1. Introducción
Un sitio web no es solamente una pieza gráfica publicada en Internet. Es una infraestructura tecnológica capaz de comunicar información, recopilar datos, celebrar contratos, generar prueba, procesar pagos y producir responsabilidad jurídica.
Un sitio web es un conjunto organizado de páginas, archivos, bases de datos, programas y servicios accesibles mediante Internet, normalmente a través de un nombre de dominio. Puede cumplir funciones meramente informativas, pero también puede utilizarse para vender productos, contratar servicios, recibir pagos, recopilar datos personales, autenticar usuarios, emitir documentos, prestar servicios profesionales o gestionar trámites.
Desde el punto de vista técnico, un sitio web es un sistema informático compuesto por distintas capas: interfaz visual, código de programación, servidor, base de datos, servicios externos, infraestructura de alojamiento y mecanismos de seguridad.
Desde el punto de vista jurídico, el sitio puede convertirse en:
- un medio de publicidad;
- una plataforma de contratación;
- una base de datos personales;
- un canal de atención al consumidor;
- un instrumento de prueba;
- una obra protegida por derechos de autor;
- una infraestructura susceptible de ataques informáticos;
- una fuente de responsabilidad civil, administrativa, contractual o penal.
Por esa razón, el diseño de un sitio web no debería separarse de su análisis jurídico. Las decisiones técnicas —qué datos se recopilan, dónde se almacenan, qué cookies se instalan, qué proveedor de alojamiento se contrata o qué registros se conservan— pueden producir consecuencias legales concretas.
2. Página web, sitio web, portal y aplicación web
2.1. Página web
Es un documento individual interpretado por un navegador. Puede ser una portada, una página de contacto, un artículo, una ficha de producto o una política de privacidad.
2.2. Sitio web
Es el conjunto organizado de páginas y recursos vinculados bajo un mismo dominio o una estructura de dominios.
2.3. Portal web
Organiza grandes cantidades de contenidos o servicios y funciona como punto de acceso a distintas áreas, como ocurre con portales estatales, universitarios, empresariales o periodísticos.
2.4. Aplicación web
Permite ejecutar operaciones complejas: crear cuentas, cargar documentos, realizar pagos, reservar turnos, consultar expedientes o administrar bases de datos.
La diferencia entre un sitio y una aplicación web no siempre es absoluta. Un mismo proyecto puede incluir páginas informativas y, al mismo tiempo, funciones propias de una aplicación.
3. Cómo funciona técnicamente un sitio web
Usuario
↓
Navegador
↓
Sistema DNS
↓
Conexión HTTPS
↓
Servidor o CDN
↓
Aplicación web
↓
Base de datos y servicios externos
3.1. El navegador
El usuario accede mediante un navegador como Chrome, Firefox, Edge o Safari. El navegador interpreta los archivos recibidos y construye la página visible.
- HTML: define la estructura y el significado del contenido.
- CSS: controla la presentación visual.
- JavaScript: incorpora interacción y lógica ejecutada en el navegador.
3.2. El nombre de dominio y el DNS
El dominio es la dirección legible para las personas. El sistema DNS traduce ese nombre a una dirección IP que permite localizar la infraestructura correspondiente.
https://www.ejemplo.com/
https://www.ejemplo.com/articulos/
https://www.ejemplo.com/contacto/
https://www.ejemplo.com/privacidad/
El dominio no contiene necesariamente el sitio: funciona como una dirección lógica que conduce hacia el servidor o servicio donde se encuentra alojado.
3.3. El servidor web
El servidor recibe solicitudes y devuelve archivos, documentos, imágenes, videos o contenidos generados dinámicamente. Entre los servidores web conocidos se encuentran Apache, Nginx, LiteSpeed y Microsoft IIS.
3.4. HTTP y HTTPS
HTTP es el protocolo de intercambio de información entre navegador y servidor. HTTPS incorpora cifrado mediante TLS y permite proteger la comunicación en tránsito.
3.5. El backend
El backend es la parte que se ejecuta en el servidor. Puede autenticar usuarios, procesar formularios, realizar cálculos, consultar bases de datos, generar documentos, enviar correos o conectarse con sistemas de pago.
Entre los lenguajes empleados se encuentran:
- PHP;
- Python;
- Java;
- C#;
- JavaScript o TypeScript mediante Node.js;
- Go;
- Ruby;
- Rust;
- C++ en sistemas específicos de alto rendimiento.
3.6. Bases de datos
Las bases de datos almacenan información como usuarios, clientes, artículos, pedidos, pagos, documentos y registros de actividad.
| Sistema | Tipo o uso frecuente |
|---|---|
| PostgreSQL | Base relacional robusta, adecuada para aplicaciones complejas. |
| MySQL / MariaDB | Uso extendido en hosting y sistemas de gestión de contenidos. |
| Microsoft SQL Server | Integración frecuente con entornos empresariales Microsoft. |
| SQLite | Base liviana incorporada en aplicaciones pequeñas o locales. |
| MongoDB | Base documental orientada a estructuras flexibles. |
| Redis | Caché, sesiones y almacenamiento temporal de alta velocidad. |
La base de datos no debería exponerse directamente a Internet salvo que exista una necesidad técnica concreta y se adopten controles estrictos.
3.7. APIs y servicios externos
Una API permite que dos sistemas intercambien información. Puede utilizarse para pagos, mapas, mensajería, inteligencia artificial, autenticación, analítica o conexión con redes sociales.
4. Tipos de sitios web
4.1. Sitios estáticos
Están formados principalmente por archivos HTML, CSS y JavaScript que se entregan directamente al navegador.
Ventajas
- simplicidad;
- velocidad;
- menor superficie de ataque;
- bajo consumo de recursos;
- copias completas sencillas;
- menor mantenimiento del servidor.
Limitaciones
- actualización menos cómoda para usuarios no técnicos;
- menor administración editorial;
- más programación para incorporar funciones complejas.
4.2. Sitios dinámicos
Generan contenidos mediante programación del lado del servidor y bases de datos. Permiten cuentas, formularios complejos, búsquedas, comercio electrónico y áreas privadas, pero requieren más mantenimiento y seguridad.
4.3. Sistemas de gestión de contenidos
Un CMS permite administrar publicaciones mediante un panel. Ejemplos: WordPress, Drupal, Joomla, Ghost y TYPO3.
4.4. Constructores visuales y no-code
Plataformas como Google Sites, Wix, Squarespace o Webflow permiten diseñar páginas con poca o ninguna programación.
Sus posibles limitaciones incluyen:
- dependencia del proveedor;
- menor control del código;
- dificultades de migración;
- costos recurrentes;
- restricciones de seguridad o rendimiento;
- bloqueo tecnológico o vendor lock-in.
4.5. Aplicaciones desarrolladas a medida
Se programan para necesidades específicas. Ofrecen mayor control, pero requieren definir requerimientos, propiedad del código, documentación, pruebas, mantenimiento, seguridad y continuidad.
5. Herramientas para diseñar un sitio web
5.1. Planificación
Antes de programar conviene definir:
- finalidad y público destinatario;
- mapa de contenidos;
- funciones principales;
- datos personales que se recopilarán;
- perfiles de usuarios;
- riesgos jurídicos;
- presupuesto y responsables.
5.2. Diseño visual
Figma, Penpot, Sketch, Canva, GIMP, Inkscape, Photoshop e Illustrator.
5.3. Editores y entornos
Visual Studio Code, Visual Studio, WebStorm, IntelliJ IDEA, PyCharm, Sublime Text, Notepad++, Vim y Neovim.
5.4. Control de versiones
Git, junto con GitHub, GitLab, Bitbucket o servidores propios.
5.5. Pruebas
Herramientas de desarrollo del navegador, Lighthouse, validadores, pruebas automatizadas, pruebas de carga y analizadores de accesibilidad.
6. Diseño adaptable y experiencia del usuario
Un sitio responsive reorganiza sus elementos según el tamaño de la pantalla. Debe analizarse la legibilidad, el tamaño de los botones, la navegación táctil, los formularios, las tablas y el rendimiento en conexiones móviles.
La experiencia del usuario también tiene dimensión jurídica. Una interfaz confusa puede inducir a error, ocultar información relevante o dificultar el ejercicio de derechos.
Patrones oscuros o dark patterns
- destacar desproporcionadamente la aceptación de cookies;
- ocultar o dificultar su rechazo;
- complicar la cancelación de una suscripción;
- agregar productos sin decisión clara;
- mostrar costos únicamente al final;
- utilizar casillas premarcadas;
- presentar una opción perjudicial como obligatoria.
7. Accesibilidad web
La accesibilidad busca que las personas con discapacidades puedan percibir, comprender, navegar e interactuar con el sitio.
Las pautas WCAG se organizan sobre cuatro principios: el contenido debe ser perceptible, operable, comprensible y robusto.
- proporcionar textos alternativos;
- permitir navegación por teclado;
- mantener contraste suficiente;
- identificar títulos y secciones correctamente;
- asociar etiquetas con campos de formulario;
- no depender exclusivamente del color;
- incorporar subtítulos en contenidos audiovisuales;
- anunciar adecuadamente los errores;
- mantener un orden lógico del foco.
8. Administración de un sitio web
8.1. Dominio
Debe controlarse:
- titular registral;
- correo de recuperación;
- autenticación multifactor;
- renovación automática;
- servidores DNS;
- subdominios;
- certificados;
- personas autorizadas.
8.2. Alojamiento
El alojamiento puede ser compartido, VPS, servidor dedicado, infraestructura en nube, alojamiento administrado o plataforma de despliegue automático.
La elección debe considerar:
- ubicación de los servidores;
- disponibilidad;
- copias de seguridad;
- soporte y escalabilidad;
- jurisdicción;
- tratamiento de datos;
- exportación y terminación contractual.
8.3. Paneles, SFTP y SSH
Paneles como cPanel o Plesk permiten administrar archivos, dominios, correos, bases, certificados y tareas programadas. SFTP y SSH permiten realizar tareas técnicas mediante canales cifrados.
8.4. Gestión editorial
Debe existir un procedimiento para redactar, revisar, aprobar, publicar, corregir, retirar y archivar contenidos.
En un sitio jurídico conviene registrar:
- autor;
- fecha de publicación;
- fecha de actualización;
- fuentes;
- vigencia normativa;
- responsable de revisión.
9. Seguridad de los sitios web
La seguridad debe incorporarse desde el diseño y mantenerse durante todo el ciclo de vida del sistema.
9.1. Controles esenciales
- HTTPS;
- autenticación multifactor;
- contraseñas con hash adecuado;
- permisos por roles;
- actualizaciones periódicas;
- copias de seguridad.
- validación de entradas;
- consultas parametrizadas;
- limitación de solicitudes;
- registro y monitoreo;
- separación de ambientes;
- gestión segura de secretos.
9.2. Vulnerabilidades frecuentes
Inyección SQL
Se produce cuando una entrada del usuario se incorpora de forma insegura a una consulta. La defensa principal es utilizar consultas parametrizadas.
Cross-Site Scripting — XSS
Permite insertar código que se ejecutará en el navegador de otros usuarios. Se mitiga mediante escape contextual, sanitización, validación y políticas CSP.
Cross-Site Request Forgery — CSRF
Busca que un usuario autenticado ejecute involuntariamente una operación. Puede mitigarse con tokens anti-CSRF, cookies apropiadas y comprobaciones de origen.
Fallos de control de acceso
El servidor debe verificar la autorización en cada operación. Ocultar un botón en la interfaz no constituye una medida de seguridad suficiente.
Configuraciones inseguras
Incluyen contraseñas predeterminadas, paneles expuestos, mensajes de error detallados, software desactualizado y permisos excesivos.
9.3. Copias de seguridad
Una copia debe ser:
- periódica;
- verificable;
- cifrada cuando corresponda;
- independiente del servidor principal;
- sometida a pruebas de restauración.
9.4. Registros y monitoreo
Los registros pueden documentar accesos, errores, cambios, intentos de autenticación y acciones administrativas. Como pueden contener datos personales, deben conservarse durante un plazo justificado y protegerse contra alteraciones.
10. Protección de datos personales en Uruguay
La Ley N.º 18.331 reconoce la protección de datos personales como un derecho fundamental y regula el tratamiento de información relativa a personas determinadas o determinables.
Un sitio trata datos cuando:
- recibe formularios;
- crea cuentas;
- registra direcciones IP;
- utiliza analítica;
- procesa pagos;
- recibe currículums;
- instala cookies;
- almacena imágenes o datos biométricos.
10.1. Política de privacidad
Debería identificar:
- responsable y medios de contacto;
- datos recopilados;
- finalidades;
- destinatarios y encargados;
- transferencias internacionales;
- plazos de conservación;
- derechos de los titulares;
- uso de cookies;
- procedimiento para ejercer derechos.
10.2. Minimización
Deben recopilarse solamente los datos necesarios para una finalidad legítima, determinada y explicada.
10.3. Derechos de los titulares
Debe existir un canal para el acceso, rectificación, actualización, inclusión o supresión, de acuerdo con las condiciones legales aplicables.
10.4. Registro de bases
La organización debe analizar si las bases vinculadas con el sitio deben inscribirse en el registro administrado por la Unidad Reguladora y de Control de Datos Personales.
10.5. Proveedores de nube y hosting
El proveedor que procesa datos por cuenta del titular puede actuar como encargado del tratamiento. El contrato debería regular instrucciones, confidencialidad, seguridad, subcontratación, incidentes, eliminación, devolución y auditoría.
10.6. Transferencias internacionales
Pueden producirse al utilizar hosting extranjero, correo corporativo, sistemas de pago, CRM, inteligencia artificial, analítica, marketing o almacenamiento en nube.
10.7. Privacidad desde el diseño
La privacidad debe reflejarse en la arquitectura: minimización, seudonimización, separación de datos, configuraciones protectoras por defecto y mecanismos para ejercer derechos.
10.8. Vulneraciones de seguridad
Ante un incidente deben adoptarse medidas de contención, documentación, evaluación, corrección y las comunicaciones legalmente exigibles.
12. Comercio electrónico y protección del consumidor
Cuando el sitio ofrece productos o servicios a consumidores, resultan relevantes la Ley N.º 17.250 y las reglas específicas sobre comercio electrónico.
El sitio debería informar claramente:
- identidad del proveedor;
- medios de contacto;
- características del producto o servicio;
- precio, impuestos y costos adicionales;
- condiciones de entrega;
- medios de pago;
- garantías y restricciones;
- procedimiento de reclamo;
- condiciones de cancelación.
13. Contratación electrónica y valor probatorio
La Ley N.º 18.600 reconoce la admisibilidad, validez y eficacia jurídica de los documentos y firmas electrónicas, con las excepciones previstas legalmente.
Un sitio puede generar prueba mediante:
- formularios;
- correos de confirmación;
- comprobantes;
- registros del servidor;
- marcas de tiempo;
- documentos firmados;
- historial de operaciones;
- registros de aceptación.
Para fortalecer la prueba conviene conservar:
- el texto exacto aceptado;
- fecha y hora;
- versión contractual;
- usuario y operación;
- método de autenticación;
- integridad del registro;
- confirmación remitida.
14. Propiedad intelectual
El sitio puede incluir textos, fotografías, videos, música, ilustraciones, bases de datos, código, plantillas, logotipos e interfaces protegidos por propiedad intelectual.
Antes de utilizar un contenido debe verificarse:
- autoría;
- licencia;
- alcance del permiso;
- atribución;
- posibilidad de modificación;
- uso comercial;
- duración y territorio.
14.1. Código desarrollado por terceros
El contrato debería indicar:
- quién es titular del código;
- si existe cesión y si es exclusiva;
- qué componentes son propios o de terceros;
- qué licencias se utilizan;
- si se entrega el código fuente;
- si puede modificarse o encargarse a otro proveedor.
14.2. Código abierto
El software de código abierto mantiene protección jurídica y debe utilizarse conforme a su licencia: MIT, Apache 2.0, BSD, GPL, LGPL, AGPL u otras.
14.3. Registro de software y marcas
Uruguay dispone de mecanismos de registro de software y de marcas. El análisis debe diferenciar la protección del código, el contenido, el nombre comercial, el logotipo y el dominio.
15. Responsabilidad por los contenidos
El titular o administrador puede enfrentar responsabilidad por:
- información falsa o publicidad engañosa;
- afectación del honor o de la privacidad;
- uso no autorizado de imágenes;
- infracción de derechos de autor;
- divulgación de secretos;
- contenidos discriminatorios;
- incumplimientos contractuales;
- negligencia en la moderación.
En sitios con contenido generado por terceros conviene establecer reglas de uso, canales de denuncia, facultades de moderación, prohibiciones y procedimientos de retiro.
16. Ciberdelincuencia y accesos no autorizados
La Ley N.º 20.327 incorporó y actualizó figuras vinculadas con la ciberdelincuencia en Uruguay.
La publicidad del sitio no autoriza a terceros a:
- ingresar a áreas restringidas;
- superar mecanismos de autenticación;
- alterar o extraer datos;
- ejecutar código;
- interferir el servicio;
- instalar programas;
- utilizar credenciales ajenas.
La observación pasiva de información públicamente accesible no equivale a explotar vulnerabilidades, ejecutar cargas activas o acceder a recursos restringidos.
17. Contrato de diseño y desarrollo web
| Materia | Contenido recomendable |
|---|---|
| Objeto y alcance | Funciones incluidas, exclusiones y requisitos. |
| Entregables | Código, gráficos, base de datos, documentación y credenciales. |
| Cronograma | Etapas, hitos, dependencias y demoras imputables. |
| Aceptación | Pruebas y criterios para considerar cumplida la entrega. |
| Propiedad intelectual | Titularidad, cesiones, licencias y componentes de terceros. |
| Infraestructura | Control del dominio, hosting, repositorio, correo y certificados. |
| Datos personales | Roles, instrucciones, seguridad, confidencialidad y devolución. |
| Mantenimiento | Actualizaciones, soporte, tiempos de respuesta y costos. |
| Salida | Migración a otro proveedor y entrega de activos. |
| Ley y jurisdicción | Normativa aplicable y mecanismos de solución de controversias. |
18. Mantenimiento jurídico y técnico
Mantenimiento técnico
- actualizaciones;
- revisión de certificados;
- copias de seguridad;
- monitoreo;
- corrección de errores;
- revisión de dependencias;
- pruebas de restauración.
Mantenimiento jurídico
- actualización de políticas y términos;
- revisión de licencias;
- actualización de precios y contratos;
- atención de derechos;
- control de transferencias;
- seguimiento normativo.
19. Lista de verificación
- El dominio está registrado a nombre del titular correcto.
- Las cuentas críticas tienen autenticación multifactor.
- El sitio utiliza HTTPS.
- Existen copias de seguridad externas y verificadas.
- El código y las credenciales están documentados.
- Los formularios recopilan solamente datos necesarios.
- Existe una política de privacidad adecuada al tratamiento real.
- Existe información clara sobre cookies.
- Las bases fueron analizadas conforme a la Ley N.º 18.331.
- Los proveedores externos están identificados.
- Se conoce dónde se almacenan y procesan los datos.
- Los términos de uso reflejan el funcionamiento real.
- El comercio electrónico muestra información suficiente.
- El sitio funciona correctamente en dispositivos móviles.
- Se verificó la accesibilidad.
- Las imágenes y contenidos tienen licencia.
- El contrato regula la propiedad del código.
- Existe un procedimiento para incidentes.
- Los registros son proporcionados y están protegidos.
- Existe un plan de migración y continuidad.
20. Conclusión
Un sitio web es simultáneamente una publicación, un programa, una infraestructura, un canal contractual y, con frecuencia, una base de datos.
Un sitio profesional debe ser:
- técnicamente funcional;
- jurídicamente transparente;
- seguro;
- accesible;
- administrable;
- documentado;
- recuperable;
- respetuoso de los derechos de los usuarios.
La estrategia más adecuada es aplicar cumplimiento desde el diseño: determinar desde el inicio qué datos se tratarán, quién controlará la infraestructura, cómo se protegerá el código, qué información se brindará al usuario y cómo podrá continuarse el servicio si cambia el proveedor.
Fuentes normativas y técnicas
- Ley N.º 18.331 — Protección de Datos Personales y Acción de Habeas Data .
- Ley N.º 18.600 — Documento Electrónico y Firma Electrónica .
- Ley N.º 17.250 — Relaciones de Consumo .
- Decreto N.º 167/021 — Comercio electrónico .
- Ley N.º 9.739 — Derechos de Autor .
- Ley N.º 20.327 — Prevención y represión de la ciberdelincuencia .
- Agesic — Accesibilidad en entornos digitales .
- W3C — Web Content Accessibility Guidelines 2.2 .
- OWASP Top 10 .
- MDN Web Docs — Tecnologías web .
- Let’s Encrypt — Certificados TLS .