Informe de auditoría

Escuela Infantil El Cuentacuentos

Revisión completa de la web actual y opciones de mejora

escuelainfantilelcuentacuentos.es
Marzo 2026
BeVirtual
27
Páginas analizadas
30+
Vulnerabilidades
0%
Adaptación móvil
31 may
Fecha límite

Resumen

Hemos revisado a fondo vuestra página web: todas sus páginas, su base de datos, el panel de administración y la zona de padres. La web fue construida en 2013 por La Pecera de Ideas y, aunque ha cumplido su función durante más de 12 años, hoy presenta problemas importantes.

Conclusión principal
La web tiene fallos graves de seguridad que podrían permitir a cualquier persona con conocimientos básicos acceder a los datos personales de las familias. Además, no funciona en móviles y el certificado de seguridad (el candado del navegador) está caducado.

El contrato con el proveedor actual (Interdominios / La Pecera de Ideas) termina el 31 de mayo de 2026. Antes de esa fecha necesitamos trasladar la web a un nuevo alojamiento. Esto es obligatorio independientemente de lo que se decida hacer después.

Buena noticia
Todo el contenido de la web está disponible: noticias, fotos, documentos, menús y cuentas de padres. Nada se va a perder en el traslado.

Qué hemos analizado

Hemos recibido una copia completa de la web y la base de datos. Esto es todo lo que hemos revisado:

Elemento Cantidad Estado
Páginas públicas de la web 27 Completo
Panel de administración (donde gestionáis noticias) 1 sistema Funcional
Zona de Padres (portal privado) 1 sistema Funcional
Noticias publicadas ~170 Completo
Cuentas de padres registradas 97 Completo
Fotos (actividades, instalaciones, noticias) ~470 Completo
Álbumes de galería 24 Completo
Documentos PDF (menús, escuela de padres, documentos del centro) ~80 Completo
Lo que falta
Las fotos de las galerías de clase no están incluidas en la copia. El proveedor anterior ha indicado expresamente que no puede proporcionarlas. Si tenéis copias de esas fotos, las podríamos añadir manualmente.

Lo que funciona bien

Aunque la web tiene problemas que hay que resolver, es importante reconocer lo que sí funciona:

Contenido activo
Habéis publicado más de 170 noticias a lo largo de los años y tenéis 97 familias registradas en la zona de padres. Eso demuestra que habéis usado la web activamente y que las familias la visitan.
  • Panel de administración: funciona correctamente para crear y gestionar noticias
  • Zona de Padres: el sistema de acceso privado para familias está completo
  • Documentos PDF: los menús semanales, material de escuela de padres y documentos del centro están disponibles (~80 archivos)
  • Galerías de fotos: hay 24 álbumes creados con cientos de fotos de actividades
  • Información completa: todas las páginas sobre el proyecto educativo, instalaciones, servicios, actividades, etc., están presentes

Todo este contenido se conservará en cualquiera de las opciones que elijamos.

Problemas de seguridad

Esta es la parte más importante del informe. Hemos encontrado problemas graves de seguridad que afectan a la protección de datos de las familias. Los explicamos de forma sencilla:

Base de datos accesible desde fuera Crítico

Imaginad que la puerta de la escuela estuviera abierta de par en par, sin cerradura. Eso es exactamente lo que pasa con la web: cualquier persona con conocimientos básicos de informática puede acceder a toda la base de datos simplemente modificando la dirección de una página en el navegador.

Esto significa que podrían ver los nombres de los padres, los datos de los niños, las contraseñas y toda la información almacenada. Hemos encontrado más de 30 puntos donde esto es posible.

Contraseñas sin protección Crítico

Todas las contraseñas —tanto las vuestras como las de las 97 familias— están guardadas tal cual, sin ningún tipo de cifrado. Es como escribir las claves en un papel y dejarlo encima del mostrador.

Además, el panel de administración muestra las contraseñas de los padres en pantalla, visibles para cualquiera que acceda al panel.

Certificado de seguridad inválido Alto

Cuando alguien visita la web, el navegador puede mostrar una advertencia de que el sitio no es seguro. Esto ocurre porque el certificado SSL (el candado verde) no corresponde a vuestro dominio. Da una mala imagen y puede asustar a las familias.

Implicación legal

El Reglamento General de Protección de Datos (RGPD) obliga a proteger los datos personales, y especialmente los de menores. Una brecha de seguridad podría suponer sanciones de la Agencia Española de Protección de Datos, además del daño a la reputación del centro.

Problemas que afectan a las familias

Más allá de la seguridad, hay cosas que directamente impiden o dificultan que las familias usen la web con normalidad:

No funciona en móviles

La web se diseñó en 2013 para verse solo en ordenadores de escritorio. Hoy, entre el 70% y el 80% de los padres y madres consultan la web desde el móvil. Cuando lo hacen, ven una versión diminuta y tienen que hacer zoom y desplazarse en todas las direcciones para leer cualquier texto. Es como intentar leer un periódico con una lupa.

El acceso a la Zona de Padres no funciona

El botón de inicio de sesión en la página de padres llama a una función que no existe en el código. Es decir, los padres pueden ver el formulario de login, pero al pulsar el botón no ocurre nada.

Los menús semanales no aparecen

Hay 33 archivos PDF de menús guardados en el servidor, pero no están conectados con la web. La sección de menús aparece vacía. Los menús existen pero no se muestran.

Imágenes rotas y erratas

Hay alguna imagen que no se muestra correctamente y el nombre “Madrid” aparece escrito como “Mardrid” en varias páginas (contacto, aviso legal y política de cookies).

Sin estadísticas de visitas desde 2023

El sistema de analíticas (Google Analytics) dejó de funcionar en julio de 2023. Desde entonces, no hay forma de saber cuántas personas visitan la web ni qué páginas son las más consultadas.

Banner de cookies incompleto

El aviso de cookies solo tiene un botón de “Acepto”. La normativa europea (RGPD) exige que también se ofrezca la opción de rechazar las cookies de forma igualmente visible.

Fecha límite

31 de mayo de 2026
Fin del contrato con el proveedor actual (Interdominios / La Pecera de Ideas)

Antes de esa fecha, la web tiene que estar trasladada a un nuevo alojamiento. Si no se hace, la web dejará de funcionar cuando se desactive el hosting actual.

Para el traslado necesitamos:

  • El código AUTH del dominio (lo facilita el proveedor actual al solicitar la baja)
  • Los datos del titular del dominio (nombre, DNI, email, teléfono) para la transferencia
Importante
Cuanto antes tengamos el código AUTH, antes podemos empezar. La transferencia de dominio puede tardar entre 5 y 7 días, y es mejor no dejarla para el último momento.

Opciones de trabajo

Os presentamos tres opciones. Las tres incluyen el traslado obligatorio de la web al nuevo alojamiento. La diferencia está en qué más se hace una vez trasladada.

Opción A

Solo migración

Trasladamos la web tal cual está al nuevo alojamiento. Se corrige lo mínimo imprescindible para que funcione, pero no se tocan los problemas de seguridad ni el diseño.

Aviso
Con esta opción, los problemas de seguridad (acceso a datos de familias, contraseñas sin cifrar) seguirán activos. La web seguirá sin funcionar en móviles.
Partidas incluidas
  • Gestión del código AUTH y transferencia del dominio
  • Contratación y configuración del nuevo hosting
  • Importación de la base de datos (noticias, padres, galerías)
  • Subida de todos los archivos al nuevo servidor
  • Configuración del servidor (archivos de seguridad básicos)
  • Certificado SSL válido (candado verde en el navegador)
  • Cambio de contraseñas de administración
  • Configuración DNS y verificación de propagación
  • Testing completo post-migración (todas las páginas, panel, zona padres)
Opción B

Migración + correcciones de seguridad

Trasladamos la web y corregimos todos los problemas de seguridad. Los datos de las familias quedarán protegidos y la web cumplirá con la normativa de protección de datos. El aspecto visual no cambia.

Todo lo de la Opción A, más:
  • Protección de la base de datos contra accesos no autorizados (30+ puntos corregidos)
  • Cifrado de todas las contraseñas (administración + 97 familias)
  • Protección contra código malicioso en las páginas
  • Tokens de seguridad en todos los formularios
  • Sistema de subida de archivos seguro (fotos, documentos)
  • Protección de las operaciones de borrado
  • Sesiones seguras (cierre automático, protección contra suplantación)
  • Credenciales protegidas (fuera del código visible)
  • Bloqueo del acceso público al panel de administración y zona de padres desde buscadores
  • Conexión de los 33 menús PDF con la web (aparecerán en la sección de menús)
  • Corrección de imágenes rotas y erratas (“Mardrid” → “Madrid”)
  • Reparación del botón de login de la Zona de Padres
Recomendada Opción C

Web renovada

Trasladamos la web, corregimos la seguridad y rediseñamos toda la experiencia: adaptada a móviles, con un aspecto moderno, galerías de fotos atractivas y funcionalidades útiles para las familias.

Todo lo de las Opciones A y B, más:
  • Diseño adaptado a móviles y tablets (hoy el 70-80% de las visitas son desde el móvil)
  • Diseño visual moderno (paleta de colores coherente, tipografía unificada)
  • Eliminación de las cajas con scroll que dificultan la lectura
  • Galería de fotos moderna con visor a pantalla completa
  • Formulario de contacto funcional (actualmente solo hay un email y un teléfono)
  • Zona de Padres rediseñada (acceso claro, recuperación de contraseña)
  • Sección de menús semanales organizada y fácil de consultar
  • Navegación mejorada con migas de pan (“Inicio → Actividades → Complementarias”)
  • Botones de acción claros (“Contactar”, “Solicitar información”)
  • SEO básico (posicionamiento en Google: títulos únicos, descripciones, datos estructurados)
  • Google Analytics 4 (estadísticas de visitas actualizadas)
  • Optimización de velocidad (imágenes optimizadas, carga rápida)
  • Banner de cookies legal (aceptar/rechazar según RGPD)
  • Textos legales actualizados (aviso legal, política de privacidad)
  • Textos alternativos en imágenes (accesibilidad)

Comparativa rápida

Característica A B C
Web trasladada a nuevo hosting
Certificado SSL válido
Datos de familias protegidos
Contraseñas cifradas
Menús semanales visibles
Funciona en móviles
Diseño moderno
Galería de fotos moderna
Estadísticas de visitas
Cumplimiento RGPD Parcial

Próximos pasos

Una vez elegída la opción que mejor se adapte a vuestras necesidades, este sería el proceso:

Paso Qué hay que hacer Quién
1 Elegir una de las tres opciones Escuela
2 Solicitar el código AUTH del dominio al proveedor actual Escuela
3 Facilitar los datos del titular del dominio (nombre, DNI, email, teléfono) Escuela
4 Contratar el nuevo alojamiento e iniciar la transferencia BeVirtual
5 Ejecutar el traslado y los trabajos seleccionados BeVirtual
6 Verificación conjunta de que todo funciona correctamente Ambos
Estamos a tiempo
Si empezamos pronto, tenemos margen de sobra antes del 31 de mayo. Lo ideal es iniciar el proceso durante el mes de marzo para evitar prisas de última hora.

Si tenéis cualquier duda sobre este informe o sobre las opciones, estamos a vuestra disposición para explicarlo con todo el detalle que necesitéis.

BeVirtual — Marzo 2026