Seguridad de servicio.tarjetaomega.com

[HIGH] Ausencia de redireccion HTTP a HTTPS: El servidor no fuerza el uso de conexiones cifradas, permitiendo que las sesiones viajen por canales inseguros.

[HIGH] Falta de Strict-Transport-Security (HSTS): No se instruye al navegador para utilizar exclusivamente HTTPS, facilitando ataques de degradacion de protocolo.

[HIGH] Ausencia de Content-Security-Policy (CSP): El sitio no posee politicas para restringir el origen de los recursos, aumentando el riesgo de ataques XSS.

[HIGH] Ausencia de X-Frame-Options: La plataforma es vulnerable a ataques de clickjacking al no prohibir que el sitio sea cargado dentro de marcos o iframes.

[MEDIUM] Ausencia de X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que podria derivar en la ejecucion de scripts no autorizados.

[MEDIUM] Ausencia de Referrer-Policy: No se controla la informacion de referencia enviada a otros dominios, lo que podria filtrar rutas internas del sistema.

[MEDIUM] Ausencia de Permissions-Policy: El navegador no tiene restricciones sobre el uso de APIs sensibles como la camara o el microfono.

[LOW] Exposicion de cabecera Server: El servidor revela el uso de Microsoft-IIS/10.0, facilitando a un atacante la busqueda de exploits especificos para esa version.

[LOW] Exposicion de cabecera X-Powered-By: Se revela el uso de ASP.NET, lo que acota el vector de ataque hacia tecnologias especificas del framework.

[LOW] Ausencia de robots.txt y sitemap.xml: La falta de estos archivos dificulta la gestion de la indexacion y puede ocultar errores de estructura.