Practicamos lo que vendemos.
Una empresa de ciberseguridad debe poder demostrar la seguridad de su propia infraestructura. Esta página documenta los controles, las políticas y los canales de divulgación responsable del sitio aldanacyberdefense.com.
Lo que hicimos en nuestro propio sitio
Esta no es una lista aspiracional: cada control puede ser verificado mediante herramientas públicas como securityheaders.com, observatory.mozilla.org y SSL Labs.
HTTPS forzado con HSTS
Todo tráfico se cifra mediante TLS 1.3. La política HSTS con max-age de dos años y subdominios incluidos previene degradación de protocolo.
Content Security Policy estricta
Política CSP restringe origenes de scripts, estilos, imágenes, formularios y conexiones. Marcos de embebido completamente bloqueados.
Permissions-Policy minimizada
Bloqueo explícito de geolocation, cámara, micrófono, USB, pagos, MIDI y más interfaces hardware no requeridas por el sitio.
Aislamiento de origen
Cabeceras COOP y CORP impiden acceso cross-origin a recursos del sitio, mitigando ataques tipo Spectre y filtración cross-process.
Anti-clickjacking
frame-ancestors none y X-Frame-Options DENY garantizan que el sitio no pueda ser embebido en iframes maliciosos.
Cero rastreo de terceros
No se cargan scripts de Google Analytics, Facebook Pixel, Hotjar ni similares. Fuentes tipográficas alojadas localmente.
Sitio estático preconstruido
No hay base de datos, ni servidor de aplicación, ni dependencias dinámicas en producción. Superficie de ataque mínima.
Distribución CDN edge
Servido desde Cloudflare Pages con protección DDoS, WAF y mitigación automática de bots.
security.txt publicado
Canal estandarizado para reporte de vulnerabilidades en /.well-known/security.txt, conforme al RFC 9116.
curl -I https://aldanacyberdefense.com o consulte
securityheaders.com.
Política de Coordinated Disclosure
Bienvenimos los reportes de investigadores que identifiquen vulnerabilidades en nuestra infraestructura. Esta política establece las reglas del juego.
Nuestro compromiso
- Confirmamos la recepción del reporte en un plazo máximo de 72 horas hábiles.
- Validamos la vulnerabilidad reportada y comunicamos al investigador el resultado preliminar en un plazo máximo de 10 días hábiles.
- Mantenemos comunicación constante hasta el cierre del hallazgo.
- Acreditamos públicamente al investigador (si así lo desea) tras la remediación.
- No iniciamos acciones legales contra investigadores que cumplan con esta política.
Reglas para el investigador
- Realizar el reporte únicamente por los canales oficiales descritos en /.well-known/security.txt o por correo a seguridad@aldanacyberdefense.com.
- No acceder, alterar ni descargar información que no sea estrictamente necesaria para demostrar el hallazgo.
- No utilizar técnicas de ingeniería social, denegación de servicio, fuerza bruta o ataques físicos.
- No divulgar el hallazgo públicamente hasta que se haya remediado y se haya coordinado fecha de publicación.
- No probar sobre infraestructura de clientes; sólo sobre los dominios y servicios listados en el alcance.
Canal Oficial de Reporte
seguridad@aldanacyberdefense.com
No nos crea a nosotros. Verifíquelo.
Estos servicios públicos permiten validar la postura de seguridad de cualquier sitio web. Pruébelos sobre aldanacyberdefense.com.
¿Puede su sitio gubernamental superar este examen?
Ofrecemos auditorías de postura de seguridad para portales y servicios digitales gubernamentales, con remediación priorizada y reporte ejecutivo apto para presentación ante órganos de control.