Soporte 24/7
Preguntas Frecuentes
 Panel de control
Saldo de Cuenta:    
Checklist de Seguridad APM: Lo Que Todo Desarrollador Debe Revisar Antes de Publicar

Checklist de Seguridad APM: Lo Que Todo Desarrollador Debe Revisar Antes de Publicar

May 20, 2026 npm security package management supply chain security developer best practices ci/cd security code review malware prevention open source security

La auditoría de seguridad para paquetes npm que todo desarrollador debe realizar antes de publicar

Publicar paquetes de código abierto en npm implica más que subir archivos y esperar que funcionen. En un ecosistema donde una sola librería puede llegar a miles de proyectos, las amenazas han evolucionado y no basta con probar que “funciona en mi máquina”.

Cada vez más, los ataques se dirigen a los propios paquetes para robar credenciales, modificar procesos de compilación o mantener acceso persistente en entornos de CI/CD. La buena noticia es que la mayoría de estos riesgos se pueden controlar con revisiones sistemáticas y herramientas adecuadas.

Principales vectores de ataque en paquetes npm

1. Robo de cuenta y publicación maliciosa

El peor escenario es que un atacante acceda a tu cuenta y publique una versión alterada con código dañino. Una vez publicada, esa versión se instala automáticamente en todos los proyectos que dependen de ella.

Cómo protegerte:

  • Activa la autenticación en dos pasos en tu cuenta npm
  • Usa tokens de acceso limitados en lugar de tu contraseña principal
  • Configura aprobaciones manuales antes de publicar paquetes sensibles
  • Revisa regularmente los registros de publicación

2. Hooks de instalación: código que se ejecuta sin aviso

Los hooks como preinstall y postinstall permiten que el paquete ejecute código al instalarlo, antes de que el usuario siquiera vea su contenido. Esto crea un punto de entrada fácil para ataques.

Qué revisar:

  • Examina todos los hooks en tu package.json
  • Pregúntate si realmente necesitas ejecutar código durante la instalación
  • Si los usas, mantenlos simples y transparentes
  • Prefiere alternativas que se ejecuten durante el build en lugar de la instalación

3. Gusanos que se propagan entre dependencias

Algunos ataques modifican otros paquetes dentro de node_modules para extenderse por el árbol de dependencias. Esta propagación lateral puede comprometer múltiples librerías sin que nadie lo note.

Cómo evitarlo:

  • No modifiques archivos durante la instalación
  • Evita tocar el código de otras dependencias
  • Mantén tus dependencias aisladas
  • Usa npm audit y herramientas de escaneo de forma regular

4. Ataques a través de la identidad en CI/CD

Cuando un paquete forma parte de un pipeline de CI/CD, puede acceder a credenciales de despliegue, tokens de repositorios y otros secretos que el sistema almacena.

Medidas de protección:

  • Usa credenciales con permisos mínimos para cada etapa
  • Rota los tokens con frecuencia
  • Nunca guardes credenciales en scripts de package.json
  • Considera usar OpenID Connect para autenticar publicaciones
  • Revisa quién tiene acceso a las secretos de publicación

5. Dependencias desde Git sin control

Instalar dependencias directamente desde Git repositorios evita las revisiones de seguridad del registro npm. Un repositorio malicioso puede infectar el usuario que lo usa.

Recomendaciones:

  • Prefiere versiones registradas en npm en lugar de dependencias de Git
  • Si debes usar Git, verifica el hash del commit
  • No uses latest o referencias a ramas de repositorios sin verificar
  • Documenta por qué necesitas una dependencia de Git

6. Dependencias dinámicas y código en tiempo de ejecución

Algunos paquetes cargen código desde internet durante su ejecución. 这e crea un riesgo oculto donde el paquete actúa como un portal entre el usuario y un posible payload malicioso.

Mejores prácticas:

  • Declara todas las dependencias estáticamente en package.json
  • No cargues ni ejecute código dinámicamente
  • Usa herramientas de análisis estático para detectar require dinámicos
  • Si necesitas flexibilidad, diseña sin necesidad de ejecución de código

7. Infraestructura de phishing escondida dentro de paquetes

Algunos ataques usan paquetes npm para alojar páginas falsas de autenticación y robos de credenciales. Para el user, el paquete parece normal, pero su destino es la redirecting a páginas falsas.

Qué hacer para schützen:

  • Sé transparente sobre lo que tu paquete hace
  • Clarifica tus dominios oficiales y sitios de documentación
  • Implementa headers CSP en cualquier sitio web asociado
  • Monitorea versiones tipográficas similares de tu nombre
  • Reporta paquetes sospechosos a npm

8. Recolección de credenciales y secretos

Un paquete alterado puede leer .env archivos, variables de entorno y otros secretos durante la instalación. De esta forma, un atacante puede obtener API keys y токены que el sistema almacena.

Cómo endurecer tu paquete:

  • No incluyas secretos en control de versiones
  • Usa sistemas de gestión de secretos
  • Aplica el principio de menor privilegio
  • Audita lo que tu paquete accede en el entorno
  • No loguea información sensible

9. Exfiltración de datos y canales de comunicación

Datos robados necesitan un lugar para salir. Ataques de exfiltration usan DNS, requets de imágenes y API con datos ocultados para transporte sin ser detectados.

Prevención y detection:

  • Monitorea las conexiones externas que tu paquete hace
  • Usa herramientas que analizan el comportamiento del paquete antes de la instalación
  • Implementa controles de salida en tu seguridad
  • Pregunta si tu paquete necesita hacer llamadas externas
  • Documenta todas las llamadas a internet

10. Establecimiento de persistencia y anti-forense

Algunos ataques establecen persistencia modificando archivos del sistema, crons o configuraciones para sobrevivir después del primer infección.

Defensive measures:

  • Revisa cambios en el sistema después de la instalación
  • Implementa monitoreo de integridad de archivos en producción
  • Mantene logs de auditoría inmutables
  • Usa conteneders para limitar la persistency
  • Considera sistemas de archivos read-only

11. Obfuscación y código difícil de revisar

Si tu código es difícil de leer, las revisiones de seguridad become casi imposibles. Ataques de obfuscation hace que código malicioso de difícil detección.

Mejores prácticas de review:

  • Mantén tu código legible y sin obfuscation
  • Si minificas en producción, publica source maps
  • Evita encoding o encryptions innecesarios en código de instalación
  • Usa herramientas de deobfuscation durante la revisión
  • Legítimo código no necesita verstecken

12. Manipulación de nombres y typosquatting

Typosquatting es cuando un atacante publica expresss para confunden los que mischtipen express. Registry manipulation puede también make paquetes maliciosos más discoverable.

Tácticas para proteger:

  • Registra misspellings comunes de tu nombre
  • Usa packages con namespace para reducir riesgo de collision
  • Documenta tu nombre oficial en README
  • Monitorea packages que copyen tu nombre
  • Reporta typosquatting en npm

Chequeo pre-publicación: una lista para orientar tu revisión

Antes de publicar, pasa por esta checklist:

Checklist de seguridad:

  • [ ] 2FA activada en tu cuenta npm
  • [ ] No hay secretos codificados en package.json o коде
  • [ ] Lifecycle hooks justificadas y минимал
  • [ ] No hay carga de código dinámico durante la instalación
  • [<|eos|>

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR DE DA ZH-HANS EN