RECURSO GRATUITO

Checklist de Seguridad Web
para Empresas

15 controles críticos que tu equipo debe verificar antes de considerar segura vuestra infraestructura web. Diseñado por pentesters certificados.

Progreso de revisión 0 / 15
01 // Configuración HTTPS y Transporte
HSTS habilitado con duración ≥ 1 año
El header Strict-Transport-Security: max-age=31536000; includeSubDomains fuerza HTTPS en navegadores. Sin él, ataques SSL-stripping son triviales.
CRÍTICO
Certificado TLS válido y sin expirar en < 30 días
Los certificados caducados bloquean a los usuarios y dañan la credibilidad. Configura renovación automática (certbot/Let's Encrypt o similar).
CRÍTICO
Redireccionamiento HTTP → HTTPS forzado (301)
Todo el tráfico en el puerto 80 debe redirigirse con 301 al puerto 443. Evita que datos viajen sin cifrar por error del usuario.
ALTO
02 // Headers de Seguridad HTTP
Content-Security-Policy (CSP) configurado
CSP es la principal defensa contra XSS. Define qué fuentes de scripts, estilos e imágenes son permitidas. Sin él, un atacante puede inyectar JavaScript arbitrario.
CRÍTICO
X-Frame-Options: DENY o SAMEORIGIN
Previene que tu web sea embebida en un iframe de terceros, bloqueando ataques de clickjacking que pueden robar credenciales de usuario.
ALTO
X-Content-Type-Options: nosniff
Impide que el navegador interprete archivos con tipos MIME incorrectos, una técnica usada para ejecutar scripts disfrazados de imágenes u otros recursos.
ALTO
Referrer-Policy y Permissions-Policy presentes
Controlan qué información comparte el navegador al navegar hacia otras páginas y qué APIs del navegador (cámara, geolocalización) pueden ser usadas.
MEDIO
03 // Gestión de Autenticación y Sesiones
MFA habilitado para cuentas administrativas
El 80% de las brechas implican credenciales comprometidas. El segundo factor (TOTP/hardware key) bloquea el acceso incluso si la contraseña es filtrada.
CRÍTICO
Cookies con flags Secure, HttpOnly y SameSite
Sin estos flags, las cookies de sesión pueden ser robadas via XSS (HttpOnly), interceptadas en HTTP (Secure) o enviadas en requests CSRF (SameSite).
CRÍTICO
Rate limiting en endpoints de login
Sin límite de intentos, los atacantes pueden realizar ataques de fuerza bruta automatizados. Implementa bloqueo temporal tras N intentos fallidos.
ALTO
04 // Exposición de Información
Header Server no revela versión del software
Respuestas como Server: Apache/2.4.41 permiten a atacantes buscar exploits específicos para esa versión. Oculta o minimiza esta información.
MEDIO
Páginas de error personalizadas (no stack traces)
Los mensajes de error por defecto revelan rutas de archivos, tecnologías usadas y a veces credenciales. Configura páginas de error genéricas en producción.
ALTO
Archivos sensibles no accesibles públicamente
Verifica que .env, .git/, backups .sql, logs y configuraciones no sean accesibles via URL. Es uno de los fallos más comunes y críticos.
CRÍTICO
05 // Actualizaciones y Gestión de Dependencias
CMS, plugins y librerías actualizados
El 60% de los ataques explotan vulnerabilidades con parche disponible. Mantén WordPress/Drupal/dependencias npm actualizadas y usa herramientas como npm audit o Dependabot.
CRÍTICO
Plan de respuesta a incidentes documentado
¿Qué ocurre si mañana detectáis una brecha? El plan debe incluir: quién notifica, a qué autoridades (AEPD si hay datos personales), cómo se aísla el sistema y tiempos máximos de respuesta.
ALTO

¿Habéis detectado puntos débiles?

Nuestros pentesters certificados (OSCP) realizan una auditoría completa y os entregan un informe ejecutivo con priorización de riesgos y plan de remediación.

Solicitar auditoría Escaneo gratuito