¿Por qué forzar la cerradura si podés conseguir la llave? En el mundo de la ciberseguridad, muchas veces pensamos en los ataques como algo super sofisticado, un hacker (enmascarado, por alguna razón que nunca entenderé) frente a múltiples pantallas negras con líneas de código corriendo a toda velocidad.
Pero en la vida real, la mayoría de las veces no se trata de romper un sistema desde adentro, sino simplemente de encontrar la manera de entrar como si fueras un usuario legítimo. Es mucho más fácil y rentable para los atacantes que explotar vulnerabilidades técnicas complejas.
Como desarrollador, hay ciertas precauciones que se deben tomar para mejorar la seguridad del sistema. A pesar de ser tan importantes, son bastante sencillas de implementar, solo hay que acostumbrarse a hacerlo de manera rutinaria.
Regla número uno – ¡No intentes reinventar la rueda en ciberseguridad! Usá una librería o servicio de confianza. Hay miles de pequeños detalles que llevaron años (y fortunas, y dolores de cabeza) a comunidades enteras depurar.
Nunca guardes contraseñas en texto plano: Siempre usá algoritmos de hashing seguros (como Argon2, bcrypt o scrypt). Guardar contraseñas sin cifrar es uno de los errores más graves y lamentablemente todavía muy común.
Implementá verificación en dos pasos (2FA): Agregar un segundo factor (como un código temporal desde una app o token físico) es una de las maneras más efectivas de frenar accesos no autorizados, incluso si alguien consigue la contraseña.
Evitá exponer claves o secretos en el código: Nunca subas tu archivo .env, claves API, tokens o secretos a GitHub u otros repositorios, ni siquiera en proyectos privados. Usá variables de entorno y herramientas de gestión de secretos.
Revisá tus formularios de login: Limitá los intentos fallidos, agregá captcha, y no devuelvas errores muy específicos como “usuario incorrecto” o “contraseña incorrecta” —eso facilita el trabajo de quien intenta adivinar credenciales.
Monitoreo y alertas: Implementá alertas ante patrones sospechosos de login, especialmente desde IPs inusuales o múltiples intentos fallidos.
Ahora bien, como usuarios, hay otros tantos consejos y buenas prácticas para mejorar la seguridad de nuestras cuentas y preservar el acceso, incluso tras perder un dispositivo.
Usá un gestor de contraseñas: Herramientas como Bitwarden (mi preferencia personal, de código abierto y gratuito), 1Password o incluso el gestor de tu navegador permiten generar y almacenar contraseñas fuertes sin necesidad de recordarlas todas. La idea es aprenderse una única contraseña (que también debe ser bien difícil de adivinar, pero es solo una) y utilizar contraseñas aleatorias para todo lo demás.
Activá el 2FA siempre que puedas: Ya sea por SMS (menos seguro) o mediante una app como Authy o Google Authenticator, este paso adicional puede evitar que alguien entre incluso con tu contraseña.
Cuidado con el phishing: No hagas clic en links sospechosos que te lleguen por mail, WhatsApp o redes sociales. Bancos, billeteras virtuales, entidades públicas u otras compañías que gestionen tu información financiera o personal nunca te pedirán confirmar o compartir tus datos o accesos. Verificá siempre la URL (que la dirección esté bien escrita y tenga candadito) antes de ingresar tus datos en un sitio web.
No reutilices contraseñas: Tener la misma contraseña o pin en todos lados es una bomba de tiempo. Ni hablar si, además, es tu fecha de cumpleaños. Una vez que una contraseña se filtra en una base de datos, es común que se use para intentar entrar en otras cuentas tuyas.
Hacé backups de tus métodos de autenticación: Si usás 2FA desde una app en tu celular y perdés el teléfono o se rompe, podés quedarte afuera de todas tus cuentas. Guardá los códigos de recuperación que te dan los servicios, y si es posible, usá un segundo dispositivo o sincronizá tu 2FA con la nube (por ejemplo, con Authy).
La seguridad no se trata solo de cerrar con doble llave, sino también de no dejar la llave bajo el felpudo. Muchas veces los atacantes no necesitan hackear nada técnicamente complejo: les alcanza con que alguien use 1234, haga clic en el link equivocado, o deje expuesto un archivo con claves.
Iniciar sesión con acceso robado es mucho más fácil que romper el sistema desde adentro. Por eso, todos compartimos la gran responsabilidad de cuidar la seguridad de todos, tanto programadores como usuarios.