Laboratorio de
ingeniería.
Este sitio es también mi banco de pruebas: pipeline con rollback automático, chaos engineering, ataques controlados contra mi propia pasarela de pagos. Lo que ves abajo son los resultados reales, leídos de la misma base de datos que usa el sistema.
Cada push corre los tests y reporta el resultado aquí. Si el deploy pasa pero el health check post-deploy falla, el pipeline revierte solo. El repositorio y sus Actions son públicos: cada fila enlaza a los logs reales.
Cada experimento define qué debería pasar (la defensa) y verifica qué pasó de verdad. «Superado» significa que el sistema se defendió solo: sin pagos duplicados, sin estados a medias, sin eventos huérfanos.
Análisis estático de dependencias y código, más accesibilidad sobre las páginas públicas, en cada push. Lo que cuenta no es un scan verde sino el ciclo: cada hallazgo se sigue hasta que queda resuelto o aceptado a conciencia.
Pasarela propia con llaves de idempotencia, máquina de estados sin retrocesos y verificación de firma en webhooks. Los contadores de abajo son eventos hostiles que llegaron y fueron detectados y neutralizados, no aplicados.
Construido para mis compañeros de clase: pega cualquier dominio y obtén, en vivo, 12 pruebas — cabeceras de seguridad, certificado TLS, DNS, vencimiento del dominio, robots.txt, sitemap.xml, metadatos SEO, rendimiento básico, accesibilidad heurística y un reporte Lighthouse real vía la API de Google PageSpeed Insights. Todo se lee de respuestas HTTP públicas — nada intrusivo — con límite de 5 análisis por minuto por IP y protección anti-SSRF (rechaza IPs privadas o de red interna) para que no se pueda usar como proxy hacia infraestructura ajena.
Analizador de sitios
Pega un dominio y mira las 12 pruebas correr en vivo, con streaming de resultados.
Analizar un dominio →Fingerprint de dispositivos
Demo interactiva: abre una sala desde dos dispositivos y mira cómo se identifican sin cookies ni login.
Probar en vivo →Monitoreo y SLOs
Uptime, latencia p95 y presupuesto de error medidos por el motor de checks propio.
Ver /status →Security Operations
Micro-SIEM propio: intentos de intrusión detectados y bloqueados, en agregado y en vivo.
Ver /security →Load testing (k6)
Latencia p50/p95/p99 bajo 100–1000 usuarios concurrentes contra un entorno de staging.
Los datos no son capturas ni ejemplos: se leen en el servidor de la misma base (Turso/libSQL) donde el pipeline, los experimentos y la pasarela escriben sus resultados. Lo que falla también se muestra.
Los experimentos de chaos corren con cinturones de seguridad: TTL máximo de 15 minutos, rutas críticas excluidas por código y kill-switch. Todo el sistema es fail-open: un fallo del laboratorio nunca tumba el sitio.
El detalle crudo (parámetros, payloads, flags activos) vive en el panel privado. Aquí se publica el veredicto agregado — suficiente para verificar, sin regalar el mapa interno.