Seguridad web para no técnicos: protege tu negocio online

En 2025, el 43% de los ciberataques apuntaron a pymes. No porque tengan datos más valiosos que una gran empresa, sino porque son más fáciles de atacar. Si tu web tiene formularios, login de usuarios o procesa pagos, eres un objetivo. Aquí va lo que necesitas saber — sin tecnicismos innecesarios.

Las 5 amenazas más comunes

1. Inyección SQL

Un atacante introduce código malicioso en un formulario (login, búsqueda, contacto) y accede a tu base de datos. Puede leer contraseñas, emails de clientes, datos de pago.

Protección: usar consultas parametrizadas (tu desarrollador sabe qué es). Nunca concatenar input del usuario directamente en consultas SQL.

2. Cross-Site Scripting (XSS)

Un atacante inyecta JavaScript en tu web que se ejecuta en el navegador de tus visitantes. Puede robar cookies de sesión, redirigir a páginas falsas o mostrar formularios de phishing.

Protección: escapar todo el contenido generado por usuarios. Configurar cabeceras Content-Security-Policy.

3. Fuerza bruta en login

Bots que prueban miles de combinaciones de usuario/contraseña por minuto en tu formulario de login.

Protección: límite de intentos (ej.: 5 intentos, bloqueo 15 minutos), CAPTCHA después de 3 fallos, autenticación en dos factores (2FA).

4. Plugins y CMS desactualizados

El 56% de los hackeos en WordPress se deben a plugins sin actualizar. Cada plugin es una puerta potencial: si no lo actualizas, alguien entrará.

Protección: actualizar semanalmente, eliminar plugins que no uses, usar solo plugins con mantenimiento activo.

5. Phishing y suplantación

Emails que parecen ser de tu empresa pidiendo datos a tus clientes. Si tu dominio no tiene SPF, DKIM y DMARC configurados, cualquiera puede enviar emails "desde" tu dirección.

Protección: configurar registros SPF, DKIM y DMARC en tu DNS.

Checklist de seguridad mínima

1. HTTPS en toda la web — sin excepciones. Redirección HTTP → HTTPS automática.
2. Cabeceras de seguridad: X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security.
3. Contraseñas hasheadas con bcrypt o argon2 — nunca en texto plano, nunca con MD5.
4. Backups diarios almacenados fuera del servidor de producción.
5. Firewall de aplicación web (WAF) — Cloudflare gratis ya filtra mucho.
6. Monitorización de integridad — alertas si alguien modifica archivos del servidor.
7. Política de contraseñas para administradores: mínimo 12 caracteres, sin repeticiones.
8. Acceso SSH con clave, nunca con contraseña. Cambiar el puerto por defecto.

Qué hacer si te hackean

1. No entres en pánico — pero actúa rápido.
2. Desconecta la web (modo mantenimiento) para evitar que el atacante siga activo.
3. Identifica el vector: ¿plugin vulnerable? ¿contraseña débil? ¿inyección SQL?
4. Restaura desde backup limpio — no intentes "limpiar" una web comprometida, restáurala.
5. Cambia todas las contraseñas: admin, base de datos, FTP, hosting, email.
6. Notifica a tus usuarios si hubo acceso a datos personales (obligatorio por RGPD).
7. Analiza y parcheA: cierra la vulnerabilidad antes de volver a poner la web online.

Cuánto cuesta la seguridad

Mucho menos que un hackeo:

• Certificado SSL: gratis con Let's Encrypt.
• WAF (Cloudflare): gratis en plan básico, 20 €/mes en Pro.
• Auditoría de seguridad: 500–2.000 € según la complejidad de la web.
• Recuperación post-hackeo: 500–5.000 € + daño reputacional incalculable.

Invertir 200 €/mes en mantenimiento con seguridad incluida es infinitamente más barato que los 10.000 € que cuesta un desastre.

Conclusión

La seguridad web no es opcional ni es solo cosa de "los informáticos". Es una responsabilidad de negocio. Los ataques no discriminan por tamaño: si tienes una web con login, formularios o pagos, eres un objetivo. La buena noticia: protegerse es más fácil y barato de lo que parece.