La seguridad no es un producto que compras una vez y olvidas. Es un pequeño conjunto de hábitos aplicados con consistencia. La buena noticia: la mayoría de las webs de empresa y aplicaciones web pueden cubrir el grueso de los riesgos realistas con un puñado de prácticas básicas.
HTTPS y gestión de certificados
Toda página debe cargarse sobre HTTPS. Esto ya no es algo deseable, los navegadores, los usuarios y los buscadores tratan HTTP como roto. Redirige HTTP a HTTPS, renueva los certificados automáticamente (la mayoría de los proveedores lo hacen gratis), y comprueba que han desaparecido las advertencias de contenido mixto.
Autenticación bien hecha
- Usa contraseñas o frases de paso largas, no cortas y complejas.
- Activa la autenticación de dos factores (2FA) para todo lo que importe, paneles de administración, cuentas de alojamiento, email, herramientas de pago.
- Usa un gestor de contraseñas en el equipo, no una hoja de cálculo compartida.
- Elimina cuentas cuando la gente se marcha. Las cuentas "inactivas" son un punto de entrada habitual.
Acceso de administración
Las URL de administración no deberían ser adivinables desde fuera. Limita la tasa de intentos de inicio de sesión, registra los intentos fallidos, y considera una capa extra (lista de IP permitidas o VPN) para paneles muy sensibles.
Actualizaciones de software
La mayoría de las vulnerabilidades públicas se corrigen rápido tras su divulgación; el riesgo real es ejecutar software que no se ha actualizado en meses. Mantén el framework, el CMS, los plugins, el runtime y las librerías al día. Programa actualizaciones rutinarias en lugar de hacerlas solo tras un incidente.
Manejo seguro de la entrada del usuario
- Valida en el servidor, no solo en el navegador, cualquier cosa que venga del cliente puede modificarse.
- Usa consultas parametrizadas o un ORM adecuado para prevenir la inyección SQL.
- Escapa la salida correctamente para prevenir el cross-site scripting (XSS).
- Limita qué archivos pueden subir los usuarios, y dónde van.
- Limita la tasa de los formularios y endpoints que los atacantes apuntan (inicio de sesión, registro, contacto).
Secretos y configuración
- No escribas contraseñas, claves de API o tokens directamente en el código fuente.
- Mantenlos en variables de entorno o en un gestor de secretos, sin subirlos al repositorio.
- Rota los secretos cuando alguien se marche, o tras cualquier incidente.
Copias de seguridad y recuperación
Una copia de seguridad no es una copia de seguridad hasta que se ha restaurado. Las copias regulares y automatizadas son esenciales, pero también lo es un procedimiento probado para restaurarlas. El ransomware y los borrados accidentales le ocurren a todo el mundo tarde o temprano.
Monitorización y registros
No puedes reaccionar a lo que no ves. Como mínimo, conserva los registros del servidor, captura los errores de la aplicación, y configura alertas ante picos inusuales de respuestas 401/403/500. Así es como descubres un ataque pronto en lugar de a posteriori.
Privacidad y cumplimiento
- Recopila solo los datos que realmente necesitas.
- Ten una política de privacidad clara y un consentimiento de cookies que refleje la realidad, no una plantilla copiada de otro sitio.
- Entiende qué datos están regulados (pagos, salud, datos personales bajo el RGPD) y trátalos en consecuencia.
Errores habituales
- Auditorías de seguridad que se quedan en el informe. Los hallazgos necesitan corregirse y verificarse, no solo archivarse.
- "Somos demasiado pequeños para ser un objetivo". La mayoría de los ataques están automatizados y buscan cualquier sistema sin parchear.
- Tratar las contraseñas como toda la historia. La 2FA, las actualizaciones, las copias de seguridad y la monitorización importan más que las reglas de complejidad de contraseñas.
- Una sola persona con todas las llaves. El acceso crítico debería tener un propietario de respaldo, documentado con claridad.

