Mejores Prácticas
Los 10 Errores Más Comunes en Desarrollo Seguro y Cómo Evitarlos
Aprende de los errores más frecuentes que cometen los desarrolladores y cómo evitarlos desde el inicio del proyecto.
14 min de lectura
Shark Offensive
Desarrollo SeguroErrores ComunesBuenas PrácticasDevSecOps
Los 10 Errores Más Comunes en Desarrollo Seguro y Cómo Evitarlos
Estadística alarmante: El 90% de las vulnerabilidades web podrían prevenirse con prácticas de desarrollo seguro básicas.
Introducción
Desarrollar software seguro no es solo una buena práctica, es una necesidad crítica en el mundo digital actual. Sin embargo, muchos desarrolladores cometen errores recurrentes que comprometen la seguridad de sus aplicaciones.
Esta guía detalla los 10 errores más comunes y, lo más importante, cómo evitarlos desde el inicio del proyecto.
Error #1: Validación insuficiente de inputs
El problema
// ❌ CÓDIGO VULNERABLE
app.get('/user/:id', (req, res) => {
const userId = req.params.id;
const query = `SELECT * FROM users WHERE id = ${userId}`;
// Ejecución directa sin validación
});
Por qué es peligroso
- SQL Injection directa
- Command Injection posible
- Path Traversal vulnerabilities
- XSS a través de datos no sanitizados
La solución correcta
// ✅ CÓDIGO SEGURO
app.get('/user/:id', (req, res) => {
const userId = parseInt(req.params.id);
// Validación de tipo y rango
if (isNaN(userId) || userId < 1 || userId > 999999) {
return res.status(400).json({ error: 'ID de usuario inválido' });
}
// Uso de prepared statements
const query = 'SELECT * FROM users WHERE id = ?';
db.execute(query, [userId], (err, results) => {
// Manejo de resultados
});
});
Mejores prácticas
- Siempre validar inputs en servidor (nunca confíes solo en frontend)
- Usa prepared statements o parameterized queries
- Implementa allowlists en lugar de denylists
- Valida tipos de datos y rangos permitidos
Error #2: Gestión inadecuada de sesiones
El problema
// ❌ SESIONES INSEGURAS
app.use(session({
secret: 'password123', // Secreto débil
cookie: {
secure: false, // HTTP en lugar de HTTPS
maxAge: 86400000 // 24 horas - demasiado largo
}
}));
Por qué es peligroso
- Session hijacking fácil
- Cookies inseguras en redes públicas
- Session fixation vulnerabilities
- No expiración automática de sesiones inactivas
La solución correcta
// ✅ SESIONES SEGURAS
app.use(session({
secret: process.env.SESSION_SECRET, // Secreto fuerte desde env
cookie: {
secure: process.env.NODE_ENV === 'production', // HTTPS only
httpOnly: true, // Previene XSS
maxAge: 3600000, // 1 hora
sameSite: 'strict' // Previene CSRF
},
resave: false,
saveUninitialized: false
}));
// Regenerar ID de sesión en login
app.post('/login', (req, res) => {
// ... autenticación
req.session.regenerate((err) => {
if (err) return res.status(500).send('Error');
req.session.userId = user.id;
res.redirect('/dashboard');
});
});
Mejores prácticas
- Usa secrets fuertes generados aleatoriamente
- Implementa HTTPS siempre
- Configura httpOnly en cookies
- Regenera IDs de sesión en login/logout
- Implementa timeouts de sesión apropiados
Error #3: Exposición de información sensible
El problema
// ❌ EXPOSICIÓN DE DATOS
app.get('/debug', (req, res) => {
res.json({
environment: process.env,
database: db.config,
apiKeys: {
stripe: process.env.STRIPE_SECRET_KEY,
aws: process.env.AWS_SECRET_ACCESS_KEY
}
});
});
// Stack traces en producción
app.use((err, req, res, next) => {
console.error(err); // ✅ Bien para desarrollo
res.status(500).json({ error: err.message }); // ❌ Información sensible
});
Por qué es peligroso
- Exposición de credenciales y secrets
- Información de debugging en producción
- Detalles de infraestructura revelados
- Ayuda a atacantes en reconnaissance
La solución correcta
// ✅ MANEJO SEGURO DE ERRORES
app.use((err, req, res, next) => {
// Logging seguro (sin datos sensibles)
console.error('Error:', err.message, 'Stack:', err.stack);
// Respuesta genérica en producción
const isDevelopment = process.env.NODE_ENV === 'development';
res.status(500).json({
error: isDevelopment ? err.message : 'Error interno del servidor',
...(isDevelopment && { stack: err.stack })
});
});
// Variables de entorno seguras
const requiredEnvVars = ['SESSION_SECRET', 'DATABASE_URL'];
requiredEnvVars.forEach(varName => {
if (!process.env[varName]) {
throw new Error(`Variable de entorno requerida: ${varName}`);
}
});
Mejores prácticas
- Nunca logs datos sensibles (passwords, tokens, keys)
- Mensajes de error genéricos en producción
- Auditoría de variables de entorno
- Configuración diferente para desarrollo vs producción
- Uso de secrets management (Vault, AWS Secrets Manager)
Error #4: Configuraciones por defecto inseguras
El problema
// ❌ CONFIGURACIONES POR DEFECTO
const app = express();
app.listen(3000); // Puerto por defecto
// Base de datos sin límites
const pool = mysql.createPool({
host: 'localhost',
user: 'root', // Usuario por defecto
password: 'root', // Password por defecto
database: 'myapp'
});
Por qué es peligroso
- Credenciales por defecto conocidas
- Puertos estándar fácilmente escaneables
- Configuraciones abiertas que exponen servicios
- Sin rate limiting o throttling
La solución correcta
// ✅ CONFIGURACIÓN SEGURA
require('dotenv').config();
const app = express();
const PORT = process.env.PORT || 3001; // Puerto no estándar
// Rate limiting
const rateLimit = require('express-rate-limit');
app.use(rateLimit({
windowMs: 15 * 60 * 1000, // 15 minutos
max: 100 // límite de 100 requests por ventana
}));
// CORS configurado
const cors = require('cors');
app.use(cors({
origin: process.env.ALLOWED_ORIGINS?.split(',') || ['http://localhost:3000'],
credentials: true
}));
// Base de datos segura
const pool = mysql.createPool({
host: process.env.DB_HOST,
user: process.env.DB_USER,
password: process.env.DB_PASSWORD,
database: process.env.DB_NAME,
connectionLimit: 10, // Límite de conexiones
acquireTimeout: 60000,
timeout: 60000
});
Mejores prácticas
- Cambia credenciales por defecto inmediatamente
- Usa variables de entorno para configuración
- Implementa rate limiting en APIs
- Configura CORS apropiadamente
- Monitorea límites de recursos
Error #5: Falta de control de acceso
El problema
// ❌ SIN CONTROL DE ACCESO
app.get('/admin/users', (req, res) => {
// Cualquier usuario autenticado puede acceder
if (!req.session.userId) {
return res.status(401).send('No autorizado');
}
// Lista TODOS los usuarios sin verificar rol
User.findAll().then(users => res.json(users));
});
app.delete('/user/:id', (req, res) => {
const userId = req.params.id;
// Usuario puede eliminar CUALQUIER cuenta
User.destroy({ where: { id: userId } });
});
Por qué es peligroso
- Privilege escalation (escalada de privilegios)
- Acceso no autorizado a recursos sensibles
- Violación de principio de menor privilegio
- Riesgo de eliminación accidental de datos
La solución correcta
// ✅ CONTROL DE ACCESO ROBUSTO
const authorize = (roles = []) => {
return (req, res, next) => {
if (!req.session.userId) {
return res.status(401).json({ error: 'No autenticado' });
}
User.findByPk(req.session.userId)
.then(user => {
if (!user) {
return res.status(401).json({ error: 'Usuario no encontrado' });
}
if (roles.length && !roles.includes(user.role)) {
return res.status(403).json({ error: 'Acceso denegado' });
}
req.user = user;
next();
})
.catch(err => res.status(500).json({ error: 'Error de servidor' }));
};
};
// Rutas protegidas
app.get('/admin/users',
authorize(['admin']),
(req, res) => {
User.findAll().then(users => res.json(users));
}
);
app.delete('/user/:id', (req, res) => {
const targetUserId = parseInt(req.params.id);
// Usuario solo puede eliminar su propia cuenta (o admin cualquier cuenta)
if (req.user.role !== 'admin' && req.user.id !== targetUserId) {
return res.status(403).json({ error: 'No puedes eliminar esta cuenta' });
}
User.destroy({ where: { id: targetUserId } })
.then(() => res.json({ message: 'Usuario eliminado' }));
});
Mejores prácticas
- Implementa RBAC (Role-Based Access Control)
- Principio de menor privilegio
- Verificación en cada endpoint
- Auditoría de acciones sensibles
- Separación de responsabilidades
Error #6: Manejo inseguro de dependencias
El problema
// ❌ DEPENDENCIAS DESACTUALIZADAS
{
"dependencies": {
"express": "4.17.1", // Versión vulnerable conocida
"lodash": "^4.17.0" // Dependencia con vulnerabilidades
}
}
// ❌ SIN AUDITORÍA DE DEPENDENCIAS
// package.json sin scripts de seguridad
Por qué es peligroso
- Vulnerabilidades conocidas en librerías
- Supply chain attacks
- Dependencias transitivas comprometidas
- Falta de actualización de parches de seguridad
La solución correcta
// ✅ DEPENDENCIAS AUDITADAS
{
"scripts": {
"audit": "npm audit",
"audit:fix": "npm audit fix",
"deps:check": "npm outdated",
"deps:update": "npm update",
"security": "npm audit && npx audit-ci --config audit-ci.json"
},
"dependencies": {
"express": "^4.18.2"
}
}
// Dependabot configuration (.github/dependabot.yml)
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "weekly"
open-pull-requests-limit: 10
reviewers:
- "security-team"
assignees:
- "devops-lead"
Mejores prácticas
- Auditorías regulares de dependencias
- Automatización de actualizaciones
- Revisión manual de cambios críticos
- Uso de herramientas como Dependabot, Snyk
- Monitoreo continuo de vulnerabilidades
Error #7: Criptografía inadecuada
El problema
// ❌ CRIPTOGRAFÍA DÉBIL
const crypto = require('crypto');
function hashPassword(password) {
return crypto.createHash('md5').update(password).digest('hex'); // MD5 es inseguro
}
function encryptData(data) {
const cipher = crypto.createCipher('aes-128-ecb', 'secret'); // ECB mode es inseguro
return cipher.update(data, 'utf8', 'hex') + cipher.final('hex');
}
Por qué es peligroso
- Hashes débiles fácilmente crackeables
- Algoritmos obsoletos con vulnerabilidades conocidas
- Modos de operación inseguros
- Keys hardcodeadas en el código
La solución correcta
// ✅ CRIPTOGRAFÍA MODERNA
const crypto = require('crypto');
async function hashPassword(password) {
const salt = crypto.randomBytes(16).toString('hex');
const hash = await new Promise((resolve, reject) => {
crypto.scrypt(password, salt, 64, (err, derivedKey) => {
if (err) reject(err);
resolve(derivedKey.toString('hex'));
});
});
return `${salt}:${hash}`;
}
async function verifyPassword(password, storedHash) {
const [salt, hash] = storedHash.split(':');
const derivedKey = await new Promise((resolve, reject) => {
crypto.scrypt(password, salt, 64, (err, derivedKey) => {
if (err) reject(err);
resolve(derivedKey);
});
});
return crypto.timingSafeEqual(Buffer.from(hash, 'hex'), derivedKey);
}
function encryptData(data, key) {
const iv = crypto.randomBytes(16);
const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);
const encrypted = Buffer.concat([
cipher.update(data, 'utf8'),
cipher.final()
]);
const tag = cipher.getAuthTag();
return Buffer.concat([iv, tag, encrypted]).toString('hex');
}
Mejores prácticas
- Usa algoritmos modernos (Argon2, scrypt, bcrypt)
- Implementa salting apropiado
- Modos de operación seguros (GCM, CBC)
- Keys generadas aleatoriamente y almacenadas de forma segura
- Rotación periódica de keys
Error #8: Falta de logging y monitoreo
El problema
// ❌ SIN LOGGING ADECUADO
app.get('/api/users', (req, res) => {
User.findAll()
.then(users => res.json(users))
.catch(err => {
console.log(err); // Solo console.log básico
res.status(500).json({ error: 'Error interno' });
});
});
// Sin monitoreo de seguridad
// Sin alertas de eventos sospechosos
Por qué es peligroso
- Dificultad para detectar ataques
- Imposibilidad de investigar incidentes
- Sin métricas de seguridad
- Respuesta lenta a amenazas
La solución correcta
// ✅ LOGGING Y MONITOREO COMPRENSIVO
const winston = require('winston');
// Configuración de logging estructurado
const logger = winston.createLogger({
level: 'info',
format: winston.format.combine(
winston.format.timestamp(),
winston.format.errors({ stack: true }),
winston.format.json()
),
defaultMeta: { service: 'user-service' },
transports: [
new winston.transports.File({ filename: 'logs/error.log', level: 'error' }),
new winston.transports.File({ filename: 'logs/combined.log' }),
new winston.transports.Console({
format: winston.format.simple()
})
]
});
// Middleware de logging de seguridad
app.use((req, res, next) => {
const start = Date.now();
res.on('finish', () => {
const duration = Date.now() - start;
logger.info('Request completed', {
method: req.method,
url: req.url,
statusCode: res.statusCode,
duration,
ip: req.ip,
userAgent: req.get('User-Agent')
});
// Logging de eventos de seguridad
if (res.statusCode >= 400) {
logger.warn('Suspicious request', {
method: req.method,
url: req.url,
statusCode: res.statusCode,
ip: req.ip,
body: req.body,
headers: req.headers
});
}
});
next();
});
// Endpoint con logging detallado
app.get('/api/users', (req, res) => {
const userId = req.session?.userId;
logger.info('Users list requested', {
userId,
ip: req.ip,
userAgent: req.get('User-Agent')
});
User.findAll()
.then(users => {
logger.info('Users retrieved successfully', {
userId,
count: users.length
});
res.json(users);
})
.catch(err => {
logger.error('Failed to retrieve users', {
userId,
error: err.message,
stack: err.stack
});
res.status(500).json({ error: 'Error interno del servidor' });
});
});
Mejores prácticas
- Logging estructurado con contexto
- Separación de logs por nivel y tipo
- Monitoreo en tiempo real de métricas de seguridad
- Alertas automáticas para eventos sospechosos
- Retención apropiada de logs
Error #9: Falta de pruebas de seguridad
El problema
// ❌ SIN PRUEBAS DE SEGURIDAD
// Solo tests unitarios y de integración básicos
describe('User API', () => {
it('should create user', () => {
// Test básico sin considerar seguridad
});
});
Por qué es peligroso
- Vulnerabilidades no detectadas en desarrollo
- Regresiones de seguridad en nuevas features
- Falta de confianza en la seguridad del código
- Detección tardía de problemas
La solución correcta
// ✅ TESTS DE SEGURIDAD INTEGRADOS
const supertest = require('supertest');
const app = require('../app');
describe('User API Security Tests', () => {
describe('Input Validation', () => {
it('should reject SQL injection attempts', async () => {
const maliciousInput = "'; DROP TABLE users; --";
const response = await supertest(app)
.post('/api/users')
.send({ username: maliciousInput });
expect(response.status).toBe(400);
expect(response.body.error).toContain('invalid');
});
it('should reject XSS attempts', async () => {
const xssPayload = '<script>alert("xss")</script>';
const response = await supertest(app)
.post('/api/users')
.send({ name: xssPayload });
expect(response.status).toBe(400);
expect(response.body.error).toContain('invalid');
});
});
describe('Authentication & Authorization', () => {
it('should require authentication', async () => {
const response = await supertest(app)
.get('/api/admin/users');
expect(response.status).toBe(401);
});
it('should enforce role-based access', async () => {
const agent = supertest.agent(app);
// Login como usuario regular
await agent
.post('/auth/login')
.send({ email: 'user@example.com', password: 'password' });
// Intentar acceder a endpoint de admin
const response = await agent.get('/api/admin/users');
expect(response.status).toBe(403);
});
});
describe('Rate Limiting', () => {
it('should enforce rate limits', async () => {
const requests = Array(101).fill().map(() =>
supertest(app).get('/api/users')
);
const responses = await Promise.all(requests);
const rateLimitedResponse = responses.find(r => r.status === 429);
expect(rateLimitedResponse).toBeDefined();
});
});
});
// Tests de integración con herramientas de seguridad
describe('Security Tool Integration', () => {
it('should pass SAST scan', () => {
// Verificar que no hay patrones vulnerables conocidos
const fs = require('fs');
const code = fs.readFileSync('src/routes/users.js', 'utf8');
expect(code).not.toMatch(/SELECT \* FROM.*\+/); // No string concatenation en SQL
expect(code).not.toMatch(/eval\(/); // No eval usage
});
});
Mejores prácticas
- Tests de seguridad automatizados en CI/CD
- Cobertura de OWASP Top 10
- Tests de fuzzing e input validation
- Integración con herramientas de seguridad
- Tests de regresión de seguridad
Error #10: Falta de educación y cultura de seguridad
El problema
- Desarrolladores sin formación en seguridad
- Presión de deadlines que ignora seguridad
- Falta de revisión de código seguro
- Sin champion de seguridad en el equipo
Por qué es peligroso
- Errores recurrentes de seguridad
- Falta de detección de problemas obvios
- Resistencia cultural a mejores prácticas
- Dependencia de herramientas sin entendimiento
La solución correcta
// ✅ CULTURA DE SEGURIDAD INTEGRADA
// 1. Code Reviews con checklist de seguridad
const securityChecklist = [
'✅ Input validation implementada',
'✅ Autenticación y autorización verificadas',
'✅ Datos sensibles no loggeados',
'✅ HTTPS configurado correctamente',
'✅ Headers de seguridad establecidos',
'✅ Dependencias auditadas',
'✅ Tests de seguridad incluidos'
];
// 2. Pre-commit hooks de seguridad
// .husky/pre-commit
#!/bin/sh
. "$(dirname "$0")/_/husky.sh"
npm run lint:security
npm run test:security
npm audit
// 3. Formación continua del equipo
const securityTraining = {
schedule: 'monthly',
topics: [
'OWASP Top 10 Updates',
'New Vulnerabilities',
'Security Best Practices',
'Incident Response Drills'
],
required: true
};
// 4. Security Champions program
const securityChampions = {
role: 'Security Advocate',
responsibilities: [
'Review security-related PRs',
'Educate team members',
'Monitor security metrics',
'Coordinate with security team'
],
incentives: [
'Extra time allocation',
'Professional development budget',
'Recognition programs'
]
};
Mejores prácticas
- Formación regular del equipo
- Code reviews con enfoque en seguridad
- Premios y reconocimientos por buenas prácticas
- Tiempo dedicado específicamente a seguridad
- Comunicación abierta sobre incidentes
Conclusión: De errores a excelencia en seguridad
Los errores listados arriba no son inevitables. La mayoría pueden prevenirse con:
- Educación continua del equipo
- Herramientas y automatización apropiadas
- Procesos y checklists establecidos
- Cultura de seguridad integrada
- Revisión y mejora constantes
Recuerda: La seguridad no es un checkbox, es un proceso continuo que requiere compromiso de todo el equipo.
Checklist final para tu proyecto
Antes de cada deploy:
- Todos los inputs validados
- Sesiones configuradas correctamente
- Información sensible protegida
- Configuraciones seguras aplicadas
- Controles de acceso implementados
- Dependencias auditadas
- Criptografía moderna utilizada
- Logging y monitoreo activos
- Tests de seguridad ejecutados
- Equipo formado en seguridad
Revisiones mensuales:
- Actualización de dependencias
- Revisión de logs de seguridad
- Análisis de métricas de seguridad
- Sesiones de formación del equipo
- Actualización de herramientas
¿Tu equipo comete alguno de estos errores? Es normal. Lo importante es reconocerlos y corregirlos sistemáticamente.
¿Necesitas ayuda auditando la seguridad de tu aplicación? Contáctanos para una revisión gratuita.
¿Te resultó útil este artículo?
Compartir
