Saltar al contenido
>_ITDITDPlataforma de seguridad web

Comprobador de transparencia de sitios

Una herramienta afirma que tus datos «se quedan en tu navegador», ¿es verdad? Introduce una URL para descubrir, mediante análisis estático, a dónde podría enviar datos la página: orígenes externos, rastreadores y formularios. Pistas, no un veredicto.

El servidor de este sitio obtiene la URL de destino una sola vez y la analiza estáticamente (solo se envía la URL que introduces, no tu código ni tu entrada). El acceso a direcciones internas / privadas está bloqueado.
Probar un ejemplo (analizar este mismo sitio)

Cómo verificarlo de verdad (DevTools)

  1. 1Abre la página y luego abre DevTools con F12 (o clic derecho → Inspeccionar).
  2. 2Abre la pestaña «Network» y asegúrate de que está grabando.
  3. 3Usa la herramienta de verdad y observa si nuevas solicitudes (Fetch/XHR/WS) van a dominios externos.
  4. 4Si no hay envíos externos, la página es del lado del cliente para esa acción.

SSRF

Cómo usarla

  1. 1

    Pega la URL de una herramienta que afirma funcionar solo en el navegador.

  2. 2

    Analiza estáticamente los destinos externos, los rastreadores, los formularios externos y el código de envío de esa página.

  3. 3

    Los resultados son pistas. Haz la comprobación final en la pestaña Network de tu DevTools (abajo).

Por qué importa

Que una herramienta «de privacidad» sea realmente privada no se puede demostrar por completo desde fuera (el CORS del navegador oculta el comportamiento en tiempo de ejecución de otros sitios, y el análisis estático no puede mostrar la ausencia de un envío). Por eso esta herramienta no emite un veredicto: descubre por dónde podrían fluir los datos y te entrega el método de verificación real (DevTools). Este sitio no es una excepción: analízalo y verás etiquetas de anuncios/analítica; no ocultarlo es lo honesto.

Preguntas frecuentes

Q¿«Cero destinos externos» significa que es seguro?
A

No. El análisis estático se salta los envíos ofuscados, dinámicos o al hacer clic. Cero significa «no encontrado estáticamente», no una prueba. La comprobación segura es la pestaña Network de tu DevTools.

Q¿Por qué no puede hacerse solo en el navegador (sin servidor)?
A

El CORS del navegador impide que una página observe las solicitudes en tiempo de ejecución de otro origen, así que la URL de destino se obtiene y analiza en el lado del servidor (solo se envía la URL).

Q¿Está bien comprobar el sitio de otra persona?
A

La herramienta obtiene la página de destino una vez y la analiza estáticamente: sin escaneo activo ni ataque (el mismo alcance que abrirla en un navegador). Las direcciones internas/privadas están bloqueadas.

Páginas relacionadas