Cómo leer un security score sin comerte humo

"Tu sitio tiene un score de 94/100." Suena tranquilizador. Pero ¿qué significa ese 94? ¿Quién lo calculó? ¿Sobre qué? ¿Cuándo? ¿Baja si algo falla? ¿Hay forma de verificarlo?

La industria de seguridad WordPress está llena de scores de 0-100. La mayoría son inventos de marketing. Algunos son reales. Saber distinguir entre ambos toma 30 segundos si sabés qué preguntar.

Acá están las 6 preguntas que un comprador serio hace antes de creer un security score.

Pregunta 1 — ¿La fórmula está pública?

Un score real es un cálculo determinístico sobre variables medibles. Si vos hacés los mismos checks contra el mismo sitio en el mismo momento, deberías obtener el mismo número.

Cuando un score es marketing, la "fórmula" es opaca: "nuestro algoritmo propietario evalúa más de 400 puntos de seguridad". Eso es un caja negra imposible de auditar.

Test rápido: pedile al proveedor que te muestre los pesos exactos.

backup_health    → 20%
hardening        → 20%
waf_edge         → 15%
threat_detection → 15%
identity_2fa     → 10%
incident_hygiene → 10%
trust_freshness  → 10%

Si la respuesta es "es secret sauce", el score es marketing. Si la respuesta son números concretos como arriba, es probablemente serio.

Drokio publica los pesos en el código fuente público (trust-store.ts del repo público) y en cada verify page. Cualquiera puede verificar el cálculo.

Pregunta 2 — ¿Los sub-scores son visibles individualmente?

Un score global solo es "94" — útil para marketing, no para diagnóstico. Si necesitás saber qué falla, necesitás el desglose.

Test rápido: ¿podés ver cada sub-score individualmente con su razón?

Score serio:

hardening:        100 — HSTS, X-Frame, CSP, nosniff, edge Cloudflare presentes
waf_edge:          70 — Rules R1+R2 registered, enforcement mode not curl-verified
backup_health:     80 — Off-host backup 29h ago — within 48h window
identity_2fa:     100 — 5/5 critical accounts ✓, no SMS-only
threat_detection:  85 — Status operational, Brain reachable, OSINT feeds active
incident_hygiene:  80 — No post-mortems recorded last 90d
trust_freshness:  100 — State recomputed on each request

Cada línea es una afirmación verificable. Si el score baja, sabés exactamente cuál sub-score lo bajó y por qué.

Score humo:

Security Score: 94/100
🛡️ Excellent

Eso no te sirve para nada. No sabés qué está midiendo, qué pasaría si algo cae, qué hacer para mejorarlo.

Pregunta 3 — ¿El score baja cuando algo falla?

Un score de marketing siempre dice "94" porque es decorativo. Un score real refleja la realidad — incluso cuando esa realidad es mala.

Test rápido: ¿qué pasaría si tu backup off-host no se hace por 7 días? ¿Si tu 2FA se desactiva? ¿Si tu WAF tumba? Si el score se queda igual, es decorativo.

Score serio:

• Backup off-host expira → backup_health cae a 0 → score global baja.
• Estado pasa de Verified a At Risk → badge cambia de verde a gris.
• Cuando se remedia → score sube automáticamente.

Score humo:

• Cualquier evento → score sigue 94/100. Siempre verde. Siempre tranquilo.

Drokio publicó su propio mecanismo: si las reglas WAF de drokio.com estuvieran en modo "Log only" en lugar de "Managed Challenge", el sub-score waf_edge se capea a 70 — y de hecho hoy lo está, porque el founder no verificó el modo. Esa honestidad operativa hace creíble el resto.

Pregunta 4 — ¿Hay disclaimer legal?

Un score real declara explícitamente lo que NO es:

• NO es certificación SOC 2.
• NO es ISO 27001.
• NO es PCI-DSS.
• NO es auditoría externa.
• NO garantiza protección 100%.

Si el score que estás evaluando NO trae ese disclaimer, el proveedor te está vendiendo algo que después puede negar legalmente cuando algo falle.

Disclaimer real (extraído de las verify pages Drokio):

"Drokio attestations are issued by Fanfusion Digital LLC based on automated continuous monitoring of declared controls. NOT a substitute for SOC 2, ISO 27001, PCI-DSS, HIPAA or third-party audits. No security system guarantees 100% protection."

Eso es honest. Te dice: esto NO reemplaza una auditoría externa. Te dice: esto NO es garantía. Te dice: esto es monitoreo continuo que declaramos.

Score humo:

"🛡️ Trusted Security · 100% Protected · Bank-grade encryption"

Cualquiera de las 3 frases es señal de marketing. "Bank-grade" no significa nada técnicamente. "100% protected" es legalmente indefendible. "Trusted Security" es tautología.

Pregunta 5 — ¿La metadata es auditable?

Un score real apunta a evidencia que un tercero puede verificar:

• Hash SHA-256 del último backup.
• Timestamp de la última verificación.
• URL de los logs.
• Número de incidentes reportados con post-mortems públicos.

Score serio incluye:

last_verified:   2026-05-01T16:01:00.000Z
next_check_at:   2026-05-01T16:16:00.000Z
backup_sha256:   78f7b9eaaf7c5ca51964fc8ca6cdb71a5f0dd575abe09567b9437b5cf6519bb2
evidence_url:    /api/v1/trust/<slug>/evidence/<ref>

Un auditor con acceso al artefacto puede verificar el hash. Un crawler puede verificar el timestamp. Un investigador puede verificar la URL.

Score humo:

"Last scanned: today"

"Today" no es un timestamp. "Scanned" no es una operación específica. "By us" no es una entidad verificable.

Pregunta 6 — ¿Quién emite el score?

Esto es el más sutil pero el más importante. Un score "94/100" emitido por:

• Tu propio sitio (mysite.com/security-status): es un autoreporte no auditable.
• El plugin que vendiste (interna del plugin que estás evaluando): conflict of interest claro — el plugin se evalúa a sí mismo.
• Un tercero gratis (crawler externo tipo SiteCheck): mejor, pero la metodología varía y suele ser superficial (chequea headers públicos, no integridad interna).
• Una entidad con producto vivo + URL pública verificable (Drokio TrustOS): el emisor declara "yo emito esta atestación, tengo skin in the game si te miento".

Score serio incluye en cada PDF/page:

Issued by: Fanfusion Digital LLC
Disputes:  security@drokio.com
Disclosure: https://drokio.com/legal/security

Score humo:

SecurePlugin Verified

¿Quién verifica? ¿Qué pasa si te equivocan? ¿Cuál es el procedimiento de disputa? Sin esas respuestas, el "verified" es decoración.

Las 6 preguntas resumidas

1. ¿La fórmula está pública? (pesos visibles)
2. ¿Los sub-scores son desglosables? (no solo número global)
3. ¿El score baja cuando algo falla? (refleja realidad, no marketing)
4. ¿Hay disclaimer legal? (NO substitute for audits)
5. ¿La metadata es auditable? (hashes, timestamps, URLs verificables)
6. ¿Quién lo emite y se hace responsable? (entidad con skin in the game)

Si tu proveedor de seguridad responde sí a las 6, su score es serio. Si responde sí a 4-5, es probablemente serio con gaps menores. Si responde sí a menos de 4, es marketing.

Cómo cumple Drokio TrustOS

| Pregunta | Drokio TrustOS | |---|---| | Fórmula pública | ✓ Pesos en trust-store.ts del repo público | | Sub-scores desglosables | ✓ 7 sub-scores con razón en cada verify page | | Baja cuando algo falla | ✓ Cron 15min recomputa; backup score menor a 50 → at_risk | | Disclaimer legal | ✓ Cada verify page + cada PDF (cuando exista) | | Metadata auditable | ✓ SHA-256 + timestamps + endpoint /api/v1/trust/<slug>/evidence/<ref> | | Emisor identificado | ✓ Fanfusion Digital LLC + security@drokio.com |

No te pedimos que confíes — te invitamos a verificar.

Empezá por nuestro propio score. Drokio aplica TrustOS a sí mismo. Score actual: live. Verás exactamente las 6 preguntas respondidas con datos reales sobre drokio.com.

→ Ver verify page de Drokio