{"id":786,"date":"2020-03-30T08:00:09","date_gmt":"2020-03-30T13:00:09","guid":{"rendered":"https:\/\/www.hostdime.la\/blog\/?p=786"},"modified":"2026-05-04T09:50:53","modified_gmt":"2026-05-04T14:50:53","slug":"tips-para-proteger-sus-aplicaciones-web","status":"publish","type":"post","link":"https:\/\/www.hostdime.la\/blog\/tips-para-proteger-sus-aplicaciones-web\/","title":{"rendered":"Tips para proteger sus aplicaciones web"},"content":{"rendered":"

Tips para proteger sus aplicaciones web.En la mayor\u00eda de los casos, los servidores de aplicaciones web deben ser de acceso p\u00fablico, lo que significa que est\u00e1n expuestos a todo tipo de amenazas.<\/p>\n

Muchas de estas amenazas son predecibles y f\u00e1cilmente evitables, mientras que otras son desconocidas y pueden pillarte desprevenido. Para minimizar la posibilidad de este \u00faltimo caso, ofrecemos una lista de consejos esenciales para mantener los servidores de aplicaciones web lo m\u00e1s seguros posible.<\/p>\n

Antes de comenzar con la lista de sugerencias, debe comprender que un servidor de aplicaciones web no es una isla. El servidor es el componente central de la granja de aplicaciones web que hace posible el alojamiento y el funcionamiento de una aplicaci\u00f3n web. Por lo tanto, para proteger, debe tener en cuenta todos los componentes que lo rodean y proteger todo el entorno de la aplicaci\u00f3n web.<\/p>\n

Un entorno b\u00e1sico para alojar y ejecutar aplicaciones web incluye el sistema operativo (Linux, Windows), el software de servidor web (Apache, Nginx), un servidor de base de datos. Si se rompe alguno de estos componentes, los atacantes podr\u00edan obtener acceso y realizar todas las acciones maliciosas que deseen.<\/p>\n

Un primer consejo b\u00e1sico para asegurar un entorno como el descrito anteriormente es leer las pautas de seguridad y la lista de mejores pr\u00e1cticas para cada uno de los componentes. Dicho esto, revisemos una serie de pautas de seguridad de sentido com\u00fan que se aplican a casi todos los entornos de aplicaciones web.<\/p>\n

El cortafuegos desmitificado<\/span><\/h2>\n

Es posible que sienta la tentaci\u00f3n de verificar r\u00e1pidamente este elemento y piense: “por suerte, ya tengo un firewall que protege mi red”. Pero es mejor que sostengas tus caballos.<\/p>\n

Su cortafuegos puede estar cuidando los l\u00edmites de su red, manteniendo alejados a los malos y a los buenos, pero seguramente est\u00e1 dejando una puerta abierta para que los atacantes entren en su servidor de aplicaciones web.<\/p>\n

\u00bfC\u00f3mo?<\/span><\/h3>\n

Simple: el firewall<\/a> de su red debe al menos permitir el tr\u00e1fico entrante en los puertos 80 y 443 (es decir, HTTP y HTTPS), y no sabe qui\u00e9n o qu\u00e9 est\u00e1 pasando a trav\u00e9s de esos puertos.
\nLo que necesita para proteger su aplicaci\u00f3n es un firewall de aplicaciones web (WAF) que analice espec\u00edficamente el tr\u00e1fico web y bloquee cualquier intento de explotar vulnerabilidades como la creaci\u00f3n de secuencias de comandos entre sitios o la inyecci\u00f3n de c\u00f3digo. Un WAF funciona como un antivirus y antimalware t\u00edpico: busca patrones conocidos en el flujo de datos y lo bloquea cuando detecta una solicitud maliciosa.<\/p>\n

Para ser eficaz, el WAF necesita que su base de datos se actualice constantemente con nuevos patrones de amenaza, para poder bloquearlos. El problema con la prevenci\u00f3n de ataques basados \u200b\u200ben patrones es que su aplicaci\u00f3n web puede ser uno de los primeros objetivos de una nueva amenaza que su WAF a\u00fan no conoce.<\/p>\n

Por estos motivos, su aplicaci\u00f3n web necesita capas de protecci\u00f3n adicionales adem\u00e1s del firewall de red.<\/p>\n

Analizar vulnerabilidades espec\u00edficas de la web<\/span><\/h2>\n

Nuevamente, no piense que su servidor de aplicaciones web est\u00e1 libre de vulnerabilidades solo porque su esc\u00e1ner de seguridad de red lo dice.<\/p>\n

Los esc\u00e1neres de red no pueden detectar vulnerabilidades espec\u00edficas de la aplicaci\u00f3n. Para detectar y eliminar estas vulnerabilidades, debe someter las aplicaciones a una serie de pruebas y auditor\u00edas, como pruebas de penetraci\u00f3n, escaneo de recuadros negros y auditor\u00eda de c\u00f3digo fuente. Sin embargo, ninguno de estos m\u00e9todos es a prueba de balas. Idealmente, debe realizar tantos como sea posible para eliminar todas las vulnerabilidades.<\/p>\n

Por ejemplo, los esc\u00e1neres de seguridad, como Netsparker , aseguran que ning\u00fan c\u00f3digo explotable llegue al entorno de producci\u00f3n. Pero podr\u00eda haber vulnerabilidades l\u00f3gicas que solo pueden detectarse mediante auditor\u00eda de c\u00f3digo manual. La auditor\u00eda manual, adem\u00e1s de costar mucho, es un m\u00e9todo humano y, por lo tanto, propenso a errores. Una buena idea para hacer este tipo de auditor\u00eda sin perder mucho dinero es incorporarlo en el proceso de desarrollo, principalmente educando a sus desarrolladores.\"\"<\/a><\/p>\n

Eduque a sus desarrolladores<\/span><\/h2>\n

Los desarrolladores tienden a pensar que sus aplicaciones se ejecutan en mundos ideales, donde los recursos son ilimitados, los usuarios no cometen errores y no hay personas con intenciones despiadadas. Desafortunadamente, en alg\u00fan momento, deben enfrentar problemas del mundo real, especialmente aquellos relacionados con la seguridad de la informaci\u00f3n.
\nAl desarrollar aplicaciones web, los codificadores deben conocer e implementar mecanismos de seguridad para garantizar que est\u00e9 libre de vulnerabilidades. Esos mecanismos de seguridad deben ser parte de la gu\u00eda de mejores pr\u00e1cticas que el equipo de desarrollo debe cumplir.<\/p>\n

La auditor\u00eda de calidad del software se utiliza para garantizar el cumplimiento de las mejores pr\u00e1cticas. Las mejores pr\u00e1cticas y la auditor\u00eda son las \u00fanicas formas de detectar vulnerabilidades l\u00f3gicas, como (por ejemplo) pasar par\u00e1metros no cifrados y visibles dentro de una URL, que un atacante podr\u00eda cambiar f\u00e1cilmente para hacer lo que quiere.<\/p>\n

Desactiva la funcionalidad innecesaria<\/span><\/h2>\n

Suponiendo que las aplicaciones web est\u00e9n tan libres de errores como sea posible y que la granja de servidores web est\u00e9 protegida, veamos qu\u00e9 se puede hacer en el servidor para protegerlo de los ataques.<\/p>\n

Un consejo b\u00e1sico de sentido com\u00fan es reducir el n\u00famero de puntos de entrada potencialmente vulnerables. Si los atacantes pueden explotar cualquiera de los componentes del servidor web, todo el servidor web podr\u00eda estar en peligro.
\nHaga una lista de todos los puertos abiertos y servicios o demonios en ejecuci\u00f3n en su servidor y cierre, deshabilite o apague los innecesarios. El servidor no debe usarse para ning\u00fan otro prop\u00f3sito que no sea ejecutar sus aplicaciones web, as\u00ed que considere trasladar todas las funciones adicionales a otros servidores en su red.<\/p>\n

Use entornos separados para el desarrollo, las pruebas y la producci\u00f3n.<\/span><\/h2>\n

Los desarrolladores y evaluadores necesitan privilegios en los entornos en los que trabajan que no deber\u00edan tener en el servidor de aplicaciones en vivo. Incluso si conf\u00eda ciegamente en ellos, sus contrase\u00f1as podr\u00edan filtrarse f\u00e1cilmente y caer en manos no deseadas.<\/p>\n

Adem\u00e1s de las contrase\u00f1as y los privilegios, en los entornos de desarrollo y prueba, generalmente hay puertas traseras, archivos de registro, c\u00f3digo fuente u otra informaci\u00f3n de depuraci\u00f3n que podr\u00eda exponer datos confidenciales, como nombres de usuario y contrase\u00f1as de bases de datos. El proceso de implementaci\u00f3n de la aplicaci\u00f3n web debe ser realizado por un administrador, que debe asegurarse de que no se exponga informaci\u00f3n confidencial despu\u00e9s de instalar la aplicaci\u00f3n en el servidor en vivo.<\/p>\n

El mismo concepto de segregaci\u00f3n debe aplicarse a los datos de la aplicaci\u00f3n. Los probadores y desarrolladores siempre prefieren trabajar con datos reales, pero no es una buena idea otorgarles acceso a la base de datos de producci\u00f3n, o incluso a una copia de la misma. Adem\u00e1s de las preocupaciones obvias de privacidad, la base de datos podr\u00eda contener par\u00e1metros de configuraci\u00f3n que revelen la configuraci\u00f3n interna del servidor, como direcciones de punto final o nombres de ruta, por nombrar un par.<\/p>\n

Mantenga actualizado el software de su servidor<\/span><\/h2>\n

Por obvio que parezca, esta es una de las tareas m\u00e1s olvidadas. SUCURI descubri\u00f3 que el 59% de las aplicaciones de CMS estaban desactualizadas, lo que est\u00e1 abierto a riesgos.
\nTodos los d\u00edas aparecen nuevas amenazas, y la \u00fanica forma de evitar que pongan en peligro su servidor es instalar siempre los \u00faltimos parches de seguridad.<\/p>\n

Mencionamos antes que los firewalls de red y los esc\u00e1neres de seguridad de red no son suficientes para prevenir ataques a aplicaciones web. Pero son necesarios para proteger su servidor de amenazas comunes de ciberseguridad, como los ataques DDoS . Por lo tanto, aseg\u00farese de tener dichas aplicaciones siempre actualizadas y de que protejan efectivamente su aplicaci\u00f3n comercial.<\/p>\n

Restringir acceso y privilegios<\/span><\/h2>\n

Una medida de seguridad b\u00e1sica es mantener el tr\u00e1fico de acceso remoto, como RDP y SSH, encriptado y tunelizado. Tambi\u00e9n es una buena idea mantener una lista reducida de direcciones IP desde donde se permite el acceso remoto, asegur\u00e1ndose de que cualquier intento de iniciar sesi\u00f3n remotamente desde cualquier otra IP est\u00e9 bloqueado.<\/p>\n

Los administradores ocasionalmente otorgan a las cuentas de servicio todos los privilegios posibles porque saben que, al hacerlo, “todo funcionar\u00e1”. Pero esta no es una buena pr\u00e1ctica ya que los atacantes pueden usar vulnerabilidades en los servicios para penetrar en el servidor. Si esos servicios se ejecutan con privilegios de administrador, pueden aprovechar todo el servidor.
\nUn buen equilibrio entre seguridad y practicidad requiere que cada cuenta, tanto las cuentas de inicio de sesi\u00f3n como las cuentas de servicio, tengan los privilegios que necesita para realizar su trabajo, y nada m\u00e1s.<\/p>\n

Por ejemplo, puede definir diferentes cuentas para que un administrador realice diferentes tareas: una para hacer copias de seguridad, otra para limpiar archivos de registro, otras para cambiar la configuraci\u00f3n de los servicios, etc. Lo mismo se aplica a las cuentas de la base de datos: una aplicaci\u00f3n generalmente solo necesita los permisos para leer y escribir datos, y no para crear o descartar tablas. Por lo tanto, debe ejecutarse con una cuenta con privilegios limitados para realizar las tareas que necesita realizar.<\/p>\n

Est\u00e9 atento a los registros del servidor<\/span><\/h2>\n

Los archivos de registro est\u00e1n ah\u00ed por una raz\u00f3n.<\/p>\n

Los administradores deben monitorearlos regularmente para detectar cualquier comportamiento sospechoso antes de que cause alg\u00fan da\u00f1o. Al analizar los archivos de registro , puede descubrir mucha informaci\u00f3n para ayudarlo a proteger mejor la aplicaci\u00f3n. Si ocurriera un ataque, los archivos de registro podr\u00edan mostrarle cu\u00e1ndo y c\u00f3mo comenz\u00f3, lo que ayudar\u00e1 a mejorar el control de da\u00f1os.
\nTambi\u00e9n debe tener un procedimiento automatizado para eliminar archivos de registro antiguos o para eliminar informaci\u00f3n obsoleta, para evitar que consuman todo el espacio de almacenamiento disponible en el servidor.<\/p>\n

Consejo extra: mant\u00e9ngase informado<\/span><\/h2>\n

Hay una gran cantidad de informaci\u00f3n gratuita y \u00fatil en Internet que puede utilizar en beneficio de su aplicaci\u00f3n web. No se pierda ninguna publicaci\u00f3n nueva en blogs de seguridad acreditados (como este) y mant\u00e9ngase informado sobre lo que est\u00e1 sucediendo en la industria de la seguridad y la web.<\/p>\n

Los tutoriales , cursos , videos y libros tambi\u00e9n son fuentes de conocimiento \u00fatil. Practique pasar una o dos horas a la semana solo para mantenerse informado de las noticias de la industria: le dar\u00e1 la tranquilidad de saber que est\u00e1 haciendo lo correcto para mantener sus aplicaciones seguras.<\/p>\n

Leer tambi\u00e9n:Tendencias en Ciberseguridad, para empresas y personas<\/a>; \u00bfQu\u00e9 sucede cuando sus servidores caen?<\/a>; Mejores pr\u00e1cticas de prevenci\u00f3n de p\u00e9rdida de datos<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Tips para proteger sus aplicaciones web.En la mayor\u00eda de los casos, los servidores de aplicaciones web deben ser de acceso p\u00fablico, lo que significa que est\u00e1n expuestos a todo tipo de amenazas.<\/p>\n","protected":false},"author":2,"featured_media":795,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hosting"],"jetpack_featured_media_url":"https:\/\/www.hostdime.la\/blog\/wp-content\/uploads\/2020\/03\/tips-02-compressor.png","_links":{"self":[{"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/posts\/786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/comments?post=786"}],"version-history":[{"count":1,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/posts\/786\/revisions"}],"predecessor-version":[{"id":1281,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/posts\/786\/revisions\/1281"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/media\/795"}],"wp:attachment":[{"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/media?parent=786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/categories?post=786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostdime.la\/blog\/wp-json\/wp\/v2\/tags?post=786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}