Auditoría de seguridad web: 7 fallos críticos que encontramos en webs de PYMEs

El 60% de las PYMEs españolas ha sufrido al menos un ciberataque en el último año. Solo el 1% consiguió evitar cualquier tipo de impacto. El coste medio por ataque ronda los 50.000 - 80.000 €, una cifra que puede cerrar un negocio pequeño. Y lo peor: la mayoría de estos ataques explotan fallos básicos que una auditoría de seguridad web habría detectado en minutos.

En Grupo ZAS llevamos más de 16 años desarrollando y manteniendo webs de empresas. Estos son los 7 fallos críticos de seguridad que encontramos con más frecuencia cuando auditamos webs de PYMEs, con lo que implica cada uno y cómo solucionarlo.

1. SSL/HTTPS ausente o mal configurado

Qué encontramos

Webs que todavía cargan en HTTP (sin el candado), certificados SSL caducados que muestran alertas de seguridad en el navegador, o configuraciones mixtas donde la web carga en HTTPS pero algunos recursos (imágenes, scripts, hojas de estilo) se cargan en HTTP, generando avisos de "contenido mixto".

Por qué es crítico

Sin HTTPS, toda la información que el usuario introduce (formularios de contacto, contraseñas, datos de pago) viaja sin cifrar y puede ser interceptada. Google penaliza las webs sin SSL en los resultados de búsqueda desde 2018. Chrome muestra un aviso de "No seguro" que espanta a los visitantes.

Cómo lo solucionamos

Instalación de certificado SSL, redirección forzada de HTTP a HTTPS, corrección de contenido mixto y configuración de la cabecera HSTS para que el navegador recuerde que tu web es segura.

2. WordPress, plugins y temas desactualizados

Qué encontramos

Es el fallo más frecuente. Webs con WordPress 5.x (2-3 versiones por detrás), plugins que no se actualizan desde hace meses o años, temas abandonados por sus desarrolladores y PHP en versiones obsoletas (7.2, 7.4) sin soporte de seguridad.

Por qué es crítico

Según Kaspersky, el 52% de las brechas de seguridad están vinculadas a software sin actualizar. Cada versión de WordPress, cada plugin y cada tema publica parches de seguridad cuando se descubren vulnerabilidades. Si no actualizas, esas vulnerabilidades quedan abiertas y documentadas públicamente para que cualquier atacante las explote.

Cómo lo solucionamos

Actualización controlada con backup previo, pruebas en staging, eliminación de plugins y temas inactivos, sustitución de plugins abandonados por alternativas mantenidas y actualización de la versión de PHP del servidor.

3. Formularios sin protección contra bots

Qué encontramos

Formularios de contacto, registro o comentarios sin ningún tipo de protección: ni CAPTCHA, ni reCAPTCHA, ni honeypot, ni rate limiting. El resultado: cientos de envíos de spam diarios, intentos de inyección de código y, en el peor caso, el servidor enviando emails de spam que hacen que tu dominio acabe en listas negras.

Por qué es crítico

Más allá del spam, los formularios desprotegidos son vectores de ataque para inyección SQL y XSS (Cross-Site Scripting). Un atacante puede enviar código malicioso a través de un campo de formulario y, si el servidor no lo filtra, ejecutar comandos en tu base de datos o inyectar scripts en tu web que afecten a todos los visitantes.

Cómo lo solucionamos

Implementación de reCAPTCHA v3 (invisible para el usuario), validación y sanitización de todos los campos tanto en cliente como en servidor, protección contra inyección SQL mediante consultas parametrizadas y cabeceras de seguridad contra XSS.

4. Cabeceras de seguridad HTTP ausentes

Qué encontramos

La inmensa mayoría de webs de PYMEs no tienen configuradas las cabeceras de seguridad HTTP. Son instrucciones que el servidor envía al navegador para proteger contra ataques comunes, y la mayoría de desarrolladores ni siquiera saben que existen.

Las cabeceras imprescindibles

• Content-Security-Policy (CSP): controla qué recursos puede cargar tu web. Previene inyección de scripts maliciosos.

• X-Content-Type-Options: evita que el navegador interprete archivos con un tipo MIME diferente al declarado.

• X-Frame-Options: impide que tu web se cargue dentro de un iframe en otra web (previene clickjacking).

• Strict-Transport-Security (HSTS): fuerza HTTPS en todas las conexiones futuras.

• Referrer-Policy: controla qué información de referencia se envía a otros sitios.

• Permissions-Policy: restringe el acceso a APIs del navegador (cámara, micrófono, geolocalización).

Cómo lo solucionamos

Configuración de todas las cabeceras de seguridad en el servidor (Apache, Nginx o a nivel de aplicación). En las webs que desarrollamos en Grupo ZAS, estas cabeceras vienen configuradas de serie.

5. Contraseñas débiles y accesos sin proteger

Qué encontramos

Paneles de administración con contraseñas tipo "admin123", "empresa2024" o el nombre de la empresa. URLs de acceso al panel por defecto (/wp-admin, /admin) sin protección adicional. Cuentas de administrador compartidas entre varias personas. Sin autenticación en dos factores (2FA).

Por qué es crítico

Los ataques de fuerza bruta contra paneles de administración de WordPress son constantes: miles de intentos automáticos cada día. Con una contraseña débil, es cuestión de tiempo que entren. Y una vez dentro, el atacante tiene control total: puede inyectar malware, redirigir tu tráfico, robar datos o usar tu servidor para enviar spam.

Cómo lo solucionamos

Contraseñas robustas obligatorias (mínimo 12 caracteres, combinación de mayúsculas, minúsculas, números y símbolos), 2FA para todos los administradores, cambio de la URL de acceso al panel, limitación de intentos de login y bloqueo de IPs sospechosas.

6. Sin copias de seguridad (o con backups que no funcionan)

Qué encontramos

Dos escenarios igual de peligrosos: empresas que directamente no tienen copias de seguridad de su web, y empresas que creen que las tienen pero nunca las han probado. "Mi hosting hace backups" es la frase que más escuchamos antes de descubrir que el backup tiene 6 meses, no incluye la base de datos o directamente no se puede restaurar.

Por qué es crítico

Sin backup funcional, cualquier incidencia (ataque, error humano, fallo del servidor, actualización que sale mal) puede significar perder toda tu web: contenido, productos, clientes, pedidos, todo. Y reconstruirla desde cero cuesta semanas y miles de euros.

Cómo lo solucionamos

Backups diarios automatizados que incluyen archivos y base de datos, almacenamiento en ubicación externa (no en el mismo servidor), retención de al menos 30 días y, lo más importante: pruebas periódicas de restauración para verificar que el backup realmente funciona.

7. Sin monitorización ni detección de intrusiones

Qué encontramos

Webs sin ningún sistema de detección de cambios no autorizados, sin alertas de actividad sospechosa y sin monitorización de disponibilidad. El resultado: un ataque puede pasar desapercibido durante semanas o meses. Hemos visto webs de empresas con malware inyectado que llevaba meses redirigiendo tráfico a sitios fraudulentos sin que nadie se diera cuenta.

Por qué es crítico

Cuanto más tiempo pasa un atacante dentro de tu web sin ser detectado, más daño hace: roba datos, posiciona tu web como distribuidora de malware (Google la marca como "peligrosa"), usa tu servidor para atacar a otros y daña tu reputación de forma duradera.

Cómo lo solucionamos

Firewall de aplicación web (WAF), escaneo automático de malware, monitorización de integridad de archivos (alerta si algo cambia sin autorización), monitorización de uptime con notificaciones y revisión periódica de logs de acceso.

Cuánto cuesta NO hacer una auditoría de seguridad

Las cifras hablan solas:

Coste medio de un ciberataque a una PYME en España 50.000 - 80.000 €

Sanción RGPD por brecha de datos Hasta 20 millones €

Reconstruir una web hackeada 3.000 - 15.000 €

Pérdida de posicionamiento SEO tras hackeoMeses de trabajo perdidoCoste de una auditoría de seguridad preventiva Desde 500 €

La auditoría preventiva cuesta una fracción de lo que cuesta un incidente. Es la inversión con mayor ROI en seguridad que puede hacer una PYME.

El servicio de auditoría de seguridad web de Grupo ZAS

En Grupo ZAS ofrecemos auditorías de seguridad web completas para PYMEs. No es un escaneo automático: es una revisión manual y técnica realizada por nuestro equipo de desarrollo. Incluye:

• Análisis de infraestructura: servidor, versiones de software, configuración de PHP, base de datos y permisos de archivos.

• Revisión de cabeceras de seguridad: CSP, HSTS, X-Frame-Options y todas las cabeceras recomendadas.

• Test de vulnerabilidades OWASP: inyección SQL, XSS, CSRF, autenticación rota y las 10 principales del OWASP Top 10.

• Auditoría de WordPress: core, plugins, temas, usuarios, permisos y configuración.

• Verificación de backups: comprobamos que existen, que son recientes y que se pueden restaurar.

• Informe ejecutivo: documento con cada vulnerabilidad encontrada, su nivel de riesgo y la solución concreta.

• Corrección incluida: no solo te decimos qué falla, lo arreglamos.

Si además necesitas un rediseño web o un sistema de gestión, lo construimos con seguridad integrada desde el diseño: cabeceras de seguridad, protección de formularios, 2FA, backups automáticos y monitorización incluidos de serie.

¿Quieres saber si tu web es vulnerable? Solicita tu auditoría de seguridad. Revisamos tu web y te enviamos un informe con lo que encontramos.

Preguntas frecuentes

¿Qué es una auditoría de seguridad web?

Es una revisión técnica de tu página web para identificar vulnerabilidades, fallos de configuración y riesgos de seguridad antes de que un atacante los explote. Incluye análisis de servidor, software, cabeceras, formularios, accesos y backups.

¿Cada cuánto hay que hacer una auditoría?

Como mínimo una vez al año. Si tu web maneja datos sensibles (ecommerce, datos de clientes, formularios con datos personales), recomendamos cada 6 meses. Después de cada cambio importante (rediseño, migración, nuevos plugins) también conviene auditar.

¿Mi web WordPress es segura?

WordPress en sí es seguro si está actualizado. Los problemas vienen de plugins desactualizados, temas abandonados, contraseñas débiles y falta de cabeceras de seguridad. Una auditoría identifica exactamente dónde están tus riesgos.

¿Qué pasa si encuentran malware en mi web?

Lo limpiamos, identificamos cómo entró, cerramos la vulnerabilidad y restauramos desde un backup limpio si es necesario. Además, si Google ha marcado tu web como "peligrosa", gestionamos la solicitud de revisión para retirar la alerta.

¿La auditoría incluye la corrección de los fallos?

Sí. En Grupo ZAS no solo identificamos los problemas: los corregimos. El informe incluye cada vulnerabilidad, su solución y la confirmación de que se ha resuelto.