Seguridad de kapital.com

[HIGH] Content-Security-Policy (CSP): Falta esta cabecera esencial que previene ataques de Cross-Site Scripting (XSS) y la inyección de scripts maliciosos.

[HIGH] X-Frame-Options: La ausencia de esta protección deja el sitio expuesto a ataques de clickjacking, permitiendo que terceros carguen el sitio en marcos invisibles.

[HIGH] Strict-Transport-Security (HSTS): No se fuerza el uso de conexiones seguras, permitiendo que un atacante degrade la conexión a HTTP mediante ataques de tipo Man-in-the-Middle.

[HIGH] Redirección HTTP a HTTPS: El sitio no redirige el tráfico no cifrado y responde con un código de error 403, lo que impide una transición segura y automática para el usuario.

[MEDIUM] X-Content-Type-Options: Falta la instrucción para evitar el sniffing de tipos MIME, lo que podría permitir al navegador ejecutar archivos con contenido malicioso disfrazado.

[MEDIUM] Referrer-Policy: No existe una política configurada para controlar cuánta información de navegación se comparte con otros sitios web al seguir enlaces.

[MEDIUM] Permissions-Policy: No se restringe el uso de APIs sensibles del navegador como la cámara, el micrófono o la geolocalización desde el contexto del sitio.

[LOW] Server header expuesto: La cabecera del servidor revela el uso de awselb/2.0, facilitando a posibles atacantes información sobre la infraestructura subyacente.

[LOW] Ausencia de robots.txt y sitemap.xml: El servidor devuelve un error 403 para estos archivos, dificultando la auditoría de contenidos y la indexación controlada por buscadores.