Articulos relacionado con aplicaciones y software a medida desarrollador por Q2BSTUDIO

El pasado mes de mayo del 2018 entró en vigor el Reglamento de Protección de Datos de la Unión Europea (GDPR). 

La ley que tiene como principal objetivo proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y destruyen.

Si eres ciudadano europeo, desde mayo del año pasado las empresas que quieran usar tus datos deben hacerlo de forma obligatoria con tu consentimiento. Además, tienes el derecho de saber en todo momento cuáles son los datos que está utilizando la empresa sobre ti, cómo los están tratando y para qué y quién es la persona encargada de los mismos.

Una norma que afecta a todos los países de la Unión Europea y que permite la implementación de nuevas herramientas para controlar los datos. Pero, además, con la entrada en vigor de este reglamento se ha conseguido que haya más derechos, un especial cuidado al mantenimiento informático para empresas en materia de seguridad y otorgar un mayor poder a las agencias de protección de datos.

Aplicaciones y derechos del GDPR

El Reglamento de Protección de Datos de la Unión Europea se aplicará a las siguientes organizaciones:

-Aquellas que tengan presencia física en al menos algún miembro de la Unión Europea

-Las que procesan o almacenan datos sobre individuos que residen en la Unión Europea

-Empresas que utilizan servicios a terceros que procesan o almacenan datos sobre individuos que residen en la Unión Europea

Por su parte, los derechos que establece el nuevo reglamento europeo son:

-Derecho a estar informado

-Derecho al acceso

-Derecho a la rectificación

-Derecho a ser borrado

-Derecho a restringir el procesamiento

-Derecho a la portabilidad de datos

-Derecho a objetar

-Derecho sobre la toma de decisiones y creación de perfiles automáticos

Cualquier empresa u organización que no cumpla con estos derechos, podría verse sancionada con multas que pueden llegar a los 10 millones de euros o al 2% de su volumen de ventas globales. Ya se trate de empresas de informática, de servicios o de cualquier otro ámbito de actuación.

De entre estos derechos, hay que destacar que cualquier ciudadano puede solicitar a la empresa que elimine sus datos personales cuando estos ya no tengan validez. El derecho de acceso, por su parte, también resulta de interés, ya que podrás pedir a las empresas que confirmen si tus datos se están procesando, dónde y con qué finalidad.

Además, y gracias al derecho a la portabilidad, podrás recuperar los datos que se están tratando de modo automatizado para cederlos a otro responsable.

El nuevo consentimiento para la utilización de nuestros datos y la ciberseguridad

Una de las particularidades de este nuevo reglamento es que la solicitud de consentimiento de datos es totalmente diferente a la que teníamos hasta hace un año. Ahora ya no tendremos que leer esas parrafadas ininteligibles, sino que las empresas están obligadas a explicar cómo usarán nuestros datos de forma clara. Muchas de ellas han tenido que hacer uso de escritorios virtuales para adaptar estas nuevas medidas.

Esta nueva normativa europea ha traído consigo también mantener a salvo la ciberseguridad empresarial. Sin ir más lejos, la mejora en la transparencia hace que el cliente pueda confiar mucho más en la marca.

Pero a su vez, el cumplimiento de las normas conlleva una mejora en la competitividad empresarial en materia de seguridad. El hecho de tener que tratar con mayor cuidado y detalle los datos de los usuarios hace que se incrementen los procesos de seguridad en las empresas.

Si sabemos que las empresas van a tratar nuestros datos, queremos que lo hagan cumpliendo con las normativas actuales. Y esto supone que la ciberseguridad esté más que presente en cada compañía, ya que tendrá que adoptar las medidas más adecuadas para minimizar los riesgos. Es por esta razón por la que muchas empresas nacionales han acudido a comprar firewalls Fortinet.

No en vano, si las empresas tratan datos especiales de un usuario, tendrán que tomar una serie de medidas adicionales de seguridad a la hora de prevenir amenazas de ciberataques. Esto ha provocado que las empresas demanden más profesionales en ciberseguridad para poder cumplir con el GDPR.

Puestos de trabajo como especialista en seguridad informática, analista de seguridad de la información, ingeniero de seguridad de red, ingeniero de seguridad o ingeniero de seguridad de aplicaciones se han situado entre los más demandados en este último año.

El cumplimiento de este nuevo reglamento, en definitiva, se antoja fundamental para cualquier empresa. Y no solo por el impacto estético y de imagen profesional que puede suponer para con los clientes, sino también por el hecho de mantener a salvo la propia ciberseguridad de la compañía.

Es cierto que esta nueva normativa ha hecho que los trabajos de adaptación de las empresas en este último año se hayan vuelto un tanto complejos. Pero. tal y como podemos ver, también está suponiendo que las empresas hayan puesto especial énfasis en la propia seguridad empresarial. Una ventaja adicional que les ayudará a disponer de una imagen más profesional de cara a los clientes.

Recientemente se han reportado a través de redes sociales algunos casos de extrañas llamadas telefónicas, aparentemente fraudulentas, que han llamado la atención de la comunidad de la ciberseguridad.

Según los testimonios, en estos casos, a diferencia de algunas populares estafas telefónicas, los perpetradores no se presentan como empelados bancarios ni solicitan a los usuarios su número de tarjeta y NIP, sino que se limitan a hacer algunas preguntas, aparentemente sin sentido (¿es usted el señor NOMBRE/APELLIDO?, ¿es usted usuario regular de Internet?, entre otras).

En caso de que estas llamadas sean parte de un fraude, parece que la intención de los operadores de esta campaña es que los usuarios objetivo respondan a sus preguntas con un simple ‘sí’ pero, ¿por qué es que los defraudadores están interesados en esto?

Los expertos en ciberseguridad afirman que, al hacer esto, los actores de amenazas están recolectando registros biométricos, relacionados directamente con algunos bancos. Un ejemplo de esto es Rusia, donde los bancos pueden prestar algunos servicios sin que los clientes acudan a las sucursales personalmente.

Ejemplos de registros biométricos

Para poder acceder a estos servicios remotos, los clientes de los bancos deben habilitar la autenticación por voz, lo que requiere que los usuarios repitan algunas frases para que el banco pueda almacenar su registro biométrico, que posteriormente será usado para verificar su identidad.

Alexander Dvoryansky, experto en ciberseguridad ruso, afirma que: “los hackers podrían acceder a estas bases de datos biométricos, extraerlos y venderlos en foros de dark web; aunque en la mayoría de los casos no sería posible acceder a la cuenta de una víctima usando sólo la palabra ‘sí’, los hackers podrían acceder a todos los registros de voz de un usuario, mismos que deben contener palabras clave o las frases necesarias para comprometer la cuenta bancaria”, afirma el experto.

Por su parte, Andrey Golovin, del Departamento de Seguridad Informática de Rusia, menciona que: “además de la autenticación por voz, los hackers también requerirían acceso a contraseñas o a otros registros biométricos (como reconocimiento facial) para acceder a una cuenta bancaria, por lo que la complejidad del ataque aumenta de forma considerable.

“Además, cada conversación con un empleado bancario será diferente, y sería realmente complicado que los empleados no lograran distinguir entre una muestra de audio grabada y una conversación real”, mencionó el experto en ciberseguridad. Otro punto a destacar es que los usuarios de estos servicios bancarios a distancia deberán entregar previamente a su banco una lista de tarjetas de pago autorizadas, por lo que un potencial intruso no podría realizar una transferencia a cualquier otra tarjeta.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que una de las principales medidas de protección contra este potencial fraude es evitar contestar a las llamadas telefónicas de números sospechosos y, en caso de que el usuario decida tomar la llamada, no mencionar la palabra ‘sí’ durante la llamada. Asimismo, se recomienda a los usuarios que no emplean la autenticación por voz inhabilitar por completo este servicio.

UN TRAJE A MEDIDA

El software a medida es desarrollado mediante la utilización de la última tecnología actualizada. El sistema se desarrolla específicamente para satisfacer los requisitos de negocio del cliente. Cualquier descontento o dificultad del cliente que aparece durante el proceso de desarrollo se pueden mejorar. Todo se hace con permiso del cliente. Es seguramente el beneficio más importante del desarrollo de software a medida.

CON UN COSTE MÍNIMO

A veces los costes asociados con el desarrollo de aplicaciones de negocio personalizadas para tu empresa son más altos que la compra de un producto ya preparado, y a veces no lo son. Los beneficios a largo plazo de invertir en el desarrollo de software a medida son mucho más valiosos que los que se producen por la compra de un producto ya hecho. Además imagina el coste adicional en el que tienes que incurrir cuando pagas por licencias, ya sea a corto o largo plazo o lo que también pagas por la compra de productos que no están incluidos en el software comprado o en la plataforma y que también necesitas.

CON UN BUEN MANTENIMIENTO

Con el desarrollo de software a medida, el mantenimiento normalmente se incluye durante todo el tiempo que es necesario. Con el software estándar, tu negocio está a merced del desarrollador del software que has comprando y no podrás adaptarlo o ajustarlo a tus propias necesidades, un mantenimiento personalizado es la clave, en nuestro caso en Q2B incluimos un chat online en tu plataforma para facilitarte la vida.

CON UN BUEN PROCESO DE INTEGRACIÓN

El software a medida es una gran solución para la integración de programas. Las empresas que necesitan numerosos programas de software pueden disfrutar de los beneficios de trabajar con una aplicación de software diseñado a medida para integrar múltiples procesos. El software a medida en este sentido ayuda a lograr más de lo que necesitas.

CON UN BUEN SOPORTE

Un gran beneficio que se obtiene con las aplicaciones de negocio personalizadas es un plan de apoyo técnico eficiente y fiable. Tienes acceso completo al equipo de soporte técnico que participó en el proceso de desarrollo de tu aplicación, por lo que todos los problemas que puedas encontrar se resuelven de una manera eficiente.

LA CONCLUSIÓN

No debes tener miedo al desarrollo de software a medida. Si eliges al consultor adecuado te vas a encontrar con un camino sencillo de recorrer y lleno de satisfacciones. Suelen abarcar el proceso completo que va desde la consultoría inicial a  un mantenimiento evolutivo de las aplicaciones desarrolladas, además del diseño de la arquitectura, la programación, toda una fase de pruebas, control de calidad, instalación, formación a usuarios y soporte para resolución de dudas o problemas. Contemplan el ciclo completo de desarrollo de software.

La seguridad en los productos software constituye una propiedad emergente dictaminada por la cohesión de múltiples factores a lo largo del proceso de desarrollo, desde su misma concepción hasta la muerte del producto. Cuando hablamos de evaluar la seguridad de los programas informáticos, hacemos referencia a un conjunto de actividades a lo largo del ciclo de desarrollo que nace que con la idealización del sistema, y se extiende sobre el diseño, la codificación y el fortalecimiento del mismo.

No debemos caer en el error de confundir la seguridad del sistema con las características de éste, como ser la utilización de ciertos protocolos como SSL. Tampoco debemos confundirla con los componentes de seguridad que se ven inmersos en la arquitectura del sistema, como la presencia de firewalls, o limitarla al cumplimiento de una normativa o certificación en particular.

La seguridad del producto es una propiedad dinámica que varía en el tiempo, y que resulta crítica si consideramos el rol que cubren estas aplicaciones en la sociedad moderna. Surge tras reconocer que existen atacantes, y que estos se encuentran siempre dispuestos a probar cada potencial camino de entrada para lograr el control del sistema, y por tanto fuerzan a las empresas de desarrollo de software a pensar mecanismos de control para resistir estos ataques.

Se estima que en la actualidad, el 50% de las vulnerabilidades en los sistemas tienen su origen en fallas de diseño. Estas últimas se diferencian de las fallas de implementación –comúnmente conocidas como bugs, surgidas en la codificación o prueba- por nacer de manera temprana en el proceso de desarrollo y poseer un impacto tan profundo en el sistema que demanda la reingeniería del mismo. Es por esto mismo que resulta crucial desplegar los recursos necesarios para identificar y arreglar estas fallas de diseño de manera temprana, a fin de reducir el costo que éstas producen al arraigarse al producto que se está creando.

¿Cómo guiamos el desarrollo seguro?

Para ayudar a la evaluación de la madurez de la seguridad en el proceso de desarrollo de software, el expositor presenta una lista de problemáticas comunes al momento de diseñar aplicaciones, que pueden llegar a afectar la seguridad en el producto final. Veamos cuáles son estos consejos para el diseño seguro.

1. Ningún componente es confiable hasta demostrar lo contrario

Un error común en el desarrollo de software es englobar funcionalidad sensible en un ambiente de ejecución sobre el cual no tenemos ningún tipo de control. No es debido suponer que los componentes del sistema son confiables hasta que esto pueda ser demostrado.

Por ejemplo, si tenemos un entorno de cliente-servidor, se deben tomar las precauciones contra posibles clientes adulterados desplegando mecanismos de verificación. Debemos pensar que éste se encuentra en el dominio del usuario, quien no siempre tendrá las mejores intenciones.

2. Delinear mecanismos de autenticación difíciles de eludir

La autenticación es el proceso que nos permite acreditar la identidad del usuario y asignarle un identificador único. El desarrollo de métodos autenticación centralizados que cubran cada posible camino de ingreso es uno de los pilares en la construcción de aplicaciones seguras.

Si se trata de páginas web, debemos pensar qué sitios requerirán el manejo de usuarios autenticados, y cuidar que terceros indebidos no se entrometan en el sistema desde URLs no protegidas. La utilización de múltiples factores de autenticación nos permitirá reforzar el sistema comprobando no sólo lo que el usuario sabe sino, por ejemplo, también lo que éste posee.

3. Autorizar, además de autenticar

La autorización es el proceso que designa si un usuario autenticado puede o no realizar una acción que cambia el estado del sistema. Los procesos de autorización sobre usuarios autenticados deben ser pensados desde el diseño y previenen contra sesiones que han caído en las manos equívocas.

4. Separar datos de instrucciones de control

Este punto es clave cuando se trabaja con código capaz de modificarse a sí mismo, o lenguajes que compilan dicho código en tiempo de ejecución -tales como JavaScript-, donde las mismas instrucciones se reciben como datos. Entonces, se vuelve de suma importancia sanear las entradas que recibe el sistema para evitar que atacantes puedan manipular el flujo de ejecución ingresando datos maliciosos.

5. Validar todos los datos explícitamente

Las entradas al sistema deben evaluarse con una filosofía de lista blanca por sobre lista negra: determinar qué se permitirá, y denegar todo aquello que no se corresponda. Debemos pensar que un atacante interpreta los datos como posibles lenguajes de programación, con la intención de manipular el estado del sistema. Por esto, se torna necesario inspeccionar estos datos de entrada, generando los procedimientos automáticos para llevarlos a formas canónicas bien conocidas.

Además, esta validación de entradas debe darse cercana al momento en que los datos son en efecto utilizados, puesto que el desfasaje entre la validación y la utilización brinda una ventana de oportunidad para la generación de ataques.

Para implementar esto, pueden diseñarse componentes comunes que centralicen validaciones tanto sintácticas –estructurales– como semánticas –de significado–, y sacar provecho de los tipos de datos presentes en el lenguaje de programación sobre el cual se está trabajando.

6. Utilizar criptografía correctamente

La comprensión de las nociones criptográficas que aplican al sistema en desarrollo es necesaria para poder entender qué elementos y qué característica de los mismos se busca proteger, contra qué formas de ataque, y consecuentemente, cuál es la mejor manera de lograr este objetivo.

La creación de propias soluciones criptográficas, como siempre, es una decisión riesgosa que puede derivar en un sistema defectuoso, y por tanto es rotundamente desaconsejada. En cambio, se debe acudir al correcto asesoramiento para encontrar las librerías y herramientas que nos permitan aumentar el costo de ataque para el cibercriminal.

7. Identificar datos sensibles y cómo se los debería gestionar

Resulta complicado proteger nuestra información si no tenemos en claro qué es lo que realmente buscamos cuidar. La definición de los datos cuya protección resulta fundamental para el funcionamiento del sistema es crítica, puesto que a partir de ella podremos comenzar a esbozar los procesos para el diseño de la seguridad desde el mismo comienzo del ciclo de desarrollo, y no como un añadido en las etapas de implementación o despliegue.

La definición de los requerimientos de anonimidad y los metadatos que se manejan dará pie a la toma de decisiones en cuanto a los caminos que hacen a su protección.

8. Considerar siempre a los usuarios del sistema

Un sistema técnicamente perfecto que no cubre las necesidades de los usuarios es un sistema inservible. La seguridad utilizable debe ser una de las metas a alcanzar cuando se plantean los objetivos de seguridad para el sistema. Por un lado, no es prudente transferir al usuario cuestiones de seguridad que pueden resolver los mismos desarrolladores, a fin de evitar la fatiga.

Por otro lado, es necesario mantener una comunicación con el usuario para otorgar cierto grado de transparencia sobre cómo opera el sistema. La configuración por defecto debe ser la configuración segura, siempre.

9. La integración de componentes cambia la superficie de ataque

Las aplicaciones actuales constituyen sistemas complejos con muchos componentes interactuando de manera simultánea. Cada vez que se realiza un cambio en el sistema, el panorama de seguridad cambia y debe ser reevaluado. Esta reexaminación es el resultado de la coordinación entre las áreas y proyectos.

Los componentes deben ser analizados de manera unitaria y en conjunto, teniendo en cuenta cómo se combinan, mantienen o reemplazan.

10. Considerar cambios futuros en objetos y actores

Desde el diseño, debemos considerar que las propiedades del sistema y sus usuarios cambian constantemente. Algunos factores a considerar son el crecimiento de la población de usuarios, cómo las migraciones afectan al sistema, o cómo afectarán vulnerabilidades futuras sobre componentes que se han desplegado a gran escala.

Los procedimientos de actualización de manera segura deben de diseñarse con un horizonte a futuro de meses, años o incluso décadas.

En un comunicado conjunto, se menciona que: “un tercero no autorizado obtuvo acceso a un número reducido de los sistemas en los tres sitios durante los últimos días de agosto de 2019. Como resultado, la información de estas cuentas podría haber sido comprometida”.  

Acorde a los expertos en seguridad en redes, los actores de amenazas obtuvieron múltiples detalles sobre los usuarios, incluyendo:

Nombres completos

Dirección de los sitios web alojados

Direcciones email

Números de teléfono

Servicios contratados en cada sitio de alojamiento

Como medida de protección, Web.com solicitará a todos sus usuarios realizar un restablecimiento de contraseñas, no obstante, un representante de la compañía mencionó que el cifrado de contraseñas es una práctica estándar en esta plataforma, por lo que las claves de acceso de los usuarios permanecieron protegidas durante el incidente: “No creemos que la información haya sido expuesta  como resultado específico de este incidente”, añadió el portavoz.

Asimismo, se especificó que los datos de las tarjetas de pago de los usuarios no fueron expuestos durante este incidente, pues esta información es operada por un tercero certificado. La compañía afirma que la brecha de datos ya fue notificada a las autoridades competentes. Sin embargo, la compañía menciona que los usuarios no deben bajar la guardia y permanecer alertas ante cualquier actividad sospechosa en sus cuentas bancarias, especialmente en línea.

Finalmente, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que el peligro sigue latente, pues los actores de amenazas encargados de este ataque podrían usar la información comprometida para desplegar campañas de spear phishing.

Además, recomiendan a los usuarios de cualquiera de estos servicios de alojamiento web no esperar a recibir instrucciones de las compañías y restablecer sus credenciales de acceso lo antes posible. Ante el posible inicio de una sofisticada campaña de phishing, también se recomienda a los usuarios ignorar los correos electrónicos de apariencia sospechosa, así como los archivos adjuntos o enlaces a sitios externos que pudieran recibir.

Las fallas en los sistemas de TI de la radiodifusora incluso fueron reportados por los oyentes, que comenzaron a reportar el problema vía Twitter. Posteriormente, la compañía publicó un comunicado en su sitio web oficial, mencionando: “hemos tomado la decisión de desconectar todos nuestros sistemas informáticos operativos. La emisión seguirá de forma ininterrumpida a través de la sede central en Madrid; nuestro equipo de TI ya se encuentra trabajando en el restablecimiento de actividades y recuperación de información”.

Según reportan expertos en forense digital, al igual que algunos medios locales, la compañía ya ha comenzado con un plan de recuperación de incidentes; parte de este plan consiste en la implementación de algunas medidas que todos los empleados de la compañía deberán cumplir, como:

No usar los equipos de cómputo de PRISA (incluyendo laptops y equipos de escritorio)

Por ningún motivo los empleados deberán acceder a ninguna red WiFi interna

En caso de que un empleado tenga que acceder a su cuenta de correo de Outlook 365, deberá hacerlo desde una computadora o dispositivo móvil que no esté conectado a las redes de la compañía

Por su parte, los empleados de Everis han recibido la instrucción de no conectarse a las redes internas de la compañía, además deberán mantener sus dispositivos apagados, al menos por ahora. Incluso en algunas áreas de la compañía las actividades fueron interrumpidas por completo, por lo que los empleados fueron enviados de regreso a casa.

Otra demostración mas de que es muy importante mantener actualizados los sistemas informáticos, las ultimas actualizaciones y unas medidas de seguridad exhaustivas en las compañías privadas.

¿ Eres Hackeable ? 

Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

El principal objetivo de las pruebas de penetración consiste en determinar las debilidades de seguridad. Una prueba de penetración también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad.

Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de este tipo los tipos buenos están tratando de entrar a la fuerza.

Las estrategias de prueba de penetración son:

Pruebas orientadas a un objetivo

Estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama un enfoque de “luces encendidas” porque cualquiera puede ver el examen que se lleva a cabo.

Comprobación externa

Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, servidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.

Pruebas internas

Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría causar.

Pruebas a ciegas

Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser costosa.

Pruebas de doble ciego

Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de penetración, solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.

Una de las primeras decisiones que debes tomar cuando estás planteando el desarrollo de un proyecto web es si realizarlo a medida o mediante un CMS (Content Management System, es decir, un Gestor de Contenidos).
Ojo, porque un proyecto a medida también es un gestor de contenidos, pero desarrollado únicamente para tu modelo, con una estructura definida y basada en sus necesidades.

Pros de utilizar software libre CMS (Tipo Wordpress o similar)

Menos tiempo de desarrollo
Tiene ya implementadas muchas funcionalidades
Tiene estructuras preestablecidas pero modulables
Plugins, módulos y extensiones ya desarrollado
Desarrollos realizados en diferentes lenguajes de programación muy utilizados a nivel mundial:
Se le puede integrar muchos complementos de desarrollo de terceros: Widget, plugins, interacciones con API, etc.
Autogestión de la página web  sin tener la necesidad de "meterse a tocar código" para cambiar algún elemento.
Comunidades de usuarios vinculados a cada CMS, los cuales aportan soluciones, resuelven dudas, aportan información, etc
Más económica. Temas (gratuitos y de pago) establecidos con variedad de demos, que hacen que ahorren tiempo en el desarrollo técnico y a nivel de planteamiento de diseño.