Seguridad de websalud.minsa.gob.pe

[HIGH] Content-Security-Policy (CSP) ausente: La falta de esta política facilita ataques de inyección de código y Cross-Site Scripting (XSS) al no restringir el origen de los recursos.

[HIGH] Strict-Transport-Security (HSTS) no configurado: El servidor no ordena al navegador el uso exclusivo de HTTPS, permitiendo posibles ataques de degradación de protocolo (SSL Stripping).

[HIGH] Fallo en redirección HTTP a HTTPS: El sitio no redirige automáticamente el tráfico inseguro al canal cifrado, exponiendo la comunicación a intercepciones.

[MEDIUM] X-Content-Type-Options ausente: Al no estar presente, el navegador podría intentar interpretar el contenido de forma distinta a la declarada, facilitando ataques de tipo MIME-sniffing.

[MEDIUM] Permissions-Policy ausente: No se limitan las capacidades del navegador, permitiendo potencialmente el acceso no autorizado a APIs sensibles como la cámara o geolocalización.

[MEDIUM] Cookie __cf_bm sin atributo SameSite: La ausencia de este atributo incrementa el riesgo de ataques de falsificación de solicitud en sitios cruzados (CSRF).

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La exposición de este puerto alternativo aumenta la superficie de ataque, sugiriendo la presencia de servicios de administración o proxies adicionales.

[LOW] Cabecera de servidor expuesta: El campo Server revela el uso de Cloudflare, lo cual entrega información técnica que facilita el reconocimiento por parte de atacantes.

[LOW] Archivos robots.txt y sitemap.xml ausentes: La falta de estos archivos impide una gestión adecuada del rastreo y revela una configuración incompleta del servidor web.