Qué detecta Leyzly en tu web

30+ comprobaciones automatizadas alineadas con el RGPD, la LSSI y la Guía AEPD de cookies, cada una con su cita legal y su solución concreta.

Cookies y consentimiento

Detectamos cookies de terceros instaladas en la primera visita, antes de que el usuario haya interactuado con el banner. La instalación de cookies no estrictamente necesarias sin consentimiento previo es la infracción más sancionada por la AEPD bajo el artículo 22.2 de la LSSI.

Leyzly diferencia entre cookies estrictamente necesarias (sesión, CSRF, idioma, propia gestión de consentimiento) y cookies de seguimiento o marketing. La Guía AEPD de cookies de 2023 deja claro que sólo las primeras pueden cargarse sin recabar consentimiento.

En cada hallazgo te indicamos qué cookie concreta se instaló, su dominio, su tiempo de vida y, cuando es posible, qué proveedor la coloca. Así puedes ir directo al plugin o al script responsable.

Para cumplir, lo más habitual es desplegar una Consent Management Platform (CMP) y bloquear los scripts hasta que el usuario otorgue consentimiento granular por finalidad.

Reglas activas (1)

cookie_other_third_party_pre_consentHIGH

Cookies de terceros activas sin consentimiento

Existen cookies de terceros no clasificadas como «estrictamente necesarias» que se establecen antes del consentimiento del usuario.

Trackers y píxeles

Identificamos los trackers más usados que disparan cookies o peticiones pre-consentimiento: Google Analytics, Google Tag Manager, Meta Pixel, Hotjar, Microsoft Clarity, DoubleClick, LinkedIn Insight Tag, TikTok Pixel y X/Twitter Analytics.

Cada tracker pre-consentimiento genera un finding independiente con la evidencia capturada del tráfico de red y del DOM. Esto te permite priorizar qué scripts mover detrás del banner.

La sentencia Planet49 (TJUE C-673/17) y la Guía AEPD dejan claro que el consentimiento debe ser previo, libre, específico, informado e inequívoco. Cargar Google Analytics "anonimizado" antes del consentimiento sigue siendo infracción.

Reglas activas (10)

cookie_pre_consent_clarityCRITICAL

Microsoft Clarity activo antes del consentimiento

Se detecta la actividad de Microsoft Clarity (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_doubleclickCRITICAL

DoubleClick / Google Ads activo antes del consentimiento

Se detecta la actividad de DoubleClick / Google Ads (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_gaCRITICAL

Google Analytics activo antes del consentimiento

Se detecta la actividad de Google Analytics (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_gtmCRITICAL

Google Tag Manager activo antes del consentimiento

Se detecta la actividad de Google Tag Manager (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_hotjarCRITICAL

Hotjar activo antes del consentimiento

Se detecta la actividad de Hotjar (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_meta_pixelCRITICAL

Meta Pixel activo antes del consentimiento

Se detecta la actividad de Meta Pixel (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_facebook_sdkHIGH

Facebook SDK (plugins sociales) activo antes del consentimiento

Se detecta la carga del SDK de Facebook para plugins sociales (sdk.js: botones «Me gusta», widgets, contenido incrustado) antes de que el usuario haya aceptado cookies. Aunque no es el píxel de seguimiento (Meta Pixel), implica una transferencia de datos a Meta (IP, user-agent, URL visitada) y puede fijar la cookie publicitaria «fr» sin consentimiento previo, lo que incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_linkedin_insightHIGH

LinkedIn Insight Tag activo antes del consentimiento

Se detecta la actividad de LinkedIn Insight Tag (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_tiktokHIGH

TikTok Pixel activo antes del consentimiento

Se detecta la actividad de TikTok Pixel (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

cookie_pre_consent_x_twitterHIGH

X (Twitter) Pixel activo antes del consentimiento

Se detecta la actividad de X (Twitter) Pixel (cookies o peticiones de red) antes de que el usuario haya aceptado las cookies de análisis/marketing. Esto incumple la LSSI art. 22.2 y la Guía AEPD sobre cookies.

Banner de cookies AEPD

Verificamos la presencia del banner en la primera capa de información, la paridad visual entre los botones "Aceptar" y "Rechazar", y la existencia de un botón "Configurar" para granularidad.

La Guía AEPD de cookies prohíbe explícitamente los patrones oscuros: rechazar no puede requerir más clics que aceptar, ni quedar oculto en una segunda capa, ni tener un contraste inferior. Tampoco vale el scroll como consentimiento implícito.

Si el banner permite aceptar todas las finalidades pero no rechazarlas igual de fácilmente, Leyzly lo marca como infracción de alta severidad porque es uno de los patrones más sancionados.

Reglas activas (5)

banner_missingCRITICAL

No se encontró banner de cookies

La web no muestra un banner de cookies en la primera capa. La AEPD exige una primera capa de información clara antes de instalar cookies no necesarias.

banner_no_rejectCRITICAL

No existe botón "Rechazar" en el banner

El banner de cookies no ofrece la opción de rechazar todas las cookies no necesarias con la misma facilidad que la de aceptarlas.

banner_scroll_implies_consentCRITICAL

Continuar navegando se interpreta como consentimiento

El banner indica que seguir navegando o hacer scroll equivale a aceptar cookies. La AEPD y la sentencia Planet49 declaran esto inválido.

banner_no_granular_consentHIGH

No hay opciones granulares por finalidad

El banner no permite al usuario aceptar o rechazar cookies por finalidad (analítica, marketing, personalización).

banner_unequal_prominenceHIGH

El botón de aceptar es más visible que el de rechazar

El diseño del banner privilegia visualmente la aceptación (color, tamaño, contraste) frente al rechazo, lo que constituye un patrón oscuro contrario a la AEPD.

Páginas legales

Comprobamos que tu web ofrezca tres documentos clave: Aviso Legal (LSSI art. 10), Política de Privacidad (RGPD arts. 13 y 14) y Política de Cookies (Guía AEPD).

Buscamos los enlaces en el footer y en las áreas del DOM más habituales. Si el documento existe, hacemos un HEAD request para asegurarnos de que no es un 404. Si falta o devuelve error, generamos un finding crítico con la cita textual del artículo correspondiente.

Estos tres documentos no son opcionales. El Aviso Legal aplica a cualquier prestador de servicios de la sociedad de la información, aunque tu web sea sólo informativa.

Reglas activas (71)

ai_cookie_consent_management_missingCRITICAL

No se explica cómo gestionar el consentimiento

Falta explicar cómo aceptar, configurar o rechazar el consentimiento de cookies.

ai_cookie_inventory_missingCRITICAL

Falta el inventario de cookies utilizadas

La política no enumera las cookies específicas utilizadas en el sitio.

ai_cookie_third_party_unidentifiedCRITICAL

Cookies de terceros sin identificar al tercero

Se utilizan cookies de terceros pero no se identifica al tercero ni se enlaza su política.

ai_legal_contact_missingCRITICAL

Falta canal de contacto directo y efectivo

El aviso legal no facilita email, teléfono u otro medio que permita una comunicación directa y efectiva con el titular (art. 10.1.a LSSI).

ai_legal_identity_full_name_missingCRITICAL

Falta nombre o denominación social del titular

El aviso legal no identifica al titular del sitio web (nombre o razón social), incumpliendo el art. 10.1.a LSSI.

ai_legal_tax_id_missingCRITICAL

Falta NIF/CIF del titular

El aviso legal no incluye el NIF o CIF del titular, exigido por el art. 10.1.a LSSI para permitir su identificación inequívoca.

ai_privacy_contact_missingCRITICAL

No se facilita contacto del responsable

Falta el email o canal de contacto del responsable del tratamiento para que los interesados puedan dirigirse a él.

ai_privacy_identity_missingCRITICAL

No se identifica al responsable del tratamiento

La política de privacidad no identifica al responsable del tratamiento (nombre o razón social, NIF y domicilio).

ai_privacy_legal_basis_missingCRITICAL

No se indica la base jurídica del tratamiento

La política no indica la base jurídica del tratamiento (art. 6 RGPD): consentimiento, contrato, obligación legal, interés legítimo, etc.

ai_privacy_purposes_missingCRITICAL

No se enumeran las finalidades del tratamiento

El documento no enumera para qué se tratan los datos personales, incumpliendo el art. 13.1.c RGPD.

ai_privacy_retention_missingCRITICAL

No se indica el plazo de conservación de los datos

Falta indicar durante cuánto tiempo se conservan los datos o los criterios para determinarlo.

ai_privacy_rights_missingCRITICAL

No se enumeran los derechos del interesado

La política no enumera los derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad, limitación).

ai_terms_unfair_clausesCRITICAL

Posibles cláusulas abusivas detectadas

Se detectan cláusulas potencialmente abusivas: renuncia general a derechos del consumidor, jurisdicción extranjera para B2C español, exoneración total de responsabilidad, modificación unilateral sin preaviso. Nulas conforme a los arts. 82-89 RDL 1/2007.

ai_terms_withdrawal_right_missingCRITICAL

Falta el derecho de desistimiento (14 días)

En contratos B2C celebrados a distancia o fuera del establecimiento el consumidor tiene 14 días naturales para desistir sin causa (art. 102 RDL 1/2007).

legal_notice_missingCRITICAL

Falta el Aviso Legal

No se encuentra un Aviso Legal accesible desde el footer u otra ubicación visible. La LSSI art. 10 exige identificación del prestador del servicio.

privacy_policy_missingCRITICAL

Falta la Política de Privacidad

No se localiza una Política de Privacidad accesible. El RGPD obliga a informar al interesado sobre el tratamiento de datos antes de recabarlos.

ai_cookie_contradicts_bannerHIGH

Posible contradicción entre política y banner

La política declara unas cookies pero el banner permite o usa otras distintas detectadas por el motor.

ai_cookie_duration_missingHIGH

Falta indicar la duración de las cookies

Las cookies se enumeran pero sin indicar su duración (persistencia).

ai_cookie_inventory_incompleteHIGH

Inventario de cookies incompleto

El inventario declara algunas cookies pero faltan otras detectadas por el motor en el sitio.

ai_cookie_legal_basis_unclearHIGH

Base jurídica de las cookies poco clara

No se aclara la base jurídica de las cookies — consentimiento para las no estrictamente necesarias.

ai_cookie_retirement_steps_missingHIGH

No se detallan los pasos para retirar el consentimiento

Se menciona el derecho a retirar el consentimiento pero sin pasos concretos.

ai_cookie_third_party_no_purposeHIGH

Cookies de terceros sin explicar su finalidad

El tercero está identificado pero no se explica para qué usa las cookies.

ai_cookie_types_taxonomy_missingHIGH

Falta clasificación de cookies por finalidad

Las cookies no se clasifican por finalidad (técnicas, análisis, marketing, personalización) ni por titularidad (propias / de terceros).

ai_legal_address_missingHIGH

Falta el domicilio del titular

Falta el domicilio social o la dirección de un establecimiento permanente del titular, requerido por el art. 10.1.a LSSI.

ai_legal_authorization_regulated_activityHIGH

Actividad regulada sin nº de autorización ni autoridad

La actividad parece sujeta a autorización administrativa previa (sanitaria, seguros, financiera, juego, etc.) pero no se publican el número de autorización y la autoridad supervisora (art. 10.1.c LSSI).

ai_legal_professional_data_missingHIGH

Profesional colegiado sin datos de colegiación

El titular ejerce una profesión regulada pero faltan los datos del colegio profesional, número de colegiado, título académico y Estado UE de expedición (art. 10.1.d LSSI).

ai_legal_registry_missingHIGH

Faltan datos de inscripción en el Registro Mercantil

Si el titular es una persona jurídica, debe indicar los datos de inscripción en el Registro Mercantil (tomo, folio, hoja, fecha) — art. 10.1.b LSSI.

ai_privacy_automated_decisions_undisclosedHIGH

Decisiones automatizadas/perfilado no declarados

Se realizan decisiones automatizadas o perfilado con efectos significativos sobre el interesado, pero no se informa en la política.

ai_privacy_complaint_aepd_missingHIGH

No se informa del derecho a reclamar ante la AEPD

Falta informar al interesado de su derecho a presentar reclamación ante la Agencia Española de Protección de Datos.

ai_privacy_contradiction_internalHIGH

Contradicciones internas en la política

La política contiene afirmaciones contradictorias entre sí (p.ej. «no compartimos datos» y luego «cedemos a nuestros partners»).

ai_privacy_dpo_missingHIGH

Falta el Delegado de Protección de Datos (DPO)

Cuando el tratamiento implica observación sistemática a gran escala o categorías especiales de datos, debe designarse un DPO y publicarse su canal de contacto.

ai_privacy_identity_incompleteHIGH

Identidad del responsable incompleta

Se nombra al responsable pero falta NIF o domicilio postal.

ai_privacy_international_transfers_missingHIGH

Transferencias internacionales no declaradas

La web emplea servicios de proveedores fuera del EEE (Google, Meta, AWS US, Microsoft) pero la política no menciona transferencias internacionales.

ai_privacy_international_transfers_no_safeguardsHIGH

Transferencias internacionales sin garantías

Se mencionan transferencias fuera del EEE pero sin especificar las salvaguardas (DCC, decisión de adecuación, EU-US DPF).

ai_privacy_legal_basis_invalidHIGH

Base jurídica incorrecta para la finalidad declarada

La base jurídica indicada no encaja con la finalidad (p.ej. interés legítimo para envío de comunicaciones comerciales a clientes no clientes).

ai_privacy_recipients_missingHIGH

No se listan los destinatarios de los datos

Falta indicar las categorías de destinatarios o terceros encargados que tratan los datos (proveedores cloud, marketing, hosting, etc.).

ai_privacy_rights_how_missingHIGH

No se explica cómo ejercer los derechos

Los derechos se enumeran pero no se indica el cauce concreto para ejercerlos (dirección postal o email del responsable).

ai_terms_acceptance_unclearHIGH

No queda claro cómo se aceptan los términos

Los términos no explican el mecanismo de aceptación (clickwrap, registro, navegación) por lo que la prestación del consentimiento contractual es discutible.

ai_terms_delivery_terms_missingHIGH

Faltan plazos o coste de entrega

En e-commerce de bienes físicos, faltan los plazos y coste de envío (art. 60.2.f RDL 1/2007).

ai_terms_pricing_unclearHIGH

Precios poco claros o IVA no desglosado

Si la web realiza e-commerce, los precios deben indicarse de forma clara, separando IVA y otros impuestos aplicables (art. 60 RDL 1/2007).

ai_terms_warranty_period_missingHIGH

No se menciona la garantía legal mínima

Para bienes físicos B2C existe garantía legal de 3 años (2 para contenidos/servicios digitales) — art. 120 RDL 1/2007.

ai_terms_withdrawal_form_missingHIGH

No se facilita el formulario de desistimiento

El RDL 1/2007 (Anexo B) exige proporcionar un modelo de formulario de desistimiento al consumidor.

cookie_policy_missingHIGH

Falta la Política de Cookies

No se encuentra una Política de Cookies separada que detalle tipo, finalidad y forma de revocar el consentimiento.

legal_page_404HIGH

Enlace a documento legal devuelve 404

Un enlace declarado como Aviso Legal, Política de Privacidad o Política de Cookies devuelve un error 404 o no resuelve.

terms_missingHIGH

Faltan los Términos y Condiciones

No se localiza un documento de Términos y Condiciones / Condiciones Generales de Contratación. En servicios digitales y especialmente en e-commerce este documento regula la relación contractual con el usuario y es exigible por RDL 1/2007 y LSSI.

ai_cookie_definition_missingLOW

Falta la definición de qué es una cookie

La política no explica qué es una cookie de forma comprensible para el usuario medio.

ai_legal_codes_of_conduct_missingLOW

No se mencionan los códigos de conducta adheridos

Si el titular está adherido a códigos de conducta (Confianza Online, IAB Spain, etc.) debe mencionarlos y enlazar dónde consultarlos (art. 10.1.g LSSI).

ai_legal_outdated_normsLOW

Referencias a normativa derogada

El aviso legal cita normativa derogada (p.ej. LOPD 15/1999, Directiva 95/46/CE, LSSI versión previa a la reforma).

ai_privacy_outdatedLOW

Referencias legales obsoletas en la política

La política referencia normativa derogada (p.ej. LOPD 15/1999 sin mencionar la LOPDGDD 3/2018, o «GDPR» sin RGPD).

ai_terms_outdatedLOW

Términos con referencias obsoletas o sin actualizar

Referencias a normas derogadas (LOPD 15/1999, RDL antiguo) o «Última actualización» con más de 24 meses de antigüedad.

ai_terms_user_obligations_missingLOW

No se enumeran las obligaciones del usuario

Los términos no especifican qué se espera del usuario (uso lícito, veracidad de datos, prohibiciones).

ai_cookie_browser_instructions_missingMEDIUM

Faltan instrucciones por navegador

No se enlaza/explica cómo configurar la gestión de cookies en los principales navegadores (Chrome, Firefox, Safari, Edge).

ai_cookie_minors_no_safeguardsMEDIUM

Política de cookies sin previsión para menores

Si el servicio puede ser utilizado por menores, falta informar de las particularidades del consentimiento.

ai_cookie_policy_outdatedMEDIUM

Política de cookies posiblemente desactualizada

La fecha de última actualización es superior a 18 meses, lo que sugiere posible desfase con la stack actual.

ai_cookie_update_date_missingMEDIUM

Falta la fecha de última actualización

La política de cookies no muestra la fecha de su última revisión.

ai_doc_not_extractableMEDIUM

El documento no puede ser auditado automáticamente

El motor no consiguió extraer texto suficiente del documento (renderizado client-side, paywall o fallo de fetch). La auditoría debe revisarse manualmente.

ai_legal_contradiction_internalMEDIUM

Contradicciones internas en el aviso legal

El aviso legal contiene afirmaciones contradictorias entre sí (titular distinto en bloques diferentes, datos de contacto incoherentes, etc.).

ai_legal_jurisdiction_unclearMEDIUM

No se especifica la jurisdicción aplicable

El aviso legal no aclara la legislación y los tribunales competentes para resolver controversias.

ai_legal_vat_id_missingMEDIUM

Falta NIF a efectos del IVA

El sitio realiza o anuncia operaciones intracomunitarias pero no publica el NIF/IVA (formato ESBxxxxxxxx).

ai_privacy_minors_no_safeguardsMEDIUM

Falta política específica para menores

Si el servicio puede ser utilizado por menores, falta indicar el régimen de consentimiento parental (menores de 14 años en España).

ai_privacy_purposes_unclearMEDIUM

Finalidades del tratamiento descritas de forma vaga

Las finalidades aparecen pero usan expresiones genéricas como «mejorar el servicio» sin desglose concreto.

ai_privacy_retention_vagueMEDIUM

Plazo de conservación expresado de forma vaga

El plazo aparece pero con expresiones genéricas como «el tiempo necesario» sin un criterio determinable.

ai_privacy_source_missing_for_3p_dataMEDIUM

Se usan datos de terceros sin indicar la fuente

Cuando los datos no se obtienen del propio interesado, el art. 14 RGPD exige indicar la fuente de los datos.

ai_terms_complaint_form_missingMEDIUM

No se mencionan las hojas de reclamaciones

No se informa al consumidor de la existencia de hojas de reclamaciones / canal oficial de queja.

ai_terms_data_handover_clause_missingMEDIUM

No se prevé portabilidad/exportación de datos al rescindir

Si el servicio es SaaS, los términos no contemplan la exportación o portabilidad de los datos del cliente al finalizar la relación.

ai_terms_dispute_resolution_missingMEDIUM

No se menciona vía de resolución de conflictos

Falta indicar arbitraje / ADR / plataforma europea de resolución de litigios en línea (ODR) o vía judicial.

ai_terms_ip_rights_missingMEDIUM

Falta cláusula de propiedad intelectual

Los términos no protegen los derechos de propiedad intelectual e industrial del contenido del sitio.

ai_terms_modification_clause_missingMEDIUM

No se explica cómo se notifican las modificaciones

Los términos no explican cómo se notificarán futuras modificaciones (email, banner, fecha de entrada en vigor).

ai_terms_payment_methods_missingMEDIUM

No se enumeran los métodos de pago

Si la web permite contratar/comprar, debe indicar los métodos de pago aceptados (art. 60.2.f RDL 1/2007).

ai_terms_scope_missingMEDIUM

No se define el ámbito de aplicación

El documento no delimita qué productos, servicios o secciones del sitio cubre.

ai_terms_termination_unclearMEDIUM

Causas y procedimiento de terminación poco claros

Los términos no explican cuándo y cómo se puede terminar la relación contractual.

Formularios y consentimiento

Para cada formulario detectado, verificamos si existe un checkbox de consentimiento explícito ligado a la Política de Privacidad y si la base jurídica del tratamiento queda clara.

El RGPD art. 7 exige que el consentimiento sea libre, específico, informado e inequívoco, y que se pueda demostrar. Una casilla pre-marcada no vale (sentencia TJUE Planet49) y un texto vago tampoco.

Detectamos también campos sensibles (email, teléfono, dirección, NIF) en formularios sin enlace a la Política de Privacidad, lo que constituye una infracción del deber de información del RGPD art. 13.

Reglas activas (3)

form_pre_checked_consentCRITICAL

Checkbox de consentimiento marcado por defecto

La casilla de consentimiento aparece marcada por defecto, lo que la sentencia Planet49 del TJUE y el considerando 32 del RGPD declaran inválido.

form_no_consent_checkboxHIGH

Formulario sin checkbox de consentimiento explícito

Un formulario que recoge datos personales (email, teléfono, nombre) no incluye una casilla de consentimiento explícito para el tratamiento.

form_no_privacy_linkMEDIUM

Formulario sin enlace a la política de privacidad

El formulario recoge datos personales pero no enlaza la política de privacidad junto al control de consentimiento.

Seguridad básica de la web

El RGPD art. 32 obliga al responsable y al encargado del tratamiento a aplicar medidas técnicas apropiadas. Una web sin HTTPS o sin cabeceras básicas de seguridad incumple este principio de seguridad por defecto.

Comprobamos HTTPS obligatorio, presencia de HSTS, X-Content-Type-Options, Referrer-Policy y atributos Secure/HttpOnly en las cookies de sesión.

No pretendemos sustituir a una auditoría de seguridad ofensiva, pero detectamos los descuidos más comunes que también suelen aparecer en las resoluciones de la AEPD como agravante.

Reglas activas (8)

no_httpsCRITICAL

El sitio no usa HTTPS

La web no está servida por HTTPS, exponiendo datos personales y credenciales en claro. Incumple las medidas técnicas adecuadas del RGPD art. 32.

target_unreachableCRITICAL

El sitio no responde

No ha sido posible cargar la URL: DNS no resuelve, la conexión fue rechazada o se agotó el tiempo de espera. Una web que no responde no puede garantizar las medidas técnicas adecuadas que exige el RGPD art. 32.

missing_referrer_policyLOW

Falta cabecera Referrer-Policy

La ausencia de <code>Referrer-Policy</code> puede filtrar URLs internas con datos sensibles hacia terceros.

missing_x_content_type_optionsLOW

Falta cabecera X-Content-Type-Options nosniff

La cabecera <code>X-Content-Type-Options: nosniff</code> previene ataques de MIME sniffing por parte del navegador.

scanner_errorLOW

Error interno durante la auditoría

Uno de los detectores del motor de escaneo lanzó una excepción inesperada. El resto de comprobaciones se completaron pero el resultado de esta categoría puede estar incompleto.

cookie_not_httponlyMEDIUM

Cookies de sesión sin atributo HttpOnly

Las cookies de sesión son accesibles desde JavaScript, lo que facilita ataques XSS de robo de sesión.

cookie_not_secureMEDIUM

Cookies de sesión sin atributo Secure

Las cookies que identifican sesión no se marcan con el flag <code>Secure</code>, por lo que pueden viajar en HTTP.

missing_hstsMEDIUM

Falta cabecera Strict-Transport-Security

La respuesta no envía la cabecera HSTS, que fuerza al navegador a usar HTTPS y mitiga ataques de downgrade.