¿Qué pide la AEPD a una pyme en materia de seguridad web?

El Art. 32 del RGPD obliga al responsable a implantar medidas técnicas y organizativas apropiadas al riesgo. La AEPD no impone una lista cerrada; valora la proporcionalidad respecto al tratamiento. Para una web típica de pyme, las medidas básicas esperadas son HTTPS con TLS actualizado, control de acceso fuerte (MFA en administradores), parcheo regular del software (CMS, plugins, dependencias), copia de seguridad cifrada y procedimiento de respuesta a incidentes con notificación de brechas en 72 horas (Art. 33 RGPD).

¿Qué es el INCIBE y por qué importa para mi pyme?

INCIBE es el Instituto Nacional de Ciberseguridad de España, dependiente del Ministerio para la Transformación Digital y de la Función Pública. Publica alertas de vulnerabilidades en su CERT (INCIBE-CERT) accesible en incibe.es/incibe-cert, ofrece servicios gratuitos para empresas (línea telefónica 017 de Ayuda en Ciberseguridad) y materiales prácticos como la Guía de ciberseguridad para pymes. No tiene capacidad sancionadora pero es la referencia técnica nacional.

¿Estoy obligado a usar HTTPS en mi web?

Directamente no por el RGPD, indirectamente sí. El Art. 32 RGPD exige medidas técnicas adecuadas al riesgo. Toda web que tramita datos personales (formulario de contacto, login, pedido) necesita cifrado en tránsito. HTTPS sin certificado válido es indefendible en 2026. Adicionalmente, los navegadores marcan las webs HTTP como 'no seguras', lo que daña la confianza del usuario y el SEO.

¿Qué cláusulas debe tener un plan básico de respuesta a brechas?

Cinco elementos. Primero, identificación de la persona responsable de coordinar la respuesta. Segundo, procedimiento de detección y triaje (cómo se detecta, quién lo evalúa). Tercero, valoración de riesgo según los criterios del Art. 33 RGPD para decidir si hay que notificar a la AEPD en 72 horas. Cuarto, plantilla de notificación a la AEPD y a los afectados si el riesgo es alto. Quinto, registro interno de la brecha conforme al Art. 33.5 RGPD aunque no se notifique externamente.

¿Es obligatoria una auditoría de seguridad periódica?

No por estatuto general, pero sí por el principio de responsabilidad proactiva del Art. 5.2 RGPD si el tratamiento lo justifica. Para una web de pyme básica, una auditoría técnica anual (escaneo de vulnerabilidades automático + revisión manual de configuración) es la práctica habitual. Tratamientos con datos sensibles, transacciones financieras o gran volumen pueden requerir auditoría más frecuente. Las pymes acogidas al Esquema Nacional de Seguridad (ENS) para contratos con la Administración tienen requisitos específicos por categoría.

Seguridad

Seguridad web pyme España: checklist INCIBE 2026

Steven | TrustYourWebsite · 15 de mayo de 2026 · Última actualización: mayo de 2026

La seguridad web es una de las áreas donde más cuesta separar lo necesario de lo superfluo en una pyme. Esta guía propone una lista de doce medidas técnicas concretas, todas verificables desde el navegador o desde el panel de administración de tu CMS, alineadas con las recomendaciones del INCIBE-CERT y con los requisitos del Art. 32 del RGPD.

No es una guía de seguridad ofensiva ni de pentesting profesional. Es la lista mínima que cualquier pyme española debería cumplir antes de pasar a controles más sofisticados. Si quieres una primera pasada automática sobre tu web para detectar problemas obvios, escanea tu web gratis y vuelve con el informe.

Dirijo TrustYourWebsite como un proyecto en solitario y reviso webs de pymes regularmente. Los doce puntos siguientes resuelven en torno al 90 % de los hallazgos típicos de un escaneo básico de seguridad de una web de pyme española.

El marco regulatorio en una tabla

Cuatro referencias normativas convergen cuando hablamos de seguridad web en España.

Norma	Qué exige	Referencia
RGPD Art. 32	Medidas técnicas y organizativas adecuadas al riesgo	eur-lex.europa.eu
RGPD Arts. 33-34	Notificación de brechas a la AEPD (72h) y a los afectados	eur-lex.europa.eu
LOPDGDD 3/2018 Art. 32	Normas de seguridad específicas; remisión al Esquema Nacional de Seguridad	BOE-A-2018-16673
Directiva NIS 2 (UE) 2022/2555	Marco europeo de ciberseguridad para sectores esenciales e importantes	eur-lex.europa.eu

La mayoría de pymes con web no están en el ámbito de NIS 2 (que afecta a empresas mayores en sectores esenciales). Para todas las que tienen datos personales en la web, sí aplica el Art. 32 del RGPD.

Los doce controles básicos

1. HTTPS con certificado válido en toda la web

Sin excepciones. Toda la web, no solo el carrito o el formulario, debe servirse por HTTPS con redirección 301 desde HTTP. El certificado debe ser válido (no autofirmado, no caducado, con cadena completa). Let's Encrypt es gratuito y suficiente para la mayoría de pymes; los proveedores de hosting habituales lo integran con renovación automática.

Verificación: ssllabs.com/ssltest/ con tu dominio. Apunta a una calificación A o A+.

2. HSTS activado

El header HTTP Strict-Transport-Security indica al navegador que solo debe conectar por HTTPS, incluso si el usuario teclea http:// o sigue un enlace antiguo. Valor recomendado para webs estables:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Activar primero con max-age bajo (300) durante una semana para detectar problemas, luego subir a un año.

3. CSP básico configurado

Una Content Security Policy mínima reduce el riesgo de inyección de scripts externos no autorizados. El header Content-Security-Policy define qué orígenes están permitidos. Para una web pyme típica:

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-XXX'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; connect-src 'self' https://www.google-analytics.com

Adapta los orígenes a los servicios que efectivamente usas. Empieza en modo Content-Security-Policy-Report-Only para detectar violaciones sin romper la web, después promueve a enforcement.

4. Software al día (CMS + plugins + dependencias)

El punto donde la mayoría de webs pyme fallan. WordPress core, los plugins y los temas deben estar actualizados a la versión vigente. Plugins desatendidos durante más de un año son un riesgo: instala alertas de seguridad o desinstala los que no se mantienen.

El INCIBE-CERT publica alertas de vulnerabilidades CVE relevantes para CMS y plugins populares en https://www.incibe.es/incibe-cert/alerta-temprana. Subscríbete al RSS.

Para WordPress específicamente, los plugins de seguridad gestionada como Wordfence o Sucuri ofrecen monitorización en tiempo real con tarifas bajas.

5. MFA en cuentas administrativas

Multi-factor authentication obligatorio para:

Panel del CMS (WordPress, Wix, Shopify, etc.)
Panel del registrador del dominio
Panel del proveedor de hosting
Correo electrónico asociado al dominio
Cualquier integración SaaS conectada al sitio (CRM, herramienta de email)

Google Authenticator, Authy o llaves de hardware (YubiKey) son opciones estándar. SMS como segundo factor es mejor que nada pero menos seguro que TOTP.

6. Backups cifrados con prueba de restauración

Tres reglas:

Backups automáticos diarios o más frecuentes según la criticidad del cambio
Almacenamiento fuera del propio servidor (almacenamiento separado o servicio externo)
Pruebas de restauración periódicas (al menos una vez al trimestre) — un backup que no se ha restaurado nunca no se sabe si funciona

Si el backup contiene datos personales, debe estar cifrado en reposo. La mayoría de servicios SaaS de backup (UpdraftPlus, Vaultpress, BlogVault) ofrecen cifrado integrado.

7. Logs activos y conservados

Logs mínimos a mantener:

Logs del servidor web (acceso y error)
Logs de autenticación al CMS
Logs de cambios en archivos críticos (alteración detectable)

Plazo de conservación: 30 a 90 días para logs de seguridad, según volumen y capacidad de almacenamiento. La conservación de logs es a su vez un tratamiento de datos personales y debe declararse en el registro de actividades del Art. 30 del RGPD.

8. Headers de seguridad complementarios

Cinco headers adicionales que añaden defensa en profundidad:

X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()
Cross-Origin-Opener-Policy: same-origin

Verificación: securityheaders.com con tu dominio. Apunta a calificación A o A+.

9. Procedimiento de gestión de incidentes documentado

Un documento de una o dos páginas que indica, en caso de incidente:

Persona responsable de coordinación y de toma de decisiones
Procedimiento de detección y triaje
Criterios para valorar si la brecha requiere notificación a la AEPD en 72 horas (Art. 33 RGPD)
Plantilla de notificación a la AEPD
Plantilla de comunicación a los afectados si el riesgo es alto
Procedimiento de registro interno conforme al Art. 33.5 RGPD

Un procedimiento que no se ha ensayado no se ejecuta bien en caliente. Realiza al menos un ejercicio anual (tabletop exercise) con un escenario hipotético.

10. Cuentas administrativas con principio de mínimo privilegio

Una cuenta administrativa por persona, nominada (no genéricas tipo "admin" o "info")
Roles de usuario asignados según función (editor para redactores, suscriptor para clientes, etc.), no administrador por defecto
Cuentas de exempleados eliminadas o desactivadas inmediatamente al cese
Revisión trimestral del listado de usuarios

11. Validación de input en formularios

Cualquier formulario que reciba input del usuario (contacto, búsqueda, login, registro) debe:

Validar el tipo y el tamaño del input
Sanear contra inyección (XSS, SQL injection si hay base de datos directa)
Aplicar rate limiting para prevenir brute force y spam
Usar CSRF tokens en operaciones que modifican estado

Para WordPress y otros CMS estándar, la mayoría de estas protecciones vienen integradas en el core, pero plugins de baja calidad las debilitan. Audita los plugins activos.

12. Monitorización mínima

Alerta cuando el certificado SSL caduca (la mayoría de proveedores envían aviso 30 días antes)
Alerta cuando la web cae o devuelve errores 500 (UptimeRobot u otros monitores gratuitos)
Notificación de fallos de login repetidos (los plugins de seguridad estándar lo cubren)

Servicios gratuitos del INCIBE para pymes

INCIBE ofrece varios recursos sin coste para pymes:

Línea 017 de Ayuda en Ciberseguridad: atención telefónica gratuita 24/7 para empresas y particulares con dudas de ciberseguridad
Servicio Antibotnet: detecta si tu IP está implicada en botnets
Bitácora de Ciberseguridad: boletín de actualidad y alertas
Kit de protección para autónomos y micropymes con materiales descargables
Catálogo de empresas de ciberseguridad certificadas para contratación
Comprobador de seguridad de la página web (servicio público en incibe.es)

Para empresas en sectores esenciales bajo NIS 2, INCIBE-CERT coordina la notificación de incidentes al Equipo de Respuesta del sector.

Plan básico de respuesta a una brecha de seguridad

Si detectas una brecha, el flujo en las primeras 24 horas:

Contener — desactivar el vector de entrada (cambiar contraseñas, deshabilitar cuentas, aislar el servicio comprometido)
Preservar evidencia — capturas, logs, copias forenses si es posible
Valorar — qué datos personales han sido comprometidos, qué afectados aproximados, qué riesgo
Decidir notificación — si hay riesgo para los derechos de los afectados, notificar a la AEPD en las 72 horas siguientes al conocimiento (Art. 33 RGPD). Si el riesgo es alto, notificar también a los afectados (Art. 34 RGPD)
Registrar — interna y formalmente la brecha conforme al Art. 33.5 RGPD, aunque no se notifique externamente

Para detalles operativos sobre la notificación, complementa con la guía pan-europea sobre notificación de brechas en 72 horas.

Errores frecuentes en webs de pymes españolas

Plugins desatendidos. Plugin instalado hace dos años, autor inactivo, vulnerabilidades CVE publicadas sin parchear. El INCIBE-CERT publica alertas; suscríbete al RSS.

Cuenta admin genérica compartida. Múltiples personas usando la misma cuenta "admin@dominio.es". Sin trazabilidad, sin posibilidad de revocar acceso parcial al cese de un empleado.

Backup en el mismo servidor. El backup en /wp-content/backups/ se comparte con el resto del sitio y cae con él si el servidor es comprometido. Externaliza el almacenamiento.

Sin HSTS o con max-age muy bajo. La redirección HTTPS funciona en el primer acceso pero un atacante puede interceptar la petición HTTP inicial. HSTS con max-age de al menos seis meses cierra esa ventana.

Logs sin retención definida. Logs que crecen indefinidamente en disco hasta que el servidor se queda sin espacio. Sin rotación ni purga.

Procedimiento de incidentes inexistente. La brecha ocurre, nadie sabe a quién llamar, qué declarar ni a quién notificar. Las 72 horas del Art. 33 RGPD se cumplen mientras el equipo improvisa.

Checklist final

Para el contexto general de cumplimiento RGPD, complementa con la checklist RGPD para pymes españolas y la auditoría RGPD paso a paso.

Esto es análisis técnico, no asesoramiento legal. Para sectores regulados (sanidad, finanzas), empresas en el ámbito de NIS 2 o brechas activas con afectados, consulta con un profesional de ciberseguridad y, en su caso, con un abogado especializado en protección de datos.

Comprueba tu web ahora

Analiza tu web en busca de problemas de Seguridad y más de 30 comprobaciones adicionales.

Analiza tu web gratis

Guías web

Plugins WordPress vulnerables España: CVE e INCIBE-CERT

Cómo proteger tu WordPress de plugins vulnerables siguiendo las alertas del INCIBE-CERT, el seguimiento CVE y el Art. 32 RGPD para webs en España.