Cuando alguien escribe asentic.cl en su navegador, ocurre una cadena de consultas DNS que termina entregando una IP. Esa cadena no tiene autenticación por defecto: cualquier intermediario en el camino —un resolver comprometido, un equipo en la misma red— puede responder con una IP falsa y redirigir al usuario a donde quiera.

Esto se llama DNS cache poisoning o DNS spoofing, y es un vector real. En 2008, Dan Kaminsky demostró que cualquier resolver del planeta podía ser envenenado en minutos. La industria aceleró el despliegue de DNSSEC como respuesta.

DNSSEC no cifra el tráfico DNS —eso lo hace DoH o DoT— sino que firma criptográficamente los registros. El resolver puede verificar que la respuesta viene del dueño legítimo del dominio y no fue alterada.

Cómo funciona la cadena de confianza

DNSSEC funciona como un árbol de confianza que parte desde la raíz de internet:

.  (root, firmado por ICANN)
└── .cl  (firmado por NIC.cl)
    └── asentic.cl  (firmado por tu proveedor DNS — Cloudflare en este caso)

Cada nodo del árbol publica un registro DS (Delegation Signer) que enlaza hacia la clave del nodo hijo. Cuando un resolver valida asentic.cl, sube por la cadena hasta la raíz y verifica que cada firma sea coherente.

Para que la cadena esté completa necesitas dos pasos:

1. Que tu zona esté firmada (Cloudflare lo hace automáticamente).
2. Que el registro DS de tu zona esté publicado en NIC.cl.

El segundo paso es el que la mayoría omite —o no sabe que tiene que hacer.

Paso 1: activar DNSSEC en Cloudflare

Cloudflare firma tu zona automáticamente en cuanto activas la opción.

1. Entra a dash.cloudflare.com y selecciona tu dominio.
2. Ve a DNS → Configuración (o busca la pestaña DNSSEC).
3. Haz clic en Habilitar DNSSEC.

Cloudflare genera el par de claves (KSK + ZSK, algoritmo ECDSA P-256 / algoritmo 13) y firma todos los registros de tu zona. Inmediatamente te muestra el registro DS que debes publicar en tu registrador:

Key Tag:     2371
Algorithm:   13 (ECDSA Curve P-256 with SHA-256)
Digest Type: 2 (SHA-256)
Digest:      F6F7FADC9C60B85F128FF3AE978FDB81...

Copia estos cuatro valores. Los necesitas para el siguiente paso.

Paso 2: publicar el DS en NIC.cl

NIC.cl gestiona todos los dominios .cl. Para publicar el DS:

1. Entra a clientes.nic.cl con tu cuenta de registrante.
2. Selecciona el dominio y, en la sección 4. Configuración Técnica, haz clic en el enlace (DNSSec) al pie del formulario.
3. En el diálogo Administración de llaves para DNSSec, elige tipo DS e ingresa la clave que Cloudflare generó.
4. Marca la casilla Publicar y confirma.

NIC.cl publica el DS en la zona .cl en un plazo de 24 a 72 horas. No envían notificación automática cuando queda activo —solo puedes verificarlo consultando directamente.

Cómo verificar que la cadena está activa

Una vez que NIC.cl publique el DS, la validación completa es verificable con herramientas estándar.

Verificación rápida desde terminal:

# DS publicado en la zona .cl
dig DS asentic.cl +short

# RRSIG presente en los registros (zona firmada)
dig A asentic.cl +dnssec +short

# Validación completa con cadena de confianza
delv @8.8.8.8 asentic.cl A +rtrace

Si la cadena está completa, delv responde con ; fully validated. Si el DS todavía no está publicado en .cl, el comando intenta buscarlo y devuelve vacío —la zona sigue firmada pero sin validación desde fuera.

Para consultar directamente si el DS ya aparece en NIC.cl antes de que propague a los resolvers públicos:

dig DS asentic.cl @a.nic.cl

Mientras el DS está pendiente, la respuesta muestra ANSWER: 0 con una sección AUTHORITY (SOA). Cuando queda publicado, ANSWER: 1 incluye el registro DS.

Verificador online: DNSSEC Analyzer de Verisign Labs (dnssec-analyzer.verisignlabs.com) muestra el estado de cada eslabón de la cadena en verde o rojo.

Qué pasa mientras esperas la publicación

Mientras NIC.cl procesa el DS, tu zona ya está firmada. Los registros incluyen firmas RRSIG que los resolvers con validación DNSSEC pueden verificar si tienen el DS por otro medio. En la práctica, esto es transparente para los usuarios: sin el DS en .cl, los resolvers simplemente ignoran las firmas (modo insecure, no bogus) y el tráfico funciona con normalidad.

El riesgo de la transición es mínimo. Una vez que el DS queda publicado, los resolvers con validación activa —los de ISPs modernos, Google, Cloudflare, etc.— empiezan a verificar la cadena en cada consulta.

Por qué vale la pena

DNSSEC es especialmente relevante para:

• Correo electrónico: los registros MX firmados impiden redirigir tu correo a un servidor atacante. Complementa bien a DMARC y MTA-STS.
• Confianza en subdominios: los registros de vpn.asentic.cl, mail.asentic.cl y similares también quedan protegidos.
• Señal de postura de seguridad: para empresas que participan en licitaciones o procesan datos sensibles, DNSSEC bien configurado es un indicador verificable externamente.

La activación es un proceso de media hora. El costo operativo después es cero: Cloudflare rota las claves automáticamente y NIC.cl mantiene el DS vigente.

El ataque no requirió hackear ningún servidor. No hubo contraseña robada ni CVE. El atacante simplemente compró el dominio, esperó, y aprovechó que decenas de miles de sitios confiaban ciegamente en lo que ese CDN decidiera enviarles.

Un atributo HTML que nadie había agregado — integrity — habría bloqueado el ataque en todos esos sitios antes de que el primer byte malicioso se ejecutara.

Qué es Subresource Integrity

Cuando cargas un script o stylesheet desde un CDN externo, el browser descarga el archivo y lo ejecuta. No sabe si ese archivo es el mismo que el desarrollador originalmente referenció, ni si fue modificado en tránsito o en origen. Confía.

Subresource Integrity (SRI) cambia eso. Es un mecanismo del browser que te permite declarar, en tu propio HTML, un hash criptográfico del recurso que estás cargando. Antes de ejecutar cualquier código, el browser calcula el hash del archivo recibido y lo compara con el que declaraste. Si no coinciden, bloquea la ejecución y lanza un error de integridad. No hay forma de eludir esto desde el servidor externo — el control queda en tu HTML.

Cómo se ve en código

Sin SRI:

<script src="https://cdn.proveedor.com/jquery-3.7.1.min.js"></script>

Con SRI:

<script
  src="https://cdn.proveedor.com/jquery-3.7.1.min.js"
  integrity="sha384-1H217gwSVyLSIfaLxHbE7dRb3v4mYCKbpQvzx0cegeju1MVsGrX5xXxAvs/HgeFs"
  crossorigin="anonymous">
</script>

Dos atributos:

• integrity: el algoritmo (sha256, sha384 o sha512) seguido de un guión y el hash en Base64 del contenido esperado. SHA-384 o SHA-512 son los recomendados hoy.
• crossorigin="anonymous": necesario para que el browser aplique CORS y tenga acceso al contenido del recurso para verificarlo. Sin este atributo, SRI no funciona aunque declares el hash.

Lo mismo aplica para <link rel="stylesheet">:

<link
  rel="stylesheet"
  href="https://cdn.proveedor.com/bootstrap-5.3.3.min.css"
  integrity="sha384-QWTKZyjpPEjISv5WaRU9OFeRpok6YctnYmDr5pNlyT2bRjXh0JMhjY6hW+ALEwIH"
  crossorigin="anonymous">

Cómo se genera el hash

No tienes que calcularlo a mano. Tres opciones:

Opción 1 — línea de comando (en cualquier sistema con openssl o shasum):

curl -s https://cdn.proveedor.com/jquery-3.7.1.min.js \
  | openssl dgst -sha384 -binary \
  | openssl base64 -A

El resultado lo pegas después de sha384-.

Opción 2 — generador web oficial de SRI Hash Generator (srihash.org): pegás la URL, elige el algoritmo, y te entrega el atributo integrity listo para copiar.

Opción 3 — el CDN mismo: cdnjs.com, jsDelivr y Bootstrap CDN ya muestran el hash SRI en su interfaz junto al código de embed. Si copiás desde ahí, ya viene incluido.

Qué bloquea y qué no

SRI protege contra:

• CDN comprometido (el caso polyfill.io): si el proveedor modifica el archivo, el hash deja de coincidir y el browser bloquea.
• Ataque man-in-the-middle en la conexión al CDN: si alguien intercepta la respuesta y modifica el contenido en tránsito, el hash falla.
• Errores silenciosos de versión: si el CDN sirve una versión diferente a la que esperabas (accidental o malicioso), lo detectas de inmediato.

SRI no protege contra:

• Scripts cargados dinámicamente en runtime (con document.createElement('script')): SRI solo cubre atributos declarados estáticamente en el HTML.
• Recursos de tu propio dominio: SRI es para terceros. Tus propios archivos los controlás vos.
• XSS: si hay inyección XSS en tu página, el atacante puede inyectar un <script> nuevo sin integrity. SRI no es sustituto de CSP ni de sanitización de input.
• El recurso de primer partido (tu propio HTML): SRI cubre los recursos que tu página carga, no el HTML en sí.

El atributo crossorigin importa más de lo que parece

Un error frecuente: agregar integrity pero olvidar crossorigin="anonymous". El resultado es que el browser no puede verificar el hash (por restricciones CORS) y, dependiendo del browser y de si la URL es HTTPS o no, puede comportarse de formas inconsistentes — desde ignorar el atributo hasta bloquear el recurso igual.

La regla es simple: si usás integrity, siempre agregá crossorigin="anonymous". Son inseparables.

Implementación en WordPress

WordPress es el CMS más frecuente entre los sitios que detectamos con JS-SRI-MISSING. Los scripts de jQuery, el loader de Google Fonts, Slick Slider y docenas de plugins se cargan desde CDNs externos sin SRI.

La forma más prolija de implementarlo en WordPress es enganchar el filtro script_loader_tag:

// En functions.php de tu tema hijo
add_filter('script_loader_tag', function($tag, $handle, $src) {
    $sri_map = [
        'jquery'   => 'sha384-1H217gwSVyLSIfaLxHbE7dRb3v4mYCKbpQvzx0cegeju1MVsGrX5xXxAvs/HgeFs',
        'slick-js' => 'sha384-xxxxxxxxxxxxxxxx',
    ];
    if (isset($sri_map[$handle])) {
        $hash = $sri_map[$handle];
        $tag = str_replace(
            "src='$src'",
            "src='$src' integrity='sha384-{$hash}' crossorigin='anonymous'",
            $tag
        );
    }
    return $tag;
}, 10, 3);

Atención con versiones: SRI vincula el hash a una versión exacta del archivo. Si tu plugin actualiza jQuery de 3.7.1 a 3.7.2, el hash deja de coincidir y el script se bloquea. Tenés que mantener el mapa actualizado cada vez que cambia una versión. Por eso la implementación práctica es:

1. Identifica los scripts de CDNs externos que no controlás.
2. Fija las versiones en tu functions.php (deshabilitá actualizaciones automáticas para esas dependencias o hacelas manualmente).
3. Generá el hash por versión y guardalo en el mapa.
4. Cada vez que actualizás una librería, regenerás el hash.

Para plugins de terceros que cargan sus propias dependencias de CDN, revisá si el plugin tiene soporte SRI nativo (algunos ya lo implementan) o si podés desencolar su script y reencolar el tuyo con SRI.

Qué detecta FreeScan

El scanner JS-SRI-MISSING de FreeScan analiza el HTML de tu sitio e identifica tags <script src="..."> y <link rel="stylesheet" href="..."> que:

1. Cargan desde un dominio diferente al tuyo (recursos de terceros).
2. No tienen atributo integrity declarado.

Para cada recurso encontrado, el informe indica el dominio de origen y el tipo de tag. El hallazgo se clasifica como Media porque la explotabilidad depende de que el CDN sea comprometido — no es algo que un atacante externo pueda disparar directamente contra vos, pero el impacto cuando ocurre es total.

El fix es directamente aplicable: generás el hash del recurso actual y agregás el atributo. El trabajo es de minutos por recurso.

Un patrón concreto que vemos seguido

El caso más frecuente en sitios chilenos que pasaron por FreeScan: jQuery cargado desde code.jquery.com o cdnjs.cloudflare.com sin SRI. jQuery en particular es un blanco de alta rentabilidad para atacantes — presente en millones de sitios, acceso al DOM completo, historial de vulnerabilidades. Si tu CDN de jQuery queda comprometido (o simplemente responde de forma distinta en un A/B test que salió mal), SRI es lo único que te protege antes de que el código llegue al browser de tus usuarios.

El segundo caso más frecuente: Google Fonts. Técnicamente es menos riesgoso (son solo estilos, no ejecutan código), pero el principio es el mismo.

La línea de defensa de SRI es corta — dos atributos, un hash que calculás una vez — y actúa en el único momento en que todavía podés parar el ataque: antes de que el código se ejecute. El incidente de polyfill.io de 2024 mostró que los CDNs de terceros pueden cambiar de propietario, de política o de contenido sin aviso. Lo que no podés controlar en el origen, al menos podés verificarlo en destino.

La respuesta corta: no. Pero la confusión es completamente razonable — todos se venden bajo el paraguas de “ciberseguridad” y todos producen informes. La diferencia está en qué miran, desde dónde miran y para quién está escrito el resultado.

Esta nota explica la distinción en palabras que no requieren saber qué es un puerto TCP.

Qué hace un scanner de red como Nessus u OpenVAS

Nessus, OpenVAS, Qualys y Nmap son herramientas de evaluación de infraestructura de red. Su función principal es:

1. Conectarse a tu red interna (o que alguien con acceso lo haga).
2. Descubrir qué servidores, equipos e impresoras están encendidos.
3. Verificar qué servicios están escuchando en cada puerto (web, email, bases de datos, VPN, etc.).
4. Cruzar las versiones detectadas contra una base de datos de vulnerabilidades conocidas — el equivalente a decir “tu servidor corre Apache 2.2.3 y esa versión tiene este CVE desde 2019”.

El resultado es típicamente una lista de cientos de hallazgos técnicos, ordenados por severidad, con identificadores CVE, puntajes CVSS y recomendaciones del tipo “actualizar de la versión X a la Y”. Es información precisa y valiosa — para el equipo de TI que tiene que ejecutar los parches.

Para un gerente general, un director de operaciones o un responsable de cumplimiento, ese reporte es literalmente ilegible sin traducción.

Hay otro límite igual de importante: esas herramientas necesitan acceso a tu red interna. No pueden ejecutarse desde afuera sin credenciales o agentes instalados. Miran adentro — lo que tú tienes en tu infraestructura privada.

El flanco que no miran

Mientras las herramientas de red auditan lo que pasa dentro de tu perímetro, hay una superficie completamente distinta que está expuesta por definición: todo lo que publicas en internet.

Tu sitio web, los headers que entrega tu servidor, cómo está configurado tu correo, qué scripts externos cargas en tus páginas, si tus subdominios apuntan a servicios que ya no existen — todo eso es visible para cualquier persona con un browser y un poco de curiosidad. No requiere acceso a tu red. No requiere credenciales. Está ahí, todo el tiempo, esperando que alguien lo revise.

Es exactamente ese flanco el que evalúa FreeScan.

Qué evalúa FreeScan y cómo se ve el resultado

FreeScan analiza tu dominio desde afuera, como lo haría un investigador de seguridad o un atacante en fase de reconocimiento. No se conecta a tu red interna, no necesita agentes, no requiere que abras ningún puerto. Sólo necesitas verificar que eres el dueño del dominio.

El informe que produce no está dirigido al equipo técnico que tiene que parchear servidores. Está dirigido a quien tiene que decidir qué arreglar primero y explicarle el estado de seguridad a un directorio o a un auditor.

Veamos cómo se ve en la práctica con el informe de un dominio real — www.asentic.cl, nuestro propio sitio.

El resumen ejecutivo

Lo primero que aparece en el informe es una calificación directa:

Una letra. Un número. Cuatro hallazgos que requieren acción, diez que son información de contexto. Cualquier gerente puede leer eso en diez segundos y saber si hay algo urgente.

En Nessus, el equivalente sería una tabla con 200 filas con columnas CVSS, CVE-ID, Plugin ID, Risk Factor. Ambas representaciones son correctas — para sus respectivas audiencias.

Un hallazgo, con todo su contexto

Los hallazgos en FreeScan no son sólo una línea. Cada uno incluye descripción del riesgo real, el activo afectado, recomendación concreta y, relevante para esta nota, el mapeo a marcos regulatorios.

Ese hallazgo tiene cero CVEs. No aparecería en Nessus. No es una vulnerabilidad de software con parche disponible — es una decisión de configuración que deja tu correo sin protección. Y es exactamente el tipo de riesgo que queda en el punto ciego de los scanners de red.

El mapa de cumplimiento normativo

Aquí está la diferencia más práctica para quien debe reportar a un directorio, a un auditor externo o demostrar cumplimiento ante un cliente corporativo.

FreeScan cruza cada hallazgo contra seis marcos de cumplimiento simultáneamente: ISO 27001:2022, Ley 21.719 de Protección de Datos Personales, RGPD, NIST CSF 2.0, OWASP ASVS 5.0 y PCI DSS 4.0.1. El resultado es una tabla de preparación instantánea:

Esa tabla lleva a un directorio en cinco minutos de presentación. No requiere traducción técnica. Si tu sitio o tu organización está en proceso de certificación ISO 27001 y un hallazgo toca el control A.8.26, el área de cumplimiento sabe exactamente dónde registrarlo.

Ningún scanner de red genera esto. No porque sea incapaz técnicamente, sino porque no es su función — ellos reportan para el equipo de infraestructura, no para el área de cumplimiento.

La comparación directa

Si tienes que explicarle la diferencia a alguien en una frase:

Nessus y OpenVAS revisan si las paredes de tu edificio tienen grietas estructurales. FreeScan revisa si la vidriera está limpia, si el letrero de horario es correcto, si la puerta tiene cerrojo visible y si el local cumple la normativa de accesibilidad — todo desde la vereda, sin necesidad de entrar.

Ambas evaluaciones son válidas y necesarias. Se complementan, no se reemplazan.

La tabla práctica:

Cuándo usar cada uno

Usa Nessus / Qualys / OpenVAS cuando: - Necesitas auditar tu infraestructura interna (servidores, VMs, equipos de red). - Tu equipo de TI tiene que priorizar parches de software. - Estás en proceso de certificación que requiere escaneo de vulnerabilidades de red (algunos frameworks de PCI DSS lo exigen explícitamente para la red interna). - Tienes un CISO o equipo de seguridad que consume y actúa sobre reportes técnicos.

Usa FreeScan cuando: - Quieres saber qué ve alguien de afuera antes de que te llamen para decirte que algo está mal. - Tienes que presentarle el estado de seguridad a un directorio sin aburrirlos con CVEs. - Necesitas demostrar preparación ante ISO 27001, Ley 21.719 o un auditor de cliente corporativo. - Tu área de seguridad es una persona, no un equipo — o directamente no tienes área de seguridad. - Cambiaste algo en tu sitio y quieres verificar que no abriste un hueco sin darte cuenta.

Lo que FreeScan no hace (y es importante saberlo)

Ser honesto sobre los límites es parte de la propuesta: FreeScan es una evaluación de la superficie externa. No:

• Audita tu red interna ni tus servidores por dentro.
• Detecta vulnerabilidades en el código fuente de tu aplicación (eso requiere SAST o una revisión de código).
• Reemplaza un pentest manual donde un especialista intenta explotar activamente los hallazgos.
• Verifica si tus empleados caen en phishing (eso requiere simulaciones de ingeniería social).

Esos son servicios distintos, con metodologías distintas. Lo que FreeScan sí hace es darte en menos de un minuto una foto objetiva de lo que cualquier persona puede ver de tu organización desde internet — con el contexto normativo que necesitas para priorizar y reportar.

¿Quieres ver cómo quedaría el informe de tu dominio? Puedes solicitarlo en scan.asentic.cl. Si tienes preguntas sobre qué evaluar primero según tu industria o marco regulatorio, escríbenos.

DMARC protege quién dice que manda el correo. MTA-STS protege cómo viaja ese correo hasta llegar a tu buzón. Son capas distintas del mismo problema.

La pila completa de seguridad del correo

Antes de entrar al detalle, un mapa rápido de lo que cubre cada control:

El post anterior sobre DMARC cubre las primeras tres columnas en detalle. Acá nos enfocamos en MTA-STS y TLS-RPT — los dos controles que aparecen como hallazgo en la mayoría de los scans del FreeScan y que casi ninguna organización tiene configurados.

El problema: STARTTLS no es obligatorio

SMTP existe hace décadas, mucho antes de que TLS fuera obligatorio en cualquier cosa. Para agregar cifrado sin romper los servidores viejos, se inventó STARTTLS: una extensión que le dice al servidor receptor “¿soportas TLS? Si sí, actualicemos la conexión”.

El problema de fondo: STARTTLS es oportunista, no obligatorio. El servidor que envía el correo pregunta, pero si el receptor dice “no lo soporto” — o si alguien en el medio intercepta la negociación y responde “no” en nombre del receptor — la entrega se hace igual, en texto plano.

Ese ataque se llama STARTTLS downgrade. No requiere romper criptografía: sólo interceptar el banner de la negociación y responder que TLS no está disponible. El servidor emisor, cumpliendo con el protocolo, entrega en claro.

Desde una red controlada (un ISP comprometido, un operador que hace inspección de tráfico, un router corporativo con MITM activo), este ataque es trivial y completamente silencioso para ambas partes — el que envía y el que recibe.

MTA-STS: hacer TLS obligatorio en la entrega hacia tu dominio

MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) es el mecanismo que convierte TLS de oportunista a obligatorio para los servidores que entregan correo hacia ti.

El mecanismo funciona así:

1. Tu dominio publica un registro DNS que señala que tiene una política MTA-STS.
2. Esa política vive en un archivo accesible vía HTTPS (no DNS), lo que la ancla en TLS: si el DNS del dominio está envenenado, el servidor emisor falla porque no puede verificar la política por HTTPS.
3. Cuando un servidor externo va a entregarte correo, consulta esa política antes de conectarse.
4. Si la política dice enforce y la conexión TLS no puede establecerse correctamente, el servidor emisor rechaza la entrega en lugar de bajar a texto plano.

Componente 1: el registro DNS

Un TXT record en _mta-sts.<tu-dominio>:

_mta-sts.organizacion-ejemplo.cl. IN TXT "v=STSv1; id=20260515T120000"

El campo id= es un identificador de versión que el servidor emisor usa para saber si su política en caché sigue siendo vigente. Cámbialo cada vez que actualices el archivo de política — un timestamp en formato YYYYMMDDTHHmmss funciona bien. Si el id no cambió, el servidor usa su caché; si cambió, re-descarga el archivo.

Componente 2: el archivo de política

El archivo vive en https://mta-sts.<tu-dominio>/.well-known/mta-sts.txt — sí, un subdominio mta-sts con un certificado TLS válido. Ese HTTPS es la parte que ancla el mecanismo: un atacante que envenene el DNS no puede redirigir la descarga del archivo si no tiene un cert válido para mta-sts.organizacion-ejemplo.cl.

Contenido del archivo:

version: STSv1
mode: enforce
mx: mail.organizacion-ejemplo.cl
mx: *.organizacion-ejemplo.cl
max_age: 604800

Parámetros:

• version: STSv1 — obligatorio, primer campo.
• mode: — el campo más importante. Tres valores:
• testing — los fallos se reportan (si hay TLS-RPT) pero no bloquean la entrega. Equivale al p=none de DMARC: visibilidad sin protección.
• enforce — un fallo TLS bloquea la entrega. La entrega en texto plano queda prohibida.
• none — desactiva la política. Útil para retirarla gradualmente.
• mx: — patrón de los MX records autorizados. El servidor emisor verifica que el cert TLS del servidor receptor cubra alguno de estos patrones. Uno o más valores, uno por línea.
• max_age: — segundos que el servidor emisor puede cachear la política. 604800 = 7 días. Máximo recomendado: 31557600 (1 año) en producción estable.

El subdominio mta-sts

El servidor que sirve el archivo HTTPS necesita:

1. Un A/AAAA record para mta-sts.organizacion-ejemplo.cl.
2. Un certificado TLS válido (no self-signed) que cubra ese hostname.

La mayoría de organizaciones con Cloudflare lo configuran como un Worker o una Page Function; las que tienen control del servidor simplemente sirven el archivo estático desde el mismo servidor web con un virtual host dedicado.

Un archivo de política en testing primero, enforce después de 1-2 semanas sin incidentes reportados en los logs de TLS-RPT.

TLS-RPT: visibilidad sobre fallos en tránsito

TLS-RPT (RFC 8460) es el mecanismo de reporte que acompaña a MTA-STS. Cuando un servidor externo intenta entregarte correo y falla el TLS (por política MTA-STS, por cert inválido, por cualquier fallo de handshake), te manda un reporte JSON diario con el detalle de qué pasó.

Sin TLS-RPT, un ataque STARTTLS downgrade activo es invisible. Con TLS-RPT, los intentos de downgrade aparecen en los reportes como starttls-not-supported o validation-failure — señal de que alguien en el camino está interfiriendo.

El registro DNS

Un TXT record en _smtp._tls.<tu-dominio>:

_smtp._tls.organizacion-ejemplo.cl. IN TXT "v=TLSRPTv1; rua=mailto:tls-rpt@organizacion-ejemplo.cl"

El campo rua= apunta a donde quieres recibir los reportes. Puede ser un email, un endpoint HTTPS, o ambos separados por coma:

v=TLSRPTv1; rua=mailto:tls-rpt@organizacion-ejemplo.cl,https://report.organizacion-ejemplo.cl/tls-rpt

En la práctica, para la mayoría de organizaciones, un buzón dedicado alcanza. Los reportes llegan como JSON comprimido en gzip — menos legibles que un XML de DMARC, pero con información más accionable: cada falla incluye el tipo de error (certificate-expired, validation-failure, starttls-not-supported), la cantidad de mensajes afectados, y el MX servidor donde ocurrió.

El orden de configuración recomendado

1. Configura TLS-RPT primero — sólo el registro DNS, sin archivo de política. Así empiezas a recibir reportes sobre el estado actual del TLS hacia tus MX antes de tocar nada.

2. Despliega MTA-STS en modo testing — registro DNS + subdominio + archivo con mode: testing. Esto hace que los servidores que soportan MTA-STS te reporten fallos, pero sigan entregando aunque falle TLS. Equivale a p=none en DMARC.

3. Revisa TLS-RPT durante 1-2 semanas — ¿Hay fallos? ¿Son de cert mal configurado en uno de tus MX? ¿Son fallos transient de handshake? ¿O son starttls-not-supported que podrían indicar interferencia activa?

4. Cambia a mode: enforce — cuando los reportes muestren que el TLS funciona limpio y sin fallos inesperados. Actualiza el id= en el registro DNS para forzar la re-descarga del archivo.

DNSSEC: la capa que ancla el DNS

MTA-STS ya mitiga el riesgo de DNS poisoning para la política, porque el archivo de política lo descarga por HTTPS con cert verificado. Pero la cadena todavía empieza con un lookup DNS: si el registro _mta-sts en sí está envenenado para apuntar a otro servidor o simplemente devuelve NXDOMAIN, los servidores emisores no encuentran la política y pueden caer al comportamiento por defecto (STARTTLS oportunista).

DNSSEC firma criptográficamente los registros DNS del dominio, haciendo que cualquier respuesta manipulada sea detectable. No es el control más urgente — MTA-STS en enforce ya da protección sólida — pero cierra la cadena completa.

Para dominios .cl, DNSSEC está soportado por NIC.cl. La configuración varía según el registrar y el DNS autoritativo que uses.

Verificación rápida con dig

# Registro MTA-STS
dig +short TXT _mta-sts.organizacion-ejemplo.cl
# Esperado: "v=STSv1; id=..."

# Política en modo enforce
curl -s https://mta-sts.organizacion-ejemplo.cl/.well-known/mta-sts.txt
# Esperado: version: STSv1 / mode: enforce / mx: ...

# TLS-RPT
dig +short TXT _smtp._tls.organizacion-ejemplo.cl
# Esperado: "v=TLSRPTv1; rua=mailto:..."

# DNSSEC (buscar flags AD en la respuesta)
dig +dnssec TXT organizacion-ejemplo.cl | grep flags
# Esperado: flags: qr rd ra ad

El flag ad (Authenticated Data) en la respuesta de dig confirma que el resolver validó DNSSEC para ese nombre.

Cómo lo detecta el FreeScan

El Asentic FreeScan verifica los tres controles sobre cualquier dominio que escanees:

• EMAIL-MTA-STS-MISSING — Baja. El dominio no tiene registro _mta-sts o el archivo de política no es accesible. Sin MTA-STS el transporte SMTP hacia tus MX puede degradarse a texto plano sin que nadie lo note.
• EMAIL-TLS-RPT-MISSING — Info. No hay registro _smtp._tls. Los fallos de TLS en tránsito son invisibles; ni tú ni el servidor emisor tienen forma de saber que el cifrado falló.
• EMAIL-DNSSEC-MISSING — Baja. El dominio no publica registros DNSSEC. La cadena de confianza del DNS queda sin firma criptográfica; posible vector de envenenamiento de caché.

En los scans actuales, EMAIL-MTA-STS-MISSING y EMAIL-TLS-RPT-MISSING aparecen en más del 90% de los dominios analizados — incluyendo dominios con DMARC en p=reject correcto, lo que confirma que la implementación de email security se suele quedar incompleta en esa última capa.

Cierre

DMARC cierra el spoofing del From:. MTA-STS cierra el downgrade del transporte. TLS-RPT te da la visibilidad para saber cuándo algo falla en el camino.

Los tres controles juntos arman la pila completa. Sin MTA-STS, un atacante en el camino puede leer (o modificar) el correo que va hacia tu dominio, en silencio, aunque tengas DMARC en p=reject y todos los certificados en orden. Con MTA-STS en enforce y TLS-RPT activo, ese ataque produce un fallo visible y deja de ser silencioso.

La configuración completa toma menos de una hora: dos registros DNS, un subdominio con un archivo de texto, y un buzón donde recibir los reportes. El ratio esfuerzo/seguridad es de los mejores en toda la pila.

No lo son. Sin DMARC, un atacante puede mandar email desde cualquier servidor declarando que viene de tu dominio, y los mailbox providers no tienen instrucción clara de qué hacer con ese mensaje. Algunos lo dejan pasar a inbox, otros lo marcan como spam, otros lo bouncean — depende del provider, no de tu política.

DMARC cierra esa ambigüedad. Le dice a Google, Microsoft, Yahoo y al resto qué hacer cuando un mensaje falla SPF o DKIM, y te manda un reporte diario de qué pasó. Pero sólo si llegas a p=reject. Cualquier estado intermedio te da visibilidad sin protección efectiva.

El hueco que SPF y DKIM dejan abierto

Para que un mensaje pase SPF, el servidor que lo entregó debe estar listado en el TXT record v=spf1 ... de tu dominio. Para que pase DKIM, el header DKIM-Signature debe verificar contra la clave pública publicada en <selector>._domainkey.<dominio>.

Lo que ni SPF ni DKIM verifican por sí solos: que el From: que el destinatario ve coincida con el dominio cubierto por SPF/DKIM. Un atacante puede:

1. Mandar email desde su propio servidor, con su propio SPF válido para su dominio.
2. Firmar el mensaje con DKIM de su dominio.
3. Poner como From: cobranzas@organizacion-ejemplo.cl.

SPF pasa — su servidor está autorizado para SU dominio. DKIM pasa — la firma valida contra SU clave pública. Y el destinatario ve un correo aparentemente de organizacion-ejemplo.cl que pasó todos los checks de autenticación.

DMARC resuelve esto con un concepto que se llama alineación: exige que el dominio del From: (lo que el usuario ve) sea el mismo, o un subdominio, del dominio cubierto por SPF/DKIM (lo que se verificó técnicamente).

Si la alineación falla, DMARC dispara la política que tú definiste.

Las tres políticas y cuál te protege de verdad

v=DMARC1; p=none;       rua=mailto:dmarc@organizacion-ejemplo.cl
v=DMARC1; p=quarantine; rua=mailto:dmarc@organizacion-ejemplo.cl
v=DMARC1; p=reject;     rua=mailto:dmarc@organizacion-ejemplo.cl

Tres niveles, cada uno con un propósito distinto:

• p=none — recibes los reportes, pero no le dices al provider que haga nada. Si llega un email fraudulento que falla DMARC, el provider lo procesa como siempre. Esta política no te protege. Sirve sólo como modo observación para mapear tu propio tráfico legítimo antes de subir.

• p=quarantine — el provider debería poner el mensaje en spam. “Debería” porque Gmail/Outlook todavía aplican su propio criterio: un quarantine para un dominio con buena reputación puede igual aterrizar en inbox. Mejor que none, peor que reject.

• p=reject — el provider rechaza el mensaje en el SMTP, sin entregarlo. Es la única política que realmente cierra el spoofing.

La trampa común: organizaciones que llegan a p=none, ven los reportes, los archivan, y se quedan ahí por años pensando que están “implementando DMARC”. No. Hasta que no estés en p=reject, el spoofing sigue funcionando.

El camino seguro a p=reject

Saltar directo a p=reject es peligroso si tu organización manda email desde lugares que no controlas. SaaS de CRM, plataformas de newsletters, sistemas de facturación, ERPs en la nube — cada uno manda email diciendo ser tu dominio. Si no están alineados con tu SPF/DKIM, un p=reject los hace bounce silencioso.

El camino recomendado tiene cuatro etapas:

Etapa 1 — p=none con reportes activos

v=DMARC1; p=none; rua=mailto:dmarc@organizacion-ejemplo.cl; pct=100

Lo dejas 30 días. Durante esos 30 días recibes reportes XML diarios (uno por proveedor receptor: Google, Microsoft, Yahoo, etc.) listando todos los servidores que mandaron email a nombre de tu dominio.

Tu trabajo en esta etapa: identificar cada IP/host que aparezca y clasificarlo en “es legítimo” (tu sistema de email transaccional, tu CRM, tu plataforma de marketing) o “no lo reconozco” (spam, spoofing, ex-proveedor que no migraste).

Para cada sender legítimo no autorizado todavía: agrégalo a tu SPF o configura DKIM en ese servicio.

Etapa 2 — p=quarantine con pct gradual

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@organizacion-ejemplo.cl

pct=10 significa “aplica la política sólo al 10% de los mensajes que fallan; al resto sigue tratándolos como antes”. Es un canary deploy.

Lo subes gradualmente: 10 → 25 → 50 → 100 a lo largo de 2-4 semanas, verificando en cada paso que no aparezcan reportes de bounce de email legítimo.

Etapa 3 — p=quarantine; pct=100 estable

v=DMARC1; p=quarantine; rua=mailto:dmarc@organizacion-ejemplo.cl

Una o dos semanas en este estado. Sirve para detectar cualquier servicio que mande email muy esporádicamente — boletines mensuales, recordatorios trimestrales, encuestas anuales — que no apareció en las primeras 4-6 semanas de observación.

Etapa 4 — p=reject

v=DMARC1; p=reject; rua=mailto:dmarc@organizacion-ejemplo.cl; adkim=s; aspf=s

Ahora el spoofing está cerrado. adkim=s y aspf=s activan modo strict de alineación: el dominio debe matchear exacto, no un subdominio. Para la mayoría de organizaciones strict alignment está bien, pero verifica los reportes 1-2 semanas más después del flip por si algún sender depende de relaxed.

Cómo se ven los reportes RUA

Los reportes llegan diariamente a la dirección que pusiste en rua=. Cada provider receptor agrega los mensajes que recibió de tu dominio en un XML comprimido. Estructura típica:

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1715558400</begin>
      <end>1715644800</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>organizacion-ejemplo.cl</domain>
    <p>reject</p>
  </policy_published>
  <record>
    <row>
      <source_ip>185.211.x.x</source_ip>
      <count>3</count>
      <policy_evaluated>
        <disposition>reject</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>organizacion-ejemplo.cl</header_from>
    </identifiers>
  </record>
</feedback>

Procesar esto a mano es inviable cuando el volumen sube. Hay servicios SaaS que parsean los XML y te dan un dashboard (Postmark, dmarcian, Valimail). Para PYMEs el flujo “buzón dedicado + revisión semanal” alcanza durante los primeros meses.

Configuración del TXT

DMARC vive en un subdomain reservado: _dmarc.<tu-dominio>. En la zona DNS:

_dmarc.organizacion-ejemplo.cl. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@organizacion-ejemplo.cl; adkim=s; aspf=s"

Parámetros que vale la pena considerar:

• pct= (porcentaje) — útil sólo durante el ramp de quarantine. En reject final, omítelo (default es 100).
• adkim=s / aspf=s — modo strict. La alternativa r (relaxed) permite que mail.organizacion-ejemplo.cl aparezca como dominio firmante para emails con From: @organizacion-ejemplo.cl. Strict es más seguro; relaxed es más tolerante a subdomains organizacionales.
• sp= — política específica para subdomains. Si lo omites, hereda p=. Útil cuando tienes subdomains que no mandan email (la mayoría) — explicitar sp=reject cierra el spoofing de cualquier-cosa.organizacion-ejemplo.cl.
• fo=1 — forensic options. fo=1 dispara reporte cuando cualquier mecanismo falla (no sólo cuando ambos fallan). Más verbose, útil en troubleshooting.

El caso del subdomain olvidado

Un escenario que rompe muchas implementaciones: tu DMARC en organizacion-ejemplo.cl con p=reject está perfecto, pero alguien manda phishing desde noresponder.organizacion-ejemplo.cl o notificaciones.organizacion-ejemplo.cl — un subdomain que la organización nunca usa para email.

Sin sp= explícito, el provider hereda p= del apex y rechaza. Pero si en algún momento alguien puso sp=none “para no romper nada”, o si los subdomains tienen su propio _dmarc.<sub> con política más laxa, el atacante encuentra el hueco.

Revisa siempre que la zona no tenga un _dmarc.<algo>.organizacion-ejemplo.cl rezagado con p=none.

Cómo verificas

# Política del apex
dig +short TXT _dmarc.organizacion-ejemplo.cl

# Política de un subdomain específico (raro pero posible)
dig +short TXT _dmarc.notificaciones.organizacion-ejemplo.cl

# Validador externo (sintaxis + preview de comportamiento)
# https://dmarcian.com/dmarc-inspector/?domain=organizacion-ejemplo.cl

Lo importante en la respuesta: el primer token debe ser v=DMARC1; exacto. Errores comunes:

• "v=DMARC1, p=reject..." con coma en vez de punto y coma → registro inválido, equivale a no tenerlo.
• Múltiples TXT records con v=DMARC1 en el mismo nombre → los providers tratan como inválido y caen al default (p=none).
• rua= apuntando a un dominio externo sin autorización en su zona (_report._dmarc) → los providers ignoran el reporte por anti-abuso. Si quieres recibir reportes en otro dominio, ese dominio debe publicar <tu-dominio>._report._dmarc.<otro-dominio> autorizándote.

Cómo lo detecta el FreeScan

El Asentic FreeScan distingue cuatro estados:

• DMARC ausente — Media. El dominio no tiene _dmarc publicado; el spoofing está abierto.
• DMARC en p=none — Media. Hay política, pero no protege. Lo más común en sitios que “implementaron DMARC hace años y lo dejaron así”.
• DMARC en p=quarantine — Baja. Protección parcial; mejor que none, peor que reject.
• DMARC en p=reject sin sp= — Info. La protección del apex está, pero los subdomains pueden estar expuestos según herencia.

La distinción importa porque “tiene DMARC” en una auditoría no técnica oculta que el 70% del tiempo está en p=none y no protege nada.

Cierre

Llegar a p=reject toma 6-8 semanas si tu inventario de senders está claro, 3-6 meses si la organización tiene marketing automation, CRM, ERP y notificaciones transaccionales repartidas en múltiples SaaS.

Pero el día que estás en p=reject, el costo marginal para un atacante de mandar phishing con tu nombre sube de “trivial” a “imposible sin comprometer un servidor autorizado”. Para la mayoría de empresas chilenas mid-market, esa diferencia vale el esfuerzo del ramp.

Si tu dominio todavía está en p=none, ya tienes la mitad del trabajo hecho — el TXT publicado y los reportes llegando. Falta la parte que importa: subirlo.

Resultado: un atacante crea una cuenta en ese mismo proveedor SaaS, reclama exactamente el mismo nombre que tenía la app borrada, y ahora promo2024.organizacion-ejemplo.cl resuelve a un servidor controlado por él. Con TLS válido. En tu zona.

A esto se le llama subdomain takeover, y es una vulnerabilidad de impacto alto que vive en el espacio entre “responsabilidad de DevOps” y “responsabilidad del equipo que usa el SaaS”. Por eso suele quedar sin dueño.

El mecanismo, paso a paso

1. Tu zona DNS tiene un CNAME del tipo sub.organizacion-ejemplo.cl. → algo.saas.com.
2. El recurso en el SaaS se borra o expira (la app de Heroku, el bucket de S3, el sitio de Netlify, el subdomain de Shopify, etc.). El CNAME en tu zona queda apuntando a un nombre que ya no existe en ese SaaS.
3. El SaaS permite “claim” del nombre: cualquier usuario puede crear un recurso nuevo con ese mismo subdomain interno. La mayoría de proveedores no valida que tú seas el dueño del CNAME que apunta hacia ahí.
4. El atacante reclama el nombre. Su recurso ahora responde cuando alguien resuelve sub.organizacion-ejemplo.cl → CNAME a algo.saas.com → el contenido del atacante.
5. Heredás la URL completa: tu nombre, en tu dominio, con TLS válido (porque muchos SaaS proveen cert automático para el hostname configurado), con la confianza acumulada de la zona.

El atacante puede ahora:

• Servir un sitio de phishing con tu marca y URL legítima.
• Robar cookies con dominio .organizacion-ejemplo.cl (si tu apex setea cookies sin Path estricto).
• Ejecutar JS bajo el mismo origen que cualquier app que importe scripts desde ese subdomain.
• Setear meta-tags arbitrarios y aparecer en SEO como tu sitio oficial.
• Recibir emails enviados a *@sub.organizacion-ejemplo.cl si setea MX (escenario más raro pero posible).

Dónde pasa más seguido

Cualquier SaaS que use CNAME a hostnames internos y permita claim libre. La lista cambia con el tiempo — muchos proveedores arreglaron el bug exigiendo verificación de ownership — pero a 2026 los patrones más comunes siguen siendo:

• Heroku — *.herokuapp.com para apps borradas.
• GitHub Pages — repos archivados o borrados sin quitar el CNAME del custom domain.
• AWS S3 / CloudFront — buckets sin verificación de ownership.
• Azure — App Service, Blob Storage, Traffic Manager, Front Door.
• GCP — Cloud Storage, App Engine, Firebase Hosting, Cloud Run.
• Vercel / Netlify — proyectos eliminados con CNAME residual.
• Shopify, Webflow, Pantheon, Fastly, Tumblr, WordPress.com — el patrón se repite en hosting tipo SaaS.

Cada proveedor tiene un “fingerprint” — texto en la respuesta HTTP que indica “este nombre no está reclamado”. Por ejemplo, GitHub Pages devuelve "There isn't a GitHub Pages site here.", Heroku devuelve "No such app". Herramientas de detección como subjack y takeover usan exactamente esa lista.

Cómo verificas tu zona

Manual, para un subdominio puntual

# 1) ¿el sub tiene CNAME?
dig +short CNAME sub.organizacion-ejemplo.cl

# 2) ¿resuelve a una IP?
dig +short A sub.organizacion-ejemplo.cl

# 3) ¿qué responde el destino?
curl -sI https://sub.organizacion-ejemplo.cl/
curl -s https://sub.organizacion-ejemplo.cl/ | head -20

Las señales rojas:

• Hay CNAME, pero dig A no resuelve a nada → posible NXDOMAIN del target.
• El HTTP responde con uno de los strings conocidos del SaaS ("No such app", "There isn't a GitHub Pages site here", etc.).
• El cert TLS no matchea el hostname (otro caso, llamado dangling IP recycled — un IP que era tuyo ahora es de otro tenant).

A escala, para todo el dominio

Inventario de subdominios desde CT logs:

curl -s 'https://crt.sh/?q=%25.organizacion-ejemplo.cl&output=json' \
  | jq -r '.[].name_value' \
  | tr ',' '\n' | sort -u > subs.txt

Después corrés algo como subjack contra esa lista. Lo importante: el inventario debe rehacerse seguido, porque CT logs solo te dan dominios que tuvieron cert TLS en algún momento, y los CNAME a SaaS típicamente disparan eso (los SaaS auto-provisionan TLS).

La parte que más cuesta: prevención

La detección es relativamente fácil. Lo difícil es que el patrón no reaparezca, y eso requiere disciplina organizacional, no técnica.

Regla operativa: DNS first on creation, DNS last on retirement

• Cuando creas un subdomain apuntando a un SaaS: documenta quién es el dueño, en qué proyecto vive, y cuándo se revisará.
• Cuando vas a retirar un servicio: primero borras el DNS, después borras el recurso en el SaaS. Si lo haces al revés (borras el recurso, dejas el DNS), creas exactamente la ventana de oportunidad.

Inventario versionado

Tu zona DNS debería estar en git, o al menos exportarse periódicamente a un repo. Cualquier CNAME hacia un host externo necesita un comentario que diga para qué servicio es y quién lo creó. Si nadie reconoce el CNAME, candidato a borrar.

Verificación de ownership en el SaaS, cuando exista

Varios proveedores hoy permiten “domain verification” — un TXT record en tu zona que prueba que tú eres el dueño. Si el SaaS lo soporta, actívalo. Eso bloquea el claim externo aunque el CNAME quede huérfano.

Monitoreo continuo, no auditoría puntual

Una auditoría manual cada 6 meses NO sirve. El CNAME huérfano puede aparecer mañana y ser reclamado pasado mañana. La detección efectiva es diaria, automatizada, con alerta al equipo de seguridad cuando aparece un nuevo huérfano.

Es exactamente el problema que nos llevó a construir el Dangling Monitor de Asentic — auto-descubre subdominios desde CT logs, clasifica cada uno en 5 estados (healthy, dangling-cname-nxdomain, dangling-cname-saas-claimable, dangling-ip-recycled, dangling-ns) y alerta cuando aparece uno nuevo o cuando uno existente cambia de estado. El servicio corre como monitoreo continuo con cadencia diaria y entrega los hallazgos por email.

Los patrones más comunes en la industria

Las publicaciones de hallazgos en programas de bug bounty y los reportes de la industria muestran que los takeovers documentados siguen unos pocos patrones recurrentes, independientes del sector de la organización afectada:

• Microsites de campaña sobre hostings SaaS de corta vida. Subdominios tipo evento-2019.organizacion-ejemplo.cl o promo-fin-de-anio.organizacion-ejemplo.cl apuntando a un hosting tipo Heroku, Netlify o Vercel. La app se borra cuando termina la campaña; el CNAME permanece. Años después el nombre interno queda disponible para que cualquier cuenta lo reclame.
• Storefronts retirados sobre plataformas de e-commerce. CNAMEs hacia tiendas que se desactivaron al consolidar el catálogo en un dominio principal. El proveedor permite que otro merchant active el mismo subdominio si nadie verificó el ownership.
• Documentación técnica sobre GitHub Pages. Repos archivados por ex-colaboradores en cuentas personales (no organizacionales), que el proveedor termina eliminando por inactividad. El CNAME custom domain en la zona corporativa sobrevive al repo.

El denominador común en todos los casos: nadie en la organización tenía registro de que ese CNAME existía. No es un problema técnico — es un problema de inventario y trazabilidad.

Cierre

Si tu zona DNS tiene más de 20 subdominios y nunca corriste un check de takeover, asume que tienes al menos uno. La probabilidad sube con cada equipo que usa SaaS sin coordinación con seguridad — marketing, eventos, dev, customer success.

La detección manual te resuelve el problema de ahora. La detección continua te lo resuelve para siempre.

Es el control que cierra el último hueco que dejó la migración a HTTPS: el primer http:// que un usuario tipea o que un link viejo apunta. Sin HSTS, ese primer request va en claro y puede ser interceptado para hacer downgrade (TLS stripping).

El problema: HSTS es pegajoso. Una vez que un browser lo memoriza, no hay forma práctica de bajarse rápido si te equivocaste. Por eso vale la pena entender qué activas antes de pegarlo.

Anatomía del header

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Tres piezas, cada una con su trade-off:

• max-age=63072000 — segundos que el browser memoriza la política. 63072000 = 2 años. Lo mínimo razonable para producción es 6 meses (15552000). Menos de eso es práctica de “estoy probando”.
• includeSubDomains — extiende la regla a TODOS los subdominios del host actual. Es lo que sube la postura de “tu apex está protegido” a “tu zona DNS entera está protegida”.
• preload — declara intención de aparecer en la HSTS preload list. Los browsers traen esa lista hardcoded; tu sitio queda protegido antes del primer request. Es la única forma de cerrar el “primer-request gap” del 100%.

La trampa de includeSubDomains

Este es el campo que más se equivoca. Implica que cualquier subdominio bajo tu zona también va a forzarse a HTTPS.

Escenario típico que rompe sitios en producción:

• organizacion-ejemplo.cl está en HTTPS con cert válido. Se le activa HSTS con includeSubDomains.
• La misma zona tiene un legacy.organizacion-ejemplo.cl viejo, sin cert, sirviendo un sitio interno por HTTP plano (intranet, monitoreo Grafana, lo que sea).
• A partir del primer visit a organizacion-ejemplo.cl, ese mismo browser ya no puede entrar a legacy.organizacion-ejemplo.cl por HTTP. Y como no tiene cert TLS, tampoco por HTTPS. El subdominio queda inalcanzable hasta que el max-age expire.

La lógica defensiva es la correcta — un atacante que controle DNS del subdominio podría exfiltrar cookies del apex si HSTS no aplicara a subs. Pero en práctica te tomas el tiempo de inventariar todos tus subs antes de activar la regla.

El camino seguro: aumentar gradualmente

La receta recomendada:

Paso 1 — max-age corto, sin includeSubDomains, sin preload

Strict-Transport-Security: max-age=300

Cinco minutos. Si rompes algo, en 5 minutos los browsers olvidan. Lo dejas 24-48 horas en producción para verificar que el apex realmente sirve TLS bien (no hay request mixto, no hay redirect-loop, todo funciona).

Paso 2 — max-age 6 meses, sin includeSubDomains todavía

Strict-Transport-Security: max-age=15552000

Lo dejas 1-2 semanas. Esto ya te da la protección real para el apex.

Paso 3 — Inventario de subdominios + decisión sobre includeSubDomains

Antes de agregarlo, listá todos tus subs:

dig +short NS organizacion-ejemplo.cl
dig +short ANY organizacion-ejemplo.cl
# o consulta los CT logs:
curl -s 'https://crt.sh/?q=%25.organizacion-ejemplo.cl&output=json' | jq -r '.[].name_value' | sort -u

Para cada uno, verifica:

• ¿Sirve HTTPS con cert válido?
• ¿Es un subdominio “vivo” o queda DNS huérfano? (los huérfanos no importan para HSTS, pero deberías limpiarlos por otras razones).
• ¿Hay alguno que SÓLO sirva HTTP por diseño? (intranets viejas, dashboards internos sin TLS).

Si todos sirven HTTPS bien, agregas includeSubDomains. Si hay alguno HTTP-only, primero lo migras a HTTPS o lo retiras del DNS.

Strict-Transport-Security: max-age=15552000; includeSubDomains

Una semana más en este estado.

Paso 4 — max-age 2 años + preload

Cuando ya estás seguro de que todo el ecosistema soporta TLS y quieres cerrar el primer-request gap:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Submitís el dominio en hstspreload.org. Toma 1-3 meses entrar en la próxima release de Chromium, después Firefox/Safari/Edge la heredan.

Importante: una vez en la preload list, salir es lento. Solicitar la remoción puede tomar meses y los browsers viejos pueden quedarte preloaded por años. No actives preload mientras dudes.

Config en Apache

Vía .htaccess o vhost

<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
</IfModule>

El flag always es importante: sin él, Apache aplica el header solo en respuestas 200; con always también lo manda en 30x/40x/50x, donde tradicionalmente se “olvida” — y es justamente en un 301 HTTP→HTTPS donde más útil resulta.

Redirect 301 obligatorio antes

HSTS asume que tu sitio responde por HTTPS. El redirect HTTP→HTTPS debe estar antes:

<VirtualHost *:80>
    ServerName organizacion-ejemplo.cl
    ServerAlias www.organizacion-ejemplo.cl
    Redirect permanent / https://organizacion-ejemplo.cl/
</VirtualHost>

O en .htaccess:

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

El header HSTS debe servirse desde HTTPS (los browsers ignoran HSTS recibido por HTTP), así que el vhost :443 es el que lleva el Header always set.

Detrás de Cloudflare

Si estás detrás de CF (o cualquier CDN), tienes dos opciones para servir HSTS:

1. Del origen: Apache pone el header, CF lo deja pasar. Pro: una sola fuente de verdad. Contra: si tu origen alguna vez se sirve directo (CF bypass), el header sigue saliendo.
2. Del edge (CF dashboard): CF inyecta el header. Pro: aunque tu origen se sirva en HTTP por algún motivo, CF te cubre. Contra: si migras de CDN o quitas CF, pierdes el header sin enterarte.

En la práctica, ambos: el origen lo manda Y CF lo refuerza. Cloudflare detecta duplicados y deja uno solo.

Cómo verificas

Antes de pegarlo en producción

# verifica que el sitio sirve HTTPS bien
curl -sI https://organizacion-ejemplo.cl/ | grep -i "strict-transport"

# verifica que ningún subdominio queda HTTP-only:
for sub in www app api blog dashboard mail; do
  echo "--- $sub.organizacion-ejemplo.cl ---"
  curl -sI --max-time 5 https://$sub.organizacion-ejemplo.cl/ 2>&1 | head -1
done

Después de pegarlo

# debería verse el header completo
curl -sI https://organizacion-ejemplo.cl/ | grep -i "strict-transport"
# Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

# verifica que el redirect 301 desde HTTP funciona
curl -sI http://organizacion-ejemplo.cl/ | head -5
# debería devolver 301 hacia https://...

Antes de submitir a preload

hstspreload.org hace los checks por ti: header presente, max-age suficiente, includeSubDomains, preload, redirect 301, cert válido, subdominios accesibles por HTTPS. Si fallas algún check, te dice cuál — y mejor arreglarlo antes que después.

Salida de emergencia

Si pegaste HSTS y quieres revertir:

1. Antes de preload: bajá max-age a 0 (no quites el header). Los browsers que reciban max-age=0 borran la entrada. Tardás max-age original en cubrir a todos los visitantes que tuvieron la versión anterior.
2. Después de preload: hay que solicitar remoción en la HSTS preload list + esperar la siguiente release de Chrome (~6 semanas) + heredan los demás browsers (~3 meses) + los browsers viejos pueden quedarte protegidos por años. No hay rollback rápido.

Cómo lo detectamos en el FreeScan

El Asentic FreeScan reporta tres patrones distintos:

• HSTS ausente — Medium. El sitio funciona en HTTPS pero no protege el primer request.
• HSTS con max-age corto — Low. El header está, pero max-age < 6 meses te deja una ventana de exposición innecesaria.
• HSTS sin includeSubDomains o sin preload — Info. Eligible para subir la postura, no es un riesgo per se.

La distinción importa porque “no implementado” y “implementado pobre” se ven igual en una auditoría superficial, pero requieren acciones distintas.

Cierre

HSTS es de los headers con mejor ratio efecto/esfuerzo. La parte difícil no es el header en sí — son tres líneas de Apache — sino el inventario de subdominios que hay que hacer antes para no romper el ecosistema. Dedicarle un día a eso y migrar gradualmente vale el costo de la postura final.

Si tu sitio ya sirve HTTPS hace tiempo, lo más probable es que el camino al preload esté a una semana de distancia.

El problema: en WordPress muy pocas instalaciones la tienen bien configurada. Las dos rutas habituales son:

1. CSP ausente — nadie la puso, el sitio queda con la postura por defecto del browser.
2. CSP nominalmente puesta con default-src * o script-src 'self' 'unsafe-inline' 'unsafe-eval' — escrita para que “no rompa nada”, lo que en la práctica equivale a no tener CSP.

Este post es una receta concreta para llevar un WordPress real desde “sin CSP” hasta “CSP estricta funcional”, sin pasar por el infierno del soporte llamando porque el admin no carga.

Qué hace CSP, en 60 segundos

La política se envía como cabecera HTTP (Content-Security-Policy: ...) o como <meta>. Cada directiva define qué orígenes están autorizados para cargar un tipo de recurso:

• script-src 'self' — sólo JS del mismo origen.
• script-src 'self' https://www.googletagmanager.com — JS del mismo origen + GTM.
• script-src 'self' 'sha256-abc...' — JS del mismo origen + un script inline cuyo contenido tiene ese hash.
• script-src 'self' 'nonce-XYZ' — JS del mismo origen + scripts inline marcados con nonce="XYZ".

Cuando el browser ve un recurso que no encaja, lo bloquea y opcionalmente reporta. Mientras más estricta la política, mejor protege, pero también más fácil es que algo deje de funcionar. El truco está en saber qué relajar y qué mantener.

Por qué WordPress la rompe

WP es un campo minado para CSP por cinco razones, todas estructurales:

1. Inline scripts en el admin. El bloque wp-admin/ está lleno de <script> inline con configuración por request (nonces, userSettings, traducciones). Sin 'unsafe-inline' ni hashes/nonces, el panel deja de funcionar.
2. Plugins que inyectan inline. Yoast, Elementor, WooCommerce, RankMath, varios plugins de analítica y ads inyectan <script> inline con datos por request. El contenido cambia entre páginas — los hashes estáticos no sirven.
3. wp_add_inline_script y wp_localize_script. WordPress mismo expone APIs para que los plugins inyecten configuración inline. El core lo hace, los themes lo hacen.
4. jQuery y bundled libraries. WP bundlea jQuery, jQuery UI, Underscore, Backbone, etc. Si tu theme los usa con ?ver= cachebuster, vas a tener URLs ligeramente distintas por release.
5. CDNs de terceros. Google Fonts, Font Awesome, Bootstrap CDN, embeds (YouTube, Vimeo, Maps), pasarelas de pago, reCAPTCHA, livechat — todos suman orígenes externos.

La conclusión práctica: una CSP estricta para WordPress requiere conocer qué carga tu instalación específica. No hay una política universal copy-paste que funcione bien.

Estrategia: Report-Only primero, enforce después

El error más caro es publicar la CSP en modo enforcement sin medir antes. Si te equivocas, el sitio se cae para los visitantes (o peor: para los admins, y vuelves a quedar bloqueado tú).

El header Content-Security-Policy-Report-Only hace exactamente lo mismo pero sin bloquear. El browser sólo reporta las violaciones que habrían ocurrido. Con eso medimos durante 1-2 semanas qué se rompería con la política propuesta, y la ajustamos antes de enforcement.

Flujo recomendado:

1. Diseñar una política propuesta (más estricta de lo que crees que tolera el sitio).
2. Configurar un endpoint para recibir reports.
3. Publicar la política en modo Report-Only durante ~2 semanas.
4. Revisar los reports, ajustar la política para cubrir falsos positivos legítimos.
5. Pasar a enforce (Content-Security-Policy) cuando los reports queden estables.

Endpoint de reports

Lo mínimo: un script que reciba el JSON POST y lo escriba a log. Si no quieres mantener uno, report-uri.com ofrece un free tier suficiente. Para WordPress, un endpoint custom en un plugin propio basta:

add_action('rest_api_init', function () {
    register_rest_route('csp/v1', '/report', [
        'methods'  => 'POST',
        'callback' => function ($request) {
            $body = $request->get_body();
            error_log('[CSP] ' . $body, 3, WP_CONTENT_DIR . '/csp-reports.log');
            return new WP_REST_Response(null, 204);
        },
        'permission_callback' => '__return_true',
    ]);
});

Y en la cabecera: report-uri https://organizacion-ejemplo.cl/wp-json/csp/v1/report;. Para CSP 3, también: report-to csp-endpoint; con el grupo definido vía Report-To (más nuevo, no todos los browsers lo soportan aún — mantener ambos por un tiempo).

Identificar inline scripts legítimos

Para no caer en 'unsafe-inline', necesitas que los inline scripts que sí son legítimos pasen. Hay tres formas:

Hashes

'sha256-<base64>'. Funciona bien para bloques fijos, ejemplo: un <script type="application/ld+json"> con tu Schema.org. Mientras el contenido no cambie, el hash sirve.

Para calcular el hash de un bloque (Python):

import hashlib, base64
script = '...'  # contenido exacto entre <script>...</script>, sin las tags
print('sha256-' + base64.b64encode(hashlib.sha256(script.encode()).digest()).decode())

Limitación: si el bloque tiene cualquier cosa dinámica (timestamp, sessionId, nonce de form), el hash cambia por request y no sirve.

Nonces

'nonce-<aleatorio-por-request>'. WordPress puede emitir un nonce CSP en cada response, y los plugins que cooperan lo van pegando a sus inline scripts:

add_action('init', function () {
    if (!defined('CSP_NONCE')) {
        define('CSP_NONCE', base64_encode(random_bytes(16)));
    }
});

Y luego en el <script> que inyectas: <script nonce="<?php echo esc_attr(CSP_NONCE); ?>">. Cabecera: script-src 'self' 'nonce-<?php echo CSP_NONCE; ?>';.

El problema en WP: los plugins de terceros no usan tu nonce. Tienes que parchearlos uno por uno, o usar un plugin “CSP Manager” que intercepta wp_add_inline_script y le agrega el nonce. La regla pragmática: vale la pena el esfuerzo para inline propio, no para perseguir cada plugin.

strict-dynamic

CSP 3 introduce 'strict-dynamic': si un script con nonce/hash crea otros scripts, los hijos heredan la confianza automáticamente. Es la dirección recomendada por el W3C para apps modernas. En WordPress es complicado porque WP no fue diseñado pensando en esto — el nonce tiene que llegar a todo el árbol de carga, lo que rara vez es práctico.

Un header funcional para un WP típico

Suponiendo un WP institucional con Yoast, Cloudflare, Google Analytics y un form de contacto. La política mínima estricta razonable:

Content-Security-Policy:
  default-src 'self';
  base-uri 'self';
  object-src 'none';
  frame-ancestors 'self';
  form-action 'self';
  img-src 'self' data: https://secure.gravatar.com https://*.googleusercontent.com;
  font-src 'self' https://fonts.gstatic.com data:;
  style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
  script-src 'self' 'nonce-XYZ' https://www.googletagmanager.com https://www.google-analytics.com;
  connect-src 'self' https://www.google-analytics.com https://region1.google-analytics.com;
  frame-src 'self' https://www.youtube-nocookie.com;
  report-uri /wp-json/csp/v1/report;
  upgrade-insecure-requests;

Notas sobre cada directiva:

• default-src 'self': catch-all conservador. Cualquier tipo no listado cae acá.
• base-uri 'self' y form-action 'self': previenen ataques de manipulación del <base> y de redirección de submits.
• object-src 'none': nadie usa <object> / <embed> legítimamente en 2026. Cerrarlo.
• frame-ancestors 'self': reemplaza el viejo X-Frame-Options: SAMEORIGIN. Si tu sitio nunca se embebe, mejor 'none'.
• img-src 'self' data:: el data: se necesita para imágenes inline base64 que algunos plugins usan. Los hosts adicionales son típicos de Gravatar y Google sign-in avatars.
• style-src 'self' 'unsafe-inline': lamentablemente WordPress y la mayoría de los themes inyectan estilos inline. Por ahora 'unsafe-inline' queda. Una versión más estricta usa nonces para <style> también, pero el ROI es bajo (XSS via CSS exfil existe pero es marginal).
• script-src 'self' 'nonce-XYZ' + hosts GTM/GA: la línea más sensible. Aquí es donde el modo Report-Only te dice qué más necesitas.
• connect-src: dónde puede hacer fetch/XMLHttpRequest/WebSocket. GA usa region1.google-analytics.com para EU/CL traffic — no olvidar.
• frame-src: si embebes YouTube, usar youtube-nocookie.com (privacidad-first). Para Vimeo: https://player.vimeo.com.
• upgrade-insecure-requests: si algún src="http://..." quedó hardcoded, el browser lo upgradea automáticamente. Útil mientras limpias el sitio.

Lo que no está: 'unsafe-inline' en script-src. Esa es la línea que más cuesta defender ante un equipo de devs apurados, pero también la que da el 80% del valor del header.

Trampas comunes en WordPress

El admin se cae sin 'unsafe-inline'

Casi inevitable. La solución pragmática: aplicar dos políticas distintas según el path. En Apache:

<LocationMatch "^/wp-admin">
    Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; frame-ancestors 'self'"
</LocationMatch>

<LocationMatch "^/(?!wp-admin)">
    Header always set Content-Security-Policy "[política estricta del frontend]"
</LocationMatch>

El admin queda con una política más laxa, pero los visitantes anónimos (99% del tráfico) reciben la estricta. Es un trade-off aceptable mientras planificas migrar el admin a nonces.

Google Tag Manager carga otros scripts

GTM es un container que carga scripts dinámicamente (Analytics, Ads, Hotjar, Facebook Pixel, …). Cada tag agregada en GTM añade un origen al script-src y al connect-src. El patrón recomendado: cada vez que el equipo de marketing agrega una tag en GTM, revisar el report y agregar el host correspondiente. Si esto se vuelve un dolor crónico, vale la pena usar 'strict-dynamic' con nonce en GTM (Google lo soporta).

reCAPTCHA v3

Necesita: script-src https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/, frame-src https://www.google.com/recaptcha/. Si lo olvidas, los forms con captcha quedan rotos sin error visible (el captcha simplemente no carga).

Embeds (YouTube, Vimeo, Maps, SoundCloud)

Cada uno agrega frame-src y muchas veces script-src/connect-src. La regla: prefiere el embed nocookie si existe. YouTube tiene youtube-nocookie.com, Vimeo respeta privacy mode. Reduce footprint de cookies y simplifica la política.

Stripe / Webpay / Khipu

Pasarelas chilenas: Webpay 3D Secure abre un iframe a https://www.webpay.cl/. Khipu API: connect-src https://payment-api.khipu.com/. Stripe Elements: script-src https://js.stripe.com/, frame-src https://js.stripe.com/. Documenta esto explícitamente en tus runbooks — son los que más cuesta diagnosticar.

Cloudflare Rocket Loader

Si tienes Rocket Loader activado en Cloudflare, reescribe los <script> reales y los inyecta dinámicamente. Eso choca con CSP estricta. Dos opciones: deshabilitarlo (recomendado, su beneficio de performance es marginal con HTTP/2+Brotli activos) o marcar los scripts críticos con data-cfasync="false" para que no los toque.

Mantenimiento

CSP no es “ponla y olvídala”. Cada nuevo plugin, cada feature nueva, cada tag de marketing puede romperla. La rutina mínima:

• Revisión mensual del log de reports. Patrones nuevos → ajuste de política.
• Pre-deploy: si tocas plugins, themes o agregas un tag externo, deja la política nueva primero en Report-Only, valida 48h, luego enforce.
• Audit anual del header: ¿siguen siendo necesarios todos los hosts listados? Cada origen es superficie de ataque (si lo comprometen, sirven JS a tus visitantes).
• Alertas: agrega una métrica simple “violaciones por hora” en tu logging stack. Un spike de violaciones desde una IP particular es señal de un ataque XSS en curso siendo bloqueado.

Cómo lo verificas

El Asentic FreeScan revisa headers de seguridad incluido CSP. Detecta los tres patrones más comunes que vimos arriba: header ausente, header con 'unsafe-inline' o 'unsafe-eval', y header sin default-src o sin script-src (que dejan el resto sin restricción). El reporte distingue entre “no implementado” y “implementado pero ineficaz” — porque el segundo caso es engañoso para auditores que sólo verifican presencia del header.

Para validación manual:

• csp-evaluator.withgoogle.com — analiza tu política y marca debilidades específicas.
• curl -sI https://organizacion-ejemplo.cl/ — confirma que el header está siendo enviado.
• DevTools del browser → Network → Response Headers — verifica la política en una request real (a veces hay middlewares que la sobreescriben).
• Console del browser — los bloqueos CSP aparecen como Refused to execute inline script because it violates the following Content Security Policy directive….

Cierre

CSP es una de esas herramientas que dan una ganancia de seguridad real con un costo de implementación que siempre subestimamos. Vale la pena pagarlo: cuando llegue el día en que un plugin se vea comprometido o un XSS pase la primera línea, el header es lo que decide entre un incidente menor y una filtración de datos.

Si tienes un WordPress en producción sin CSP, el primer paso es siempre el mismo: poner una política propuesta en Report-Only, dejarla correr una semana, y leer los reports. Todo lo demás sale de ahí.