10 nuevos tests de auditoría: seguridad, privacidad, SEO y accesibilidad
Orilyt pasa de 47 a 57 tests — con un enfoque especial en Google Fonts y la privacidad.
- Orilyt ejecuta ahora 57 tests automatizados — 10 más, cubriendo puntos ciegos críticos
- La carga de Google Fonts ahora se señala por cumplimiento RGPD e impacto en el rendimiento
- Los nuevos tests abarcan 4 categorías: seguridad, SEO, legal/privacidad y experiencia de usuario
Cuando lanzamos Orilyt, el motor de auditoría ejecutaba 47 tests. Ya era completo — rendimiento, seguridad, SEO, UX y cumplimiento legal estaban cubiertos.
Pero la web evoluciona rápido. Nuevas regulaciones de privacidad, nuevos vectores de ataque, nuevas mejores prácticas. Quedarse en 47 significaba dejar vacíos que los clientes notarían.
Hoy, Orilyt ejecuta 57 tests. Aquí están las 10 nuevas verificaciones que añadimos — y por qué cada una importa.
Los 10 nuevos tests de un vistazo
Verifica archivos accesibles públicamente que nunca deberían estar expuestos: .env, .git/config, copias de wp-config, volcados de base de datos, logs de depuración. Un solo archivo expuesto puede filtrar credenciales, claves API o contraseñas de base de datos.
Verifica que las cookies se configuran con los flags Secure, HttpOnly y SameSite. Flags faltantes exponen a los usuarios al secuestro de sesión, robo vía XSS y cross-site request forgery.
Detecta etiquetas canonical faltantes o mal configuradas que hacen que los motores de búsqueda indexen múltiples versiones de la misma página. El contenido duplicado diluye las señales de posicionamiento y desperdicia el presupuesto de rastreo.
Escanea rastreadores de terceros que se cargan antes del consentimiento: Google Analytics, Facebook Pixel, scripts publicitarios. Cargar rastreadores sin consentimiento viola el RGPD y puede conllevar multas de hasta el 4 % de la facturación anual.
Verifica que las solicitudes HTTP se redirigen correctamente a HTTPS. Una redirección faltante significa que algunos visitantes acceden al sitio por una conexión no cifrada, exponiendo datos en tránsito.
Detecta si el sitio carga fuentes desde el CDN de Google (fonts.googleapis.com), lo que transfiere las direcciones IP de los visitantes a Google sin consentimiento. También mide el impacto en el rendimiento de la carga remota de fuentes.
Verifica el cumplimiento WCAG esencial: atributo lang en HTML, enlaces de navegación rápida, etiquetas de formularios, landmarks ARIA e indicadores de foco. Son los requisitos mínimos para usuarios con discapacidad.
Valida que exista un sitemap XML referenciado en robots.txt, que robots.txt no bloquee accidentalmente páginas importantes y que el sitemap contenga URLs válidas.
Verifica si los scripts y hojas de estilo externos usan atributos integrity. Sin SRI, un CDN comprometido podría inyectar código malicioso en tu sitio sin ser detectado.
Detecta si se implementa un banner de consentimiento de cookies o una CMP (Consent Management Platform). Sin ella, cualquier sitio que use cookies o rastreadores incumple el RGPD, ePrivacy y regulaciones similares.
Enfoque: por qué Google Fonts es un problema de privacidad y rendimiento
De los 10 nuevos tests, el #53 merece atención especial. Google Fonts se usa en más de 50 millones de sitios web. La mayoría de los desarrolladores lo ven como inofensivo — solo un enlace a una hoja de estilos. Pero hay dos problemas serios.
El problema de privacidad
Cuando un visitante carga una página que usa Google Fonts vía CDN, su navegador envía una solicitud a fonts.googleapis.com. Esa solicitud incluye su dirección IP, user agent, referrer y otros metadatos.
Desde entonces, miles de quejas similares se han presentado en toda Europa. La resolución es clara: cargar cualquier recurso desde los servidores de Google sin consentimiento es una transferencia de datos a un tercero.
El problema de rendimiento
La carga remota de fuentes añade resoluciones DNS, handshakes TLS y solicitudes que bloquean el renderizado. En conexiones móviles, esto puede retrasar el First Contentful Paint de 200 a 500 ms.
Alojar las fuentes localmente elimina estas solicitudes externas y te permite controlar la caché, el subsetting y la estrategia font-display.
Cómo solucionarlo
La solución es directa: descarga los archivos de fuentes, alójalos en tu propio servidor y referéncialos con declaraciones @font-face locales. Herramientas como google-webfonts-helper lo hacen fácil.
El test #53 de Orilyt detecta el uso del CDN de Google Fonts y lo señala con una advertencia de privacidad y una recomendación de rendimiento.
Qué significa esto para freelancers y agencias
- Si auditas sitios de clientes, estos 10 nuevos tests te dan más argumentos. Problemas de privacidad como Google Fonts o banners de consentimiento faltantes son hallazgos concretos y accionables que los clientes entienden de inmediato.
- Las brechas de seguridad como archivos .env expuestos o flags de cookies faltantes no son teóricas — son vulnerabilidades reales explotables hoy.
- Y los problemas de SEO como contenido duplicado o sitemaps mal configurados impactan directamente en el posicionamiento — algo que a todo cliente le importa.
- Con 57 tests, una auditoría Orilyt ahora cubre más terreno que la mayoría de las checklists manuales. Eso significa menos tiempo auditando, más tiempo asesorando.
De 47 a 57: cada test tiene una razón
No añadimos estos tests por el número. Cada uno responde a un vacío real identificado al auditar cientos de sitios web.
La privacidad ya no es opcional. Los básicos de seguridad siguen sin cumplirse. Los fundamentos SEO siguen rotos en sitios en producción. Y la accesibilidad sigue siendo algo secundario.
Estos 10 tests te ayudan a detectar lo que otros pasan por alto — y a presentarlo de forma accionable para tus clientes.