Saltar al contenido principal

Prácticas de seguridad mínimas

Resumen ejecutivo

La seguridad en aplicaciones web no es opcional. Los ataques son más frecuentes y sofisticados que antes, y cualquier aplicación que maneje datos reales de usuarios necesita estas protecciones. Este documento define los requisitos mínimos de seguridad - no son sugerencias, son obligatorios para operar de manera responsable.

1. Autenticación y autorización

Multi-factor authentication (MFA) - obligatorio

Todo usuario debe tener al menos 2 factores de autenticación:

  • Factores aceptados:
    • Algo que sabes (contraseña)
    • Algo que tienes (teléfono, token, app autenticadora)
    • Algo que eres (biométrico)
  • Códigos de respaldo: Encriptados para recuperación
  • Sin excepciones: Especialmente para usuarios administrativos

Gestión de sesiones seguras

  • Duración máxima: 15 minutos de inactividad
  • Renovación automática: Con cada actividad válida
  • Logout automático: Por inactividad
  • Almacenamiento: Solo en cookies HTTPOnly, Secure, SameSite
AL_INICIAR_SESION:
  VALIDAR credenciales primarias
  REQUERIR segundo factor
  GENERAR token con expiración corta
  CONFIGURAR cookie segura
  REGISTRAR evento de seguridad

Control de acceso basado en roles (RBAC)

  • Menor privilegio: Usuarios solo acceden a lo necesario
  • Roles separados: Diferentes responsabilidades en roles distintos
  • Revisión periódica: Auditoría trimestral de permisos
  • Revocación inmediata: Desactivación automática al cambiar rol

2. Protección de datos

Cifrado en reposo

  • Estándar mínimo: AES-256
  • Qué cifrar: Todos los datos sensibles (PII, financieros, autenticación)
  • Gestión de claves: Rotación automática cada 90 días
  • Separación: Claves almacenadas separadas de los datos

Cifrado en tránsito

  • Protocolo mínimo: TLS 1.3
  • Certificados: Validación extendida (EV) para sitios críticos
  • HSTS: Forzar HTTPS en todos los subdominios
  • Certificate pinning: Para aplicaciones móviles

Clasificación y manejo de datos

  • Categorización automática: Identificar datos sensibles
  • Etiquetado: Marcar nivel de confidencialidad
  • Retención: Políticas de eliminación automática
  • Anonimización: Para datos de analítica
AL_ALMACENAR_DATOS:
  CLASIFICAR nivel de sensibilidad
  APLICAR cifrado apropiado
  ESTABLECER fecha de expiración
  REGISTRAR en audit log
  VERIFICAR cumplimiento de políticas

3. Seguridad de comunicaciones

Headers de seguridad obligatorios

  • Content Security Policy (CSP): Prevenir XSS
  • X-Content-Type-Options: Prevenir MIME sniffing
  • X-Frame-Options: Prevenir clickjacking
  • Strict-Transport-Security: Forzar HTTPS
  • Referrer-Policy: Controlar información de referencia

Política de seguridad de contenido (CSP)

  • Política por defecto: Solo fuentes propias
  • Script sources: Hash o nonce específicos
  • Reporting: Endpoint para violaciones
  • Monitoreo: Alertas en tiempo real

Rate limiting y throttling

  • Por endpoint: Límites específicos según función
  • Por usuario: Prevenir abuso individual
  • Global: Protección contra ataques DDoS
  • Ajustes dinámicos: Basados en comportamiento

4. Seguridad del frontend

Validación y sanitización de entrada

  • Validación dual: Cliente y servidor
  • Enfoque whitelist: Solo permitir caracteres/formatos esperados
  • Sanitización automática: Para contenido HTML/Markdown
  • Límites estrictos: Tamaño y complejidad de inputs

Protección contra XSS

  • Escapado automático: En todos los templates
  • Sanitización de HTML: Para contenido dinámico
  • CSP estricto: Bloquear scripts inline no autorizados
  • Validación de DOM: Prevenir manipulación maliciosa
AL_PROCESAR_INPUT_USUARIO:
  VALIDAR formato y longitud
  SANITIZAR contenido peligroso
  APLICAR whitelist de caracteres
  REGISTRAR intento sospechoso si aplica
  EJECUTAR validación de negocio

5. Supply chain security y gestión de dependencias

Auditoría y escaneo de dependencias

  • Auditoría continua: Escaneo automático con Snyk, npm audit, OWASP Dependency Check
  • Software Bill of Materials (SBOM): Inventario completo de componentes
  • Dependency pinning: Versiones exactas en producción, lock files obligatorios
  • Verificación de integridad: Signatures y checksums para paquetes críticos

Gestión de registros y paquetes

  • Registros privados: Proxy interno para filtrar y aprobar paquetes
  • Análisis de licencias: Cumplimiento legal y whitelist de licencias
  • Monitoreo en tiempo real: Detección de packages comprometidos
  • Workflow de aprobación: Proceso de revisión antes de usar en producción

Políticas de dependencias

  • Updates automáticos: Para parches de seguridad críticos
  • Umbrales de vulnerabilidad: Límites de severidad para bloquear builds
  • Límites de antigüedad: Políticas para actualizar componentes obsoletos
  • Respuesta de emergencia: Procedimientos para dependencias comprometidas

6. Seguridad del backend

Seguridad de APIs

  • Autenticación obligatoria: Para todos los endpoints sensibles
  • Rate limiting granular: Por endpoint y usuario
  • Validación de esquemas: JSON Schema o equivalente
  • Versionado seguro: Deprecación controlada

Seguridad de base de datos

  • Consultas preparadas: Nunca concatenar SQL
  • Menor privilegio: Usuarios DB con permisos mínimos
  • Cifrado de campos: Para datos especialmente sensibles
  • Auditoría completa: Log de todas las operaciones

Manejo seguro de errores

  • Información mínima: Nunca exponer detalles internos
  • Logging detallado: Para análisis interno
  • Códigos consistentes: Respuestas uniformes por tipo de error
  • Monitoreo: Alertas por patrones de error inusuales

7. Seguridad de infraestructura

Contenedores y orquestación

  • Imágenes mínimas: Solo componentes necesarios
  • Escaneo de vulnerabilidades: Antes del despliegue
  • Usuarios no privilegiados: Nunca ejecutar como root
  • Gestión de secretos: Nunca hardcodear credenciales

Seguridad de red

  • Segmentación: Aislamiento entre servicios
  • Firewall de aplicación web (WAF): Protección perimetral
  • Detección de intrusiones: Monitoreo en tiempo real
  • Zero-trust: Verificar siempre, nunca confiar

Gestión de secretos

  • Centralización: Vault o servicio equivalente
  • Rotación automática: Programada y por eventos
  • Acceso auditado: Log de todos los accesos
  • Cifrado completo: En tránsito y reposo para todos los secretos
AL_DESPLEGAR_APLICACION:
  ESCANEAR imagen por vulnerabilidades
  VALIDAR configuración de seguridad
  APLICAR políticas de red
  CONFIGURAR monitoreo
  VERIFICAR secrets management

8. Monitoreo y respuesta a incidentes

Logging de seguridad

  • Eventos críticos: Autenticación, autorización, cambios de datos
  • Formato estructurado: JSON para facilitar análisis
  • Retención adecuada: Mínimo 1 año para auditorías
  • Integridad: Logs inmutables y firmados

Monitoreo en tiempo real

  • SIEM: Security Information and Event Management
  • Alertas automáticas: Para patrones sospechosos
  • Dashboards ejecutivos: Métricas de seguridad en tiempo real
  • Machine learning: Detección de anomalías

Plan de respuesta a incidentes

  • Equipo definido: Roles y responsabilidades claras
  • Procedimientos documentados: Pasos específicos por tipo de incidente
  • Comunicación: Canales seguros y escalación definida
  • Recuperación: Procedimientos de restauración y continuidad

9. DevSecOps - seguridad en el ciclo de desarrollo

Seguridad en CI/CD

  • Análisis estático (SAST): En cada commit
  • Análisis dinámico (DAST): En cada despliegue
  • Análisis de dependencias: Automatizado
  • Gates de seguridad: No permitir despliegue con vulnerabilidades críticas

Testing de seguridad

  • Pruebas automatizadas: Integradas en CI/CD
  • Penetration testing: Trimestral por terceros
  • Bug bounty: Programa de recompensas por vulnerabilidades
  • Red team exercises: Simulación de ataques avanzados

Code review de seguridad

  • Peer review obligatorio: Para todo código sensible
  • Checklists de seguridad: Verificación sistemática
  • Herramientas automatizadas: Análisis de patrones inseguros
  • Training continuo: Actualización en mejores prácticas

10. Compliance y regulaciones

GDPR y privacidad

  • Privacy by design: Desde el diseño inicial
  • Consentimiento explícito: Para procesamiento de datos
  • Derecho al olvido: Eliminación completa de datos
  • Portabilidad: Exportación de datos del usuario

SOC 2 Type II

  • Controles organizacionales: Políticas y procedimientos
  • Controles técnicos: Implementación de seguridad
  • Auditoría anual: Por firma certificada
  • Seguimiento de hallazgos: Tracking de remediation

Estándares de la industria

  • OWASP Top 10: Protección contra vulnerabilidades principales
  • ISO 27001: Marco de gestión de seguridad
  • NIST Framework: Identificar, Proteger, Detectar, Responder, Recuperar
  • PCI DSS: Si manejas datos de tarjetas de crédito

11. Seguridad específica para aplicaciones de IA

Protección contra prompt injection

  • Validación de entrada: Filtros específicos para prompts maliciosos
  • Sandboxing: Ejecución aislada de prompts
  • Rate limiting: Límites específicos para interacciones con IA
  • Monitoreo: Detección de patrones de abuso

Gestión de API keys de terceros

  • Rotación regular: Cambio programado de claves
  • Permisos mínimos: Solo accesos necesarios
  • Monitoreo de uso: Detección de abuso o comportamiento anómalo
  • Revocación inmediata: En caso de compromiso
AL_EJECUTAR_PROMPT_IA:
  VALIDAR permisos de usuario
  ESCANEAR input por patrones maliciosos
  APLICAR rate limiting
  EJECUTAR en entorno aislado
  REGISTRAR para auditoría
  MONITOREAR uso de recursos

12. Observabilidad avanzada y threat hunting

Security analytics y machine learning

  • User Entity Behavior Analytics (UEBA): Detección de anomalías en patrones de usuario
  • Threat hunting proactivo: Búsqueda manual de indicadores de compromiso
  • Security analytics: Correlación automática de eventos
  • Behavioral baselines: Patrones normales para detectar desviaciones
  • Threat intelligence: Feeds externos de indicadores maliciosos

Security orchestration and response (SOAR)

  • Automatización de respuestas: Playbooks automáticos para incidentes comunes
  • Case management: Gestión centralizada de incidentes
  • Workflow automation: Automatización de tareas repetitivas
  • Integration hub: Conexión entre herramientas de seguridad

Monitoreo avanzado

  • Application Performance Monitoring (APM): Visibilidad de performance con contexto de seguridad
  • Network traffic analysis: Inspección profunda de tráfico
  • File integrity monitoring: Detección de cambios no autorizados
  • Database activity monitoring: Supervisión de accesos anómalos

13. Infrastructure as Code security

Escaneo de seguridad IaC

  • Policy as Code: Definición de reglas de seguridad como código
  • Análisis estático: Análisis de templates de Terraform, CloudFormation, Kubernetes
  • Compliance checking: Verificación automática contra frameworks (CIS, SOC 2)
  • Drift detection: Identificación de cambios manuales vs. configuración definida

Cloud Security Posture Management (CSPM)

  • Configuration assessment: Evaluación continua de configuraciones cloud
  • Detección de misconfiguration: Buckets S3 públicos, security groups abiertos
  • Resource inventory: Mapeo completo de assets cloud
  • Optimización de costos: Identificación de recursos innecesarios

Seguridad de contenedores y serverless

  • Protección en runtime: Monitoreo de contenedores en ejecución
  • Image scanning: Análisis de vulnerabilidades en imágenes
  • Serverless monitoring: Visibilidad en funciones Lambda, Cloud Functions
  • Admission controllers: Políticas de Kubernetes para prevenir deployments inseguros

14. Seguridad de red avanzada

Protección DDoS y análisis de tráfico

  • Protección multi-layer: En red, transporte y aplicación
  • Traffic shaping: Control granular de flujo de tráfico
  • Geoblocking: Restricciones por ubicación geográfica
  • Rate limiting inteligente: Ajustes dinámicos según comportamiento

Micro-segmentación y zero trust network

  • Network segmentation: Aislamiento granular de recursos
  • Software-Defined Perimeter (SDP): Acceso basado en identidad y contexto
  • East-West traffic inspection: Monitoreo de comunicación interna
  • Dynamic access control: Permisos que se ajustan según contexto

Seguridad DNS y filtrado de contenido

  • DNS filtering: Bloqueo de dominios maliciosos
  • DNS over HTTPS (DoH): Cifrado de consultas DNS
  • Domain reputation: Análisis de reputación de dominios
  • Data exfiltration prevention: Detección de tunneling vía DNS

15. Continuidad del negocio y recuperación ante desastres

Planificación de recuperación ante desastres

  • Recovery Time Objective (RTO): Tiempo máximo de downtime (< 4 horas crítico)
  • Recovery Point Objective (RPO): Máxima pérdida de datos (< 1 hora)
  • Procedimientos de failover: Automáticos y manuales
  • Distribución geográfica: Backup en múltiples regiones

Seguridad de backups

  • Backups encriptados: Cifrado end-to-end de todas las copias
  • Backups inmutables: Protección contra ransomware
  • Testing de backups: Verificación regular de restauración
  • Air-gapped storage: Copias offline para protección avanzada

Comunicación de crisis

  • Plan de comunicación: Canales seguros durante crisis
  • Notificación de stakeholders: Clientes, reguladores, medios
  • Cumplimiento legal: Timelines de notificación (GDPR 72 horas)
  • Relaciones públicas: Gestión de reputación durante incidentes

16. Gestión de certificados y secretos avanzados

Public Key Infrastructure (PKI)

  • Certificate lifecycle management: Emisión, renovación y revocación automática
  • Certificate Authority (CA) management: Gestión de autoridades internas
  • Certificate transparency: Monitoreo de certificados públicos
  • Hardware Security Modules (HSM): Protección de claves en hardware

Gestión avanzada de secretos

  • Dynamic secrets: Generación temporal de credenciales
  • Secret scanning: Detección de credenciales hardcodeadas
  • Just-in-time access: Acceso temporal según necesidad
  • Vault clustering: Alta disponibilidad para gestión de secretos

Criptografía preparada para quantum

  • Algoritmos post-quantum: Preparación para amenazas cuánticas
  • Agilidad criptográfica: Capacidad de migrar rápidamente entre algoritmos
  • Key derivation functions: Implementación resistente a ataques cuánticos
  • Timeline planning: Roadmap para migración post-cuántica

17. Métricas y KPIs de seguridad

Indicadores clave

  • MTTR (Mean Time To Recovery): < 1 hora para incidentes críticos
  • Vulnerability remediation time: < 72 horas para críticas
  • Security incidents: < 1 por mes
  • Failed authentication attempts: Monitoreo continuo
  • API abuse rate: < 0.1% del tráfico total

Reporting ejecutivo

  • Dashboard en tiempo real: Métricas clave visibles 24/7
  • Reportes mensuales: Análisis de tendencias y recomendaciones
  • Informes de incidentes: Análisis post-mortem detallado
  • Estado de compliance: Situación actual vs. requisitos

Herramientas recomendadas por área

Autenticación y autorización

  • Enterprise: Auth0, Okta, Azure Active Directory
  • Open source: Keycloak, Ory Hydra, Supabase Auth
  • Cloud native: AWS Cognito, Google Identity Platform, Firebase Auth
  • MFA providers: Authy, Google Authenticator, YubiKey, Duo Security

Protección de datos

  • Encryption: HashiCorp Vault, AWS KMS, Azure Key Vault, Google Cloud KMS
  • Data loss prevention: Microsoft Purview, Symantec DLP, Forcepoint DLP
  • Database security: IBM Guardium, Imperva SecureSphere, Oracle Data Safe
  • Backup security: Veeam, Commvault, Rubrik, Cohesity

Seguridad de comunicaciones

  • WAF: Cloudflare, AWS WAF, Azure WAF, F5 BIG-IP ASM
  • CDN: Cloudflare, AWS CloudFront, Fastly, Akamai
  • API security: Postman, Insomnia, Kong Gateway, Apigee
  • Certificate management: Let's Encrypt, DigiCert, GlobalSign, Sectigo

Seguridad frontend

  • Code quality: SonarQube, CodeClimate, DeepCode, Codacy
  • SAST tools: Checkmarx, Veracode, Fortify, Semgrep
  • Bundle analysis: Webpack Bundle Analyzer, source-map-explorer
  • XSS protection: DOMPurify, OWASP Java HTML Sanitizer

Supply chain security

  • SBOM generation: Syft, CycloneDX, SPDX Tools, Tern
  • Package scanning: Snyk, WhiteSource, Sonatype Nexus, JFrog Xray
  • Registry security: JFrog Artifactory, Sonatype Nexus, Harbor
  • License compliance: FOSSA, Black Duck, WhiteSource, Snyk
  • Dependency scanning: GitHub Dependabot, npm audit, Yarn audit

Seguridad backend

  • API testing: Postman, Insomnia, REST Assured, Karate
  • Database tools: Liquibase, Flyway, Prisma, TypeORM
  • Secrets management: HashiCorp Vault, AWS Secrets Manager, CyberArk
  • Runtime protection: Snyk Runtime, Contrast Security, RASP solutions

Seguridad de infraestructura

  • Container security: Twistlock/Prisma Cloud, Aqua Security, Trivy, Clair
  • Cloud security: Prowler, Scout Suite, CloudMapper, Dome9
  • IaC security: Checkov, Terrascan, Tfsec, Bridgecrew
  • Kubernetes security: Falco, OPA Gatekeeper, Polaris, Kube-bench

Monitoreo y observability

  • SIEM: Splunk, QRadar, ArcSight, Elastic Security
  • Logging: ELK Stack, Splunk, Fluentd, Logstash
  • APM: New Relic, Datadog, AppDynamics, Dynatrace
  • Threat hunting: CrowdStrike Falcon, Carbon Black, SentinelOne

DevSecOps

  • CI/CD security: GitLab CI, GitHub Actions, Jenkins, Azure DevOps
  • Vulnerability scanning: Snyk, WhiteSource, Veracode, Checkmarx
  • Container registries: Docker Hub, Amazon ECR, Google GCR, Harbor
  • DAST tools: OWASP ZAP, Burp Suite, Nessus, Rapid7

Compliance y governance

  • GRC platforms: ServiceNow GRC, MetricStream, LogicGate, Resolver
  • Audit tools: Nessus, Qualys, Rapid7, Tenable
  • Privacy management: OneTrust, TrustArc, BigID, Privacera
  • Risk assessment: RiskLens, FAIR-U, Resolver, ServiceNow

Observabilidad avanzada

  • UEBA: Splunk UBA, Exabeam, Securonix, Varonis
  • SOAR: Phantom, Demisto, Siemplify, Rapid7 InsightConnect
  • Threat intelligence: ThreatConnect, Anomali, TruSTAR, MISP
  • Security analytics: Elastic Security, Splunk Security, QRadar

Infrastructure as Code security

  • Policy as Code: Open Policy Agent, Styra, HashiCorp Sentinel
  • CSPM: Prisma Cloud, CloudSploit, Dome9, Aqua Wave
  • Config management: Terraform, Ansible, Chef, Puppet
  • Compliance scanning: AWS Config, Azure Policy, Google Cloud Asset Inventory

Seguridad de red

  • DDoS protection: Cloudflare, AWS Shield, Akamai, Arbor Networks
  • Network monitoring: Wireshark, SolarWinds, PRTG, Nagios
  • DNS security: Cloudflare for Teams, Cisco Umbrella, Quad9
  • Zero trust: Zscaler, Palo Alto Prisma, Cloudflare Access

Continuidad del negocio

  • Backup solutions: Veeam, Commvault, Acronis, Rubrik
  • DR planning: Zerto, VMware Site Recovery, AWS Disaster Recovery
  • Communication: Slack, Microsoft Teams, Zoom, WebEx
  • Documentation: Confluence, Notion, GitBook, Slab

Gestión de certificados y secretos

  • PKI: EJBCA, OpenSSL, Microsoft ADCS, HashiCorp Vault PKI
  • HSM: Thales Luna, Utimaco, AWS CloudHSM, Azure Dedicated HSM
  • Certificate monitoring: SSL Labs, Certificate Transparency logs, Censys
  • Key management: HashiCorp Vault, AWS KMS, CyberArk, Venafi

Consideraciones críticas

No negociables

  • MFA para todos los usuarios: Sin excepciones
  • Cifrado end-to-end: Para datos sensibles
  • Logs de auditoría: Completos e inmutables
  • Plan de respuesta a incidentes: Documentado y probado

Errores comunes que debes evitar

  • Pensar que "somos muy pequeños para ser atacados"
  • Implementar seguridad como añadido al final
  • Confiar en "security through obscurity"
  • No mantener inventario actualizado de assets

Próximos pasos

  1. Assessment actual: Evalúa tu estado de seguridad
  2. Análisis de brechas: Identifica qué te falta vs. este estándar
  3. Priorización: Ordena implementación basado en riesgo
  4. Timeline: Plan de ejecución con fechas específicas

Referencias y recursos

  • OWASP Application Security Verification Standard (ASVS)
  • NIST Cybersecurity Framework
  • ISO/IEC 27001:2022
  • SANS Top 25 Most Dangerous Software Errors
  • CIS Controls v8

Revisa este documento cada tres meses y actualízalo según la evolución de amenazas y mejores prácticas.