Audita la seguridad de tu web en 1 hora: checklist práctico para no técnicos

La seguridad de un web no es binaria —no es 'seguro' o 'inseguro'. Es un espectro. El objetivo de una auditoría básica no es encontrar vulnerabilidades de zero-day que requieren habilidades avanzadas: es eliminar las vulnerabilidades que cualquier script kiddie con herramientas automáticas podría aprovechar en 5 minutos. Sorprendentemente, la mayoría de webs de pymes fallan en estos controles básicos.

Herramientas gratuitas para hacer la auditoría

Antes de empezar, debes saber que las mejores herramientas para una auditoría básica son todas gratuitas y no requieren instalar nada. SSL Labs (ssllabs.com/ssltest) analiza la configuración SSL/TLS de tu servidor en 2 minutos y te da una nota de A+ a F. Security Headers (securityheaders.com) analiza los HTTP security headers de tu web e indica cuáles faltan. Sucuri SiteCheck (sitecheck.sucuri.net) escanea tu web en busca de malware y código inyectado. Mozilla Observatory (observatory.mozilla.org) hace un análisis completo de seguridad de tu web.

Todas estas herramientas funcionan desde el navegador —no necesitas acceso FTP ni SSH. Puedes hacer la totalidad de la auditoría básica en menos de 30 minutos con solo el dominio de tu web.

• HTTPS y SSL: verifica que tu web tiene HTTPS activo, que el certificado no caduca en los próximos 60 días, y que la puntuación en SSL Labs es al menos B. Una puntuación C o inferior indica configuraciones SSL obsoletas (TLS 1.0/1.1) que hay que desactivar.
• Security headers: comprueba en securityheaders.com que tienes al menos: Strict-Transport-Security (HSTS), X-Frame-Options: DENY o SAMEORIGIN, X-Content-Type-Options: nosniff, Content-Security-Policy (aunque puede ser complejo de configurar correctamente). Una nota A o B es el objetivo.
• Malware scan: ejecuta Sucuri SiteCheck con tu dominio. Si aparece alguna alerta roja (malware detectado, dominio en blacklists), es una emergencia —contacta tu hosting inmediatamente.
• Versiones de software expuestas: verifica que la cabecera HTTP 'Server' no revela la versión exacta del servidor (ej: 'Apache/2.4.51' es información útil para un atacante). En tu hosting o via Cloudflare puedes suprimir o minimizar esta información.
• Exposición del directorio .git: busca manualmente en el navegador https://tuweb.com/.git/config. Si carga contenido, tu repositorio git es accesible públicamente —un desastre de seguridad que expone todo el código fuente y potencialmente las credenciales.
• Credenciales por defecto: si usas WordPress, verifica que no existe el usuario 'admin'. Cambia el prefijo de las tablas de la base de datos si es 'wp_'. Estas dos medidas eliminan el 80% de los ataques de fuerza bruta automatizados.
• robots.txt y sitemap: revisa tu robots.txt (https://tuweb.com/robots.txt). Asegúrate de que no expone paths sensibles de administración que no sabías que eran públicos.
• Contraseñas y 2FA: con una cuenta de prueba, intenta acceder al panel de administración con contraseñas comunes. Si es posible, activa 2FA inmediatamente. Si tu CMS no ofrece 2FA nativo, hay plugins para WordPress (Two Factor, WP 2FA).

Cuándo hace falta una auditoría profesional

Una auditoría básica como la que hemos descrito es suficiente para detectar y corregir las vulnerabilidades más habituales. Pero no es suficiente para algunos casos: si procesas datos médicos o financieros, si tu negocio dependería de una interrupción de servicio, si has tenido un incidente reciente, o si quieres certificarte para clientes que exigen estándares de seguridad.

En estos casos, una auditoría profesional (penetration testing) realizada por un equipo especializado —con metodología OWASP, análisis de código, pruebas de intrusión black-box y white-box, e informe de remediación priorizado— es la inversión correcta. El coste típico de una pentest básica para una web de pymes está entre 1.500€ y 5.000€ en función de la complejidad. Un incidente de seguridad grave cuesta, de media, 10 veces más.

Hacer una auditoría básica mensual es mucho más barato que gestionar un incidente. 1 hora al mes es el mejor seguro que puedes contratar.