vulnerabilidades26 Glosario29 Guías de seguridadDEFENSE-ONLY — NO ATTACK STEPS
Destacado

Seguridad para la era de la IA

Una IA cada vez más capaz encarece el descuido. Asegura lo básico ahora, por orden de prioridad.

Leer el reportaje
01 — Sections

Por dónde empezar

Elige un punto de partida según tu objetivo. Todo gratis y sin registro.

Incidentes y vulnerabilidades

Capital One, Equifax, Log4Shell, Heartbleed, XZ: brechas y vulnerabilidades públicas desglosadas en causa, impacto, primera respuesta y prevención, por las lecciones que siguen vigentes.

$ Log4Shell, Heartbleed, Capital One, MOVEit y más.

Glosario

CVE, CVSS, RCE, SSRF, XSS, SPF/DKIM/DMARC: cada término con una respuesta de una línea y una explicación sencilla.

$ Para que la jerga nunca te haga tropezar.

Guías de seguridad

Contraseñas, MFA, dispositivos, Wi-Fi pública, servidores, dependencias, Git y entornos expuestos: guías prácticas y orientadas a objetivos sobre defensas que puedes aplicar hoy.

$ Guías de defensa prácticas, por objetivo.

Herramientas gratuitas

Un conjunto de herramientas gratuitas para comprobar dependencias (OSV), CVE, cabeceras de seguridad, CSP, JWT y SPF/DKIM/DMARC. Las herramientas de diagnóstico también generan un prompt de corrección para la IA. Las herramientas que se ejecutan en tu navegador nunca envían tus datos.

$ Las herramientas del lado del cliente nunca envían tus datos.

02 — Field notes

Incidentes y vulnerabilidades destacados

Capital One, Log4Shell, MOVEit y más: brechas y vulnerabilidades públicas, convertidas en cómo defenderte.

critical2026-06-12

Filtración masiva de MOVEit (2023) — cómo un zero-day de inyección SQL alcanzó a más de 2.700 organizaciones, y cómo defenderse

La entrada fue un zero-day de inyección SQL (CVE-2023-34362) en MOVEit Transfer, expuesto a internet. Se plantó un web shell (LEMURLOOT) y se robaron datos en masa de la base de datos de respaldo, golpeando a más de 2.700 organizaciones y ~93,3M de personas. La mayoría de las víctimas fueron arrastradas indirectamente porque un proveedor usaba MOVEit. En tu entorno: parcheo rápido de KEV, minimizar la exposición, mínimo privilegio y segmentación web↔BD, inventario de proveedores y minimización de datos.

critical2026-06-07

Filtración de Capital One (2019) — cómo un SSRF expuso más de 100M de registros, y cómo defenderse

Un solo SSRF alcanzó el endpoint de metadatos → credenciales IAM temporales con privilegios excesivos → copia masiva de S3, filtrando ~106M de registros. Cada salto pudo haberlo detenido. En tu entorno: IMDSv2, IAM de mínimo privilegio y una lista de permitidos para las peticiones salientes.

critical2026-06-07

Filtración de Codecov (2021) — cuando una «herramienta de confianza» del CI fue secuestrada y se filtraron secretos

Una herramienta de confianza del CI (el Bash Uploader curl|bash) fue alterada en origen. Como tu propio código quedó intacto, pasó ~2 meses inadvertida mientras se filtraban secretos del CI; una verificación de checksum lo detectó. En tu CI: verifica los artefactos descargados, secretos de mínimo privilegio, rotación, monitorización de salida.

03 — Our stance

Lo que defiende este sitio

Un producto de seguridad tiene que predicar con el ejemplo.

We don't hold secrets

We never store your real API keys — only metadata. The safest secret is the one we can't leak.

Scan only what you own

Diagnostics run on verified domains only. Internal IPs and metadata endpoints are blocked — SSRF defense is built in.

Minimal blast radius

Isolation so one breach can't cascade. This site itself runs on a dedicated, isolated host.

We test on ourselves

This site watches its own dependencies for CVEs. The incident that started this never gets missed by a human again.