Seguretat aplicacions web
Seguretat en aplicacions web empresarials: guia tècnica per a directius
Publicat: 20 febrer 2026
La seguretat de les aplicacions web és un dels vectors de risc més subestimats a les empreses mitjanes espanyoles. El 43% dels ciberatacs globals es dirigeixen a pimes i empreses mitjanes, i la majoria exploten vulnerabilitats en aplicacions web mal dissenyades o sense manteniment actiu.
Els vectors d'atac més comuns en aplicacions web empresarials
- Injecció SQL i NoSQL: el vector d'atac més antic i encara el més comú. Un formulari web sense validació adequada pot donar accés complet a la base de dades de l'empresa.
- Autenticació trencada: contrasenyes febles sense MFA, sessions sense caducitat, tokens de restabliment de contrasenya predictibles i falta de protecció davant atacs de força bruta.
- Exposició de dades sensibles: APIs que retornen més informació de la necessària, logs que inclouen dades personals o credencials i respostes d'error que revelen l'arquitectura interna del sistema.
- Control d'accés trencat (IDOR): un usuari autenticat pot accedir a les dades d'un altre usuari canviant un ID en l'URL. Crític en aplicacions B2B on cada client només ha de veure les seves pròpies dades.
Controls de seguretat imprescindibles en qualsevol aplicació empresarial
- Autenticació multifactor (MFA) i gestió de sessions: MFA obligatori per a tots els usuaris amb accés a dades sensibles, sessions amb temps d'inactivitat limitat i rotació de tokens d'autenticació.
- Xifratge de dades en repòs i en trànsit: HTTPS amb TLS 1.3, xifratge de camps sensibles en base de dades i gestió de secrets amb un vault dedicat en lloc de variables d'entorn en text pla.
- Validació d'entrada i codificació de sortida: tota entrada de l'usuari ha de validar-se en el servidor, i tota sortida cap a l'HTML ha de codificar-se per prevenir XSS.
- Registre i monitoratge de seguretat: logs d'auditoria per a totes les accions crítiques, alertes automàtiques davant patrons d'accés anòmals i retenció de logs conforme al RGPD.
Compliment NIS2 i RGPD en aplicacions web
- NIS2 (Directiva de Seguretat de Xarxes i Sistemes d'Informació): vigent a Espanya des d'octubre 2024. Aplica a empreses mitjanes en sectors essencials i requereix mesures de gestió de riscos de ciberseguretat.
- RGPD — mesures tècniques apropiades: l'article 32 del RGPD exigeix mesures tècniques apropiades per protegir dades personals. L'AEPD pot sancionar amb fins a 20M€ o el 4% de la facturació global.
- Avaluació d'impacte (DPIA): obligatòria quan l'aplicació processa dades a gran escala, dades de categories especials o monitora sistemàticament persones.
- Gestió d'incidents i notificació: el RGPD exigeix notificar bretxes a l'AEPD en 72 hores i als afectats si el risc és alt.
Com fer una auditoria de seguretat de la teva aplicació web
- Anàlisi de composició de programari (SCA): identifica biblioteques de tercers amb vulnerabilitats conegudes en el codi de l'aplicació. Ha de fer-se en cada release i en el pipeline de CI/CD.
- Test de penetració (pentest): simulació d'atacs reals per un equip extern especialitzat. Un pentest web estàndard costa entre 3.000€ i 10.000€ i s'ha de repetir anualment.
- Revisió de codi de seguretat (SAST): anàlisi estàtica del codi font per detectar patrons de codi insegur. Integrat en el pipeline de CI/CD permet detectar vulnerabilitats abans que arribin a producció.
- Auditoria de configuració d'infraestructura: revisió de la configuració del servidor web, la base de dades, el cloud provider i els serveis de tercers.
La teva aplicació web empresarial necessita una auditoria de seguretat o vols construir-la amb seguretat per disseny des de l'inici?