Hard2bit · Ciberseguridad
Mientras los scanners clásicos revisan 5 cosas, nosotros revisamos más de 50. Desde headers HTTP hasta secretos filtrados en webs construidas con Lovable, pasando por BIMI, MTA-STS, librerías JavaScript vulnerables, subdominios olvidados, certificados a punto de caducar, credenciales en filtraciones públicas y mucho más.
Sin agentes, sin acceso interno. Solo tu dominio. Análisis 100% pasivo.
Análisis 100% pasivo, sin instalar agentes, sin acceso interno. Solo necesitas tu dominio. En menos de 60 segundos para la mayoría de dominios.
Escribe tu dominio (ejemplo.com), acepta los términos y lanza el análisis. No necesitas registro para el primer escaneo. No se piden datos sensibles.
El scanner consulta DNS, cabeceras HTTP, certificados, threat intel, fuentes públicas y Certificate Transparency. Cero impacto en tu servidor — equivalente a una visita normal de navegador.
Recibes un grado A+ a F, hallazgos categorizados por severidad (crítico, alto, medio, bajo) y recomendaciones accionables con evidencia técnica reproducible.
Exporta a PDF profesional (plan pagado), compártelo con tu equipo o cliente, integra con tu workflow de auditoría. Histórico disponible para seguir la evolución.
Cada control evalúa un aspecto concreto de la postura pública de tu dominio. Agrupados en 6 categorías técnicas + 1 categoría AI Agent Readiness (ya explicada arriba). Detalle de qué mide, qué evidencia recoge y por qué importa. Esta es la metodología pública que un consultor puede mostrar a su cliente o un auditor a su equipo.
Análisis de la base sobre la que viaja tu tráfico: configuración TLS/SSL, salud DNS y puertos expuestos. Cualquier debilidad aquí compromete todo lo que se construye encima — cifrado, autenticidad, disponibilidad.
Analiza la configuración del certificado y los protocolos cifrados disponibles para garantizar comunicaciones seguras y detectar vulnerabilidades criptográficas conocidas.
Evalúa la configuración DNS del dominio: redundancia de servidores, DNSSEC, presencia de registros sensibles y consistencia entre proveedores.
Identifica puertos comunes accesibles desde Internet que podrían exponer servicios administrativos o paneles de gestión sin protección adicional.
Cabeceras HTTP de seguridad, configuración de cookies, mixed content, detección de tecnologías (CMS, frameworks) y matching con CVEs conocidos. La capa donde el navegador del usuario habla con tu aplicación.
Verifica que el sitio active las cabeceras de seguridad recomendadas para protegerlo frente a inyecciones de código, secuestro visual y manipulación del tráfico web.
Identifica las tecnologías y versiones que ejecuta tu sitio web (CMS, frameworks, librerías, servidores) para detectar componentes obsoletos con vulnerabilidades conocidas.
Cruza las tecnologías detectadas contra catálogos públicos de vulnerabilidades conocidas para identificar versiones afectadas por fallos de seguridad documentados.
Revisa los atributos de seguridad de las cookies de tu sitio para detectar configuraciones que faciliten el robo de sesiones de usuario.
Detecta páginas seguras que cargan recursos por canales sin cifrar, una condición que rompe la protección del transporte y expone datos del usuario.
Seguridad del correo (SPF, DMARC, MTA-STS, BIMI), Certificate Transparency e información WHOIS pública del dominio. Validan que quien dice ser tu dominio realmente lo sea ante terceros.
Evalúa los mecanismos públicos que autentican el correo enviado desde tu dominio para reducir el riesgo de suplantación y phishing en tu nombre.
Comprueba la fecha de caducidad, antigüedad, registrador y estado administrativo del dominio para anticipar pérdidas por expiración o riesgos de transferencias no autorizadas.
Revisa los certificados emitidos para tu dominio en los logs públicos de Certificate Transparency, útil para detectar emisiones no autorizadas o subdominios olvidados.
Búsqueda de credenciales públicas, almacenamiento cloud mal configurado, subdominios olvidados, posibles takeovers, exposición en Common Crawl y políticas frente a bots IA. Lo que un atacante encontraría con OSINT antes de ti.
Evalúa la postura del sitio frente a accesos automatizados por IA: scrapers de modelos generativos, exposición de datos a entrenamiento sin consentimiento y endpoints típicos de aplicaciones IA mal protegidos.
Detecta almacenamientos en la nube y paneles administrativos accesibles desde Internet que puedan filtrar archivos, copias de seguridad o credenciales.
Busca menciones de tu dominio o credenciales asociadas en repositorios públicos y servicios de pastes, para detectar fugas de información antes que el atacante.
Detecta subdominios que apuntan a servicios externos abandonados y que un atacante podría reclamar para suplantar tu marca.
Comprueba si el contenido de tu dominio aparece en archivos públicos que alimentan a modelos de IA generativa, y si hay páginas sensibles indexadas que no deberían estar.
Comprueba si tu sitio está configurado para bloquear scrapers de modelos de IA generativa (GPTBot, ClaudeBot, Google-Extended, etc.) vía robots.txt, ai.txt y meta tags.
Enumera los subdominios visibles en logs públicos de Certificate Transparency (crt.sh) y los clasifica por patrón de nombre — detecta entornos no productivos (dev/staging/admin) expuestos a Internet.
Identifica los proveedores tecnológicos que usas (CRM, marketing, analítica, CDN) y comprueba si alguno sufrió un breach público documentado — trazabilidad de riesgo supply-chain NIS2.
Cotejo con listas públicas de threat intel: si tu dominio o IPs aparecen en bloqueos por phishing, spam o C2 conocido. Señal externa de la confianza que el ecosistema te otorga.
Comprueba si tu dominio, IPs o servidores de correo aparecen en listas públicas de amenazas (spam, malware, phishing, infraestructura de botnets).
Presencia y validez de security.txt, robots.txt y señales de cumplimiento (NIS2, DORA, ENS, ISO 27001) que un auditor consulta antes incluso de pedirte documentación interna.
Verifica que el sitio publique un canal estándar para que investigadores de seguridad puedan reportar vulnerabilidades de forma responsable.
Identifica señales públicas de adopción de buenas prácticas (cookies, política de privacidad, GDPR, accesibilidad) sin sustituir auditoría legal formal.
Analiza el archivo robots.txt para identificar rutas internas reveladas inadvertidamente y políticas de indexación incoherentes.
Los 11 estándares emergentes (llms.txt, MCP, Content-Signal, Web Bot Auth, etc.) están detallados en la sección AI Agent Readiness más arriba. Cada uno se evalúa tanto en presencia como en seguridad de la configuración.
↑ Ir a AI Agent ReadinessEstándares y referencias que seguimos: OWASP Secure Headers Project · Mozilla Server-Side TLS · IANA Root DNSSEC · M3AAWG Sender Best Practices · RFC 6962 Certificate Transparency · llmstxt.org · MCP spec · Directiva NIS2 UE.
En 2026, tu sitio web no compite solo en Google. Compite también por ser descubierto, comprendido y citado correctamente por agentes de IA: ChatGPT con browsing, Perplexity, Claude search, agentes autónomos. Estos agentes leen estándares emergentes (llms.txt, MCP Server Card, Content-Signal, Web Bot Auth y otros 7) para saber si tu sitio es agent-ready — y si no lo eres, te quedas fuera del nuevo embudo de descubrimiento. Hard2bit Scanner es uno de los pocos escáneres que evalúa los 11 estándares emergentes junto con los 14 controles clásicos de seguridad.
Pero AI Agent Readiness sin seguridad es un riesgo nuevo. Un llms.txt mal configurado filtra rutas privadas. Un MCP server sin autenticación es vector de abuso trivial. Un robots.txt incoherente entre subdominios permite a unos bots lo que prohíbe a otros. Por eso evaluamos siempre las dos dimensiones: que el estándar esté presente Y que esté configurado de forma segura.
Hard2bit Scanner sirve a 4 perfiles distintos con flujos de trabajo distintos. Mismo motor, conclusiones aplicables a cada contexto profesional.
Auditas continuamente la postura pública de tu propio dominio + subdominios olvidados (shadow IT). Pre-validación de cambios antes de release. Cuando llega NIS2/ENS y necesitas evidencia rápida de la dimensión técnica del Art. 21, el scanner produce reportes timestamped reproducibles que aceptan auditores.
Empezar gratis →Pre-auditas la postura externa de un cliente nuevo en 60 segundos antes de la primera reunión. PDF profesional listo para entregar como entregable pre-pago o como gancho comercial. Workflow estándar: scan → reporte → conversación → propuesta de servicios mayor.
Ver planes Pro →Inventario continuo de la postura externa de tu cartera de clientes. Detección temprana de cambios (subdominios nuevos, certificados que expiran, MX que cambian). Histórico para reporting trimestral. White-label en roadmap para 2026.
Habla con nosotros →Validación external posture en cada release. Catch de regresiones en cabeceras HTTP, expiración de certificados, configuración robots.txt para bots IA. API pública en roadmap para integración CI/CD.
Empezar gratis →Sin tarjeta para empezar. Cancela cuando quieras.
Gratis
1 análisis / 24h por IP
Prueba con tu dominio arriba ↑
€0/mes
3 análisis / mes
€19/mes
20 análisis / mes
€29/mes
60 análisis / mes
Si los planes Free/Starter te dan el grado y los hallazgos en navegador, los planes pagados generan un PDF profesional listo para auditoría, cliente o consejo. Diseñado para que un consultor pueda firmarlo y un CISO pueda presentarlo.
Posicionamiento honesto frente al ecosistema. Cada herramienta tiene su rol. La nuestra: análisis pasivo, freemium europeo, único que cubre los 11 estándares AI Agent Readiness.
| Dimensión | Hard2bit Scanner | Mozilla Observatory | SSL Labs (Qualys) | ImmuniWeb Community | Hardenize | SecurityHeaders.com |
|---|---|---|---|---|---|---|
| Modelo | Freemium SaaS | Free (Mozilla Foundation) | Free (Qualys) | Freemium (Suiza) | Free | Free (archivado 2026) |
| Hosting | Hetzner EU | US | US | Suiza (EU adyacente) | UK | UK |
| Cobertura cabeceras HTTP | Sí (8) | Sí (10) | No | Sí | Sí | Sí (foco exclusivo) |
| TLS / SSL | Sí | No | Sí (referente) | Sí | Sí | No |
| Email security (SPF/DMARC/MTA-STS) | Sí | No | No | Parcial | Sí | No |
| Supply-chain risk (vendor breach) | Sí | No | No | Parcial | No | No |
| AI Agent Readiness (11 estándares) | Sí (único) | No | No | No | No | No |
| Certificate Transparency | Sí | No | No | No | Sí | No |
| PDF profesional | Plan Starter+ | No | No | Premium | No | No |
| API pública | En roadmap 2026 | No | Sí | Sí | No | API cerrada (abr 2026) |
| Acreditaciones del proveedor | ENS ALTA · ISO 27001 · 13+ años | Mozilla Foundation | Qualys (NASDAQ:QLYS) | ISO 27001 | n/a | n/a |
Mozilla Observatory y SSL Labs son los referentes free del nicho — herramientas técnicas que casi cualquier equipo prueba antes de buscar más. Hardenize y ImmuniWeb Community son competidores cercanos con foco EU (ImmuniWeb desde Suiza, ISO 27001 propio). SecurityHeaders.com fue durante años la herramienta freemium de cabeceras HTTP — su API se cerró en abril de 2026 y Hard2bit Scanner es alternativa directa. Nuestro diferenciador es la cobertura completa (TLS + email + Certificate Transparency + supply-chain) junto a los 11 estándares emergentes de AI Agent Readiness, no cubiertos por ninguno de los anteriores, y la autoridad EU verificable (ENS ALTA, ISO 27001, 13+ años).
Hard2bit Scanner es un producto de Hard2bit S.L., empresa española de ciberseguridad con sede en Madrid, fundada en 2013 y operando en EU desde entonces. Combinamos servicios técnicos (pentesting, red team, SOC 24/7), cumplimiento (NIS2, DORA, ENS, ISO 27001) e I+D en el cruce IA-seguridad.
Nuestro compromiso con el rigor está documentado: ENS ALTA, ISO 27001, ISO 9001, ISO 14001, ISO 22301, ISO 20000-1, y reconocimiento como PYME Innovadora por el Ministerio de Ciencia e Innovación. Pertenecemos a ISMS Forum, ASLAN, CyberMadrid y UN Global Compact.
El scanner es nuestra forma de poner al alcance de cualquier organización el análisis de postura pública que normalmente solo veían los clientes de auditoría profesional. Si necesitas algo más que un análisis automático, podemos ayudar.
CEO y socio fundador, Hard2bit S.L.
CEO y socio fundador de Hard2bit S.L. Más de 25 años de experiencia en ciberseguridad, informática forense e infraestructuras. Co-impulsa la línea de I+D+i de Hard2bit participando en las dimensiones de negocio, seguridad y desarrollo, apoyado en el equipo técnico de la compañía.
LinkedIn →COO y socio fundador, Hard2bit S.L.
COO y socio fundador de Hard2bit S.L. Background en seguridad ofensiva, arquitectura cloud y operaciones SOC. Co-impulsa la línea de I+D+i participando en las dimensiones técnica, operativa y de desarrollo, apoyado en el equipo de desarrollo, investigación y análisis de Hard2bit.
LinkedIn →Hard2bit S.L. · CIF B86717147 · Madrid, España
El scanner cubre el análisis pasivo y automatizado de la postura externa. Pero algunos escenarios requieren más: revisión humana experta, validación de impacto real, integración con tu workflow de cumplimiento o monitorización continua. Esto es donde entra el equipo de Hard2bit S.L., compañía matriz del scanner.
Como empresa española de ciberseguridad con 13 años de operación EU, equipo técnico interno y acreditaciones ENS ALTA + ISO 27001, ofrecemos los servicios complementarios al scanner:
Revisión humana técnica + plan de remediación con esfuerzo estimado por hallazgo. El equipo Hard2bit te entrega un informe ejecutivo y otro técnico. Adecuado para preparar auditoría NIS2/ENS o respuesta a hallazgo crítico del scanner.
Validación de impacto real, no solo postura externa. Pentesting interno + externo + ingeniería social cuando aplica. Adecuado cuando el scanner identifica un riesgo y necesitas confirmar explotabilidad.
Monitorización, detección y respuesta continua. Para organizaciones donde la postura externa cambia frecuentemente o las consecuencias de un incidente justifican equipo dedicado.
Desde adecuación e implantación hasta acompañamiento a certificación. NormexAI, nuestro producto interno de automatización de evidencias, complementa el trabajo del scanner para entornos regulados.
Si tu hallazgo del scanner abre conversación sobre cualquiera de estos servicios, escríbenos. La conversación inicial es siempre con un perfil técnico, no comercial.