La IA en seguridad: útil como checklist, no como escudo mágico
La IA puede ayudarte a revisar patrones y recordar puntos críticos, pero no sustituye pruebas reales. Aun así, para una web pequeña, aplicar un checklist serio evita la mayoría de sustos.
Checklist básico (prioridad alta)
- Sesiones: secure/httponly/samesite, regeneración de ID, timeout.
- CSRF: tokens en acciones sensibles.
- XSS: escapar salida, sanitizar inputs.
- SQLi: consultas preparadas siempre.
- Uploads: validar MIME, renombrar, limitar tamaño.
Cabeceras que ayudan mucho
- CSP (o al menos una base).
- frame-ancestors o X-Frame-Options.
- nosniff.
- Referrer-Policy.
Cómo convertirlo en tareas
- Quick wins: headers, CSRF tokens, logs.
- Medio: roles, validación centralizada.
- Grande: refactor de inputs, hardening de uploads.
Checklist final
- Sesiones OK.
- CSRF OK.
- SQL preparado.
- Escape HTML.
- Uploads controlados.
