Cómo configurar un web para cumplir con los estándares de seguridad

En el mundillo de la creación y desarrollo de páginas web, hay ciertos aspectos que no pueden, ni deben, ser pasados por alto; ya seas un novato o estés más que versado en el tema.

Como ya has podido averiguar nada más leyendo el título, en este post me voy a centrar en darte algunas claves para que puedas cumplir con los estándares básicos de seguridad en tu página web.

Y es que configurar tu página web para que cumpla con los estándares de seguridad es algo crucial, ya sea para proteger la información del usuario que accede a tu web, o la misma integridad de tu página.

De hecho, puedes tomarte este artículo como una guía para alcanzar dichos estándares, así que tal vez quieras coger apuntes.

En esta guía vamos a tratar cuatro puntos clave: la gestión de cookies, la instalación de un certificado SSL, la implementación de captchas en formularios y los avisos legales y políticas de privacidad.

¿Empezamos?

Gestión de cookies

Las ricas y dulces cookies (aunque estas no lleven pepitas de chocolate).

Antes de seguir con esto, te explico brevemente que son las cookies.

Las cookies son pequeños archivos que se almacenan en el dispositivo de cada usuario que visita una página web. Tienen muchos usos interesantes como recordar preferencias (idioma, divisa…), realizar un seguimiento de la actividad del usuario y mejorar la experiencia de navegación; entre otros.

Hasta hace relativamente poco, las cookies no tenían unos frenos legales para evitarle al usuario una diabetes publicitaria.

Cuando un usuario apretaba el botón «aceptar todas las cookies» el departamento de marketing empezaba a salivar (ya paro con los chistes sobre comida) con toda la información que obtenían del usuario, ya que cuanto más sabes de tu cliente potencial, más fácil es venderle lo que necesite.

Pese a que gracias a las cookies los impactos publicitarios son mucho más afines a quien los recibe, se decidió que era momento de capar un poco al monstruo de las galletas (perdón, ahora si que paro).

Para poder manejar el tema con responsabilidad y cumplir con las regulaciones de privacidad, es vital que cumplas con la política de cookies.

Política de cookies

Se debe incluir una sección en la página web específica para la política de cookies, detallando el propósito de cada cookie y como se van a usar.

Esta página es muy importante, ya que en ella se debe destacar el cumplimiento legal. Muchas jurisdicciones requieren que las páginas web informen al usuario y obtengan su consentimiento sobre el uso de las cookies.

Pero, ¿qué información se debe añadir a esta página para que cumpla con la legalidad? Aquí te lo dejo. 😉

Información sobre las cookies

En este apartado debes describir todas las cookies que uses en tu página web, así como su propósito.

Consentimiento del usuario

Es muy importante explicarle al usuario que puede tanto aceptar como denegar las cookies, ya sea que quiera otorgar o denegar su consentimiento para el uso de las mismas.

Control de cookies

Aquí es donde se le dan al usuario las instrucciones necesarias para poder gestionar o eliminar las cookies que haya aceptado previamente, esto lo puede hacer a través de la configuración de su navegador.

Enlaces a terceros

En el caso de que uses cookies de terceros en tu página web debes tanto informarlo, como poner los enlaces pertinentes a la política de privacidad de esos terceros.

Actualizaciones

Debes informar al usuario que te comprometes a mantener la política de cookies actualizada en caso de cambios en el uso de las cookies en tu web.

Ten en cuenta que la política de cookies es una herramienta clave para garantizar la transparencia y el respeto a la privacidad del usuario cuando accedan a tu página web y decidan si aceptar o no las cookies.

Instalación de un certificado SSL

Que haya algún hacker escuchando cuando se intercambia información entre navegador y servidor, es algo que ni tu ni yo podemos evitar. Ahora bien, que sea incapaz de entender que tipo de información está interceptando y, por ende, no le sirva para nada; está al alcance de todos.

Es algo ta simple como instalar un certificado SSL en tu hosting.

Este pequeño archivo se encarga de cifrar la información que viaja entre el servidor y el navegador del usuario, protegiendo de esta forma datos como nombres de usuario y contraseñas, datos bancarios de pagos, etc.

Además de el tema de protección y seguridad que aporta tener un certificado SSL en tu página web, cabe destacar que son sumamente importantes en cuanto a SEO se refiere, ya que sin uno, tu web puede tener un peor posicionamiento en la SERP.

Ah, ¿qué no tienes un certificado SSL instalado en tu página web?

Nada, ni te preocupes, estoy seguro que tenemos justo lo que estabas buscando. 😉

Captcha en formularios

Aunque a nivel de usuario los captchas dan muchísima pereza, son una estrategia muy efectiva para proteger tu web de ataques automatizados (que te manden bots), además de garantizar la integridad de los formularios recibidos.

Si te parece, vamos a ver tanto los tipos de captcha como formas sencillas de integrarlos.

Selección del tipo de captcha

Vamos a ver 3 tipos distintos de captcha, para que elijas el que más te mole o el que mejor se adapte para el contenido de tu formulario web.

Selección de imágenes

Mediante este tipo de captcha los usuarios deben seleccionar imágenes específicas entre unas cuantas opciones. El ejemplo más típico es un mosaico de fotos en el que te piden que señales todas las imágenes en las que aparece un semáforo.

Este captcha es ideal si necesitas una validación visual rápida y sencilla.

Operaciones matemáticas

En este caso, el captcha busca que, antes de enviar el formulario, contestes correctamente a una operación matemática sencilla. Como cuando ibas a primaria, vaya.

Se suele usar este tipo de captcha cuando se busca una solución algo más sencilla, en especial porque estamos todos hartos de buscar semáforos, bicicletas y pasos de peatones.

Captcha invisible basado en el comportamiento

Este seguro que no lo has visto nunca. 😂

Es el tipo de catcha menos invasivo, ya que mediante el análisis del comportamiento del usuario dentro de la web, es capaz de determinar si es una persona o un bot. Evitando la interacción directa del usuario en el proceso.

Es un win win, tanto para ti como para el usuario. A ti te permite identificar personas de bots; mientras que al usuario le evita tener que interactuar manualmente con un captcha para enviar un formulario.

Integración de captcha

Antes de empezar a hablar de opciones, conviene recordar que, antes de decantarte por las opciones disponibles, tengas en cuenta las consideraciones técnicas.

Lo primero en que debes fijarte es que la herramienta o biblioteca de captcha (spoiler, son las dos opciones que te recomendaré en breves) sean compatibles con tu página web. Si por ejemplo usas JavaScript, asegúrate que la opción de captcha que elijas funcione en Java.

Además, sería muy recomendable escoger aquellas soluciones que te permitan personalizar la dificultad del captcha en cuestión según tus necesidades y tu tipo de audiencia.

Ahora si, pasemos a ver las opciones que tienes para elegir tus captcha.

Herramientas de captcha

Como ejemplos destacados tenemos ReCAPTCHA, una herramienta de Google que ofrece una gran variedad de opciones para elegir, tanto imágenes, como operaciones matemáticas como el invisible; además se integra fácilmente a páginas web y plataformas populares.

Si quieres una alternativa decente, tenemos hCAPTCHA; esta herramienta está centrada en la privacidad y su integración es simple y eficiente.

Bibliotecas de captcha

Como con las herramientas, te dejo también dos opciones a tener en cuenta.

La primera es Securimage, una biblioteca de código abierto para PHP, ideal para generar imágenes captcha.

También está la opción de SweetCaptcha, que ofrece una solución muy atractiva visualmente, además de poderla integrar con facilidad en varios lenguajes de programación.

Avisos legales y políticas de privacidad

Garantizar a los usuarios tanto la la conformidad legal como la transparencia a la hora de manejar los datos, es esencial en toda página web que se preste. Para ello, los avisos y las políticas de privacidad son de suma importancia. Son documentos cruciales que informan a los usuarios de sus derechos, deberes y la forma en la que se van a usar sus datos.

Vamos a echarle un ojo a ambos conceptos.

Avisos legales

Los avisos legales se encargan de explicar el propósito de tu página web, productos y/o servicios, además de establecer las reglas para el uso de los datos que se recopilen en la página.

Cabe destacar que también sirven para informar al usuario de sus responsabilidades al usar la página web. Si hablamos de jurisdicción, los avisos legales cumplen el papel de especificar la jurisdicción bajo la cual se rigen los términos además de indicar la ley que se aplicaría en cualquier tipo de disputa.

Políticas de privacidad

La función de la política de privacidad es detallar que datos del usuario se van a recopilar en la página web, así como explicar para que van a usarse.

Y no solo eso, sino que también se describen las medidas que se toman referente al trato y uso de dichos datos; comprometiéndose mediante dicha política a notificar a los usuarios sobre las actualizaciones, indicando la fecha de la última modificación de la misma.

Conclusión

Creo que con estos cuatro puntos sobre la palestra, puedes empezar a trabajar en tu web para que cumpla con los estándares de seguridad requeridos.

Porque si no escatimas en seguridad, siempre saldrás ganando.