Seguridad de contraloria.gob.gt

[HIGH] Content-Security-Policy faltante: La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de contenido (XSS).

[HIGH] Strict-Transport-Security faltante: El servidor no instruye al navegador para usar exclusivamente conexiones HTTPS, facilitando ataques de interceptación.

[HIGH] Redirección HTTPS fallida: El sitio no redirige automáticamente el tráfico HTTP a HTTPS, devolviendo un error 403 y dejando a los usuarios en conexiones no cifradas.

[MEDIUM] Cookie __cf_bm sin atributo SameSite: La falta de este atributo en la cookie de Cloudflare aumenta la susceptibilidad a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La exposición de un puerto alternativo de servidor web o proxy incrementa la superficie de ataque innecesariamente.

[MEDIUM] Permissions-Policy faltante: No se restringe el acceso de las APIs del navegador a componentes sensibles como la cámara, el micrófono o la geolocalización.

[MEDIUM] Configuración de robots.txt restrictiva: El archivo bloquea la indexación de todo el sitio, lo cual puede ser un indicativo de configuraciones de servidor mal gestionadas.

[LOW] Server header expuesto: La cabecera revela el uso de tecnología Cloudflare, lo que facilita a un atacante potencial la fase de reconocimiento.

[LOW] sitemap.xml no encontrado: El recurso no está disponible (HTTP 403), afectando la transparencia y la estructura de navegación legítima.