Protege los datos de tu empresa: checklist sencillo

Muchas PYMEs piensan que los ciberataques son cosa de grandes corporaciones. Error. El 43 % de los ciberataques a nivel mundial tienen como objetivo pequeñas y medianas empresas, precisamente porque sus defensas suelen ser más débiles. En España, el INCIBE gestionó más de 83.000 incidentes en 2023, y buena parte afectaron a negocios de menos de 50 empleados. La buena noticia: con orden y sentido común puedes reducir drásticamente tu exposición al riesgo, sin necesidad de un gran presupuesto.

“El 60 % de las pequeñas empresas que sufren un ciberataque grave cierran en los seis meses siguientes. No por el coste del rescate, sino por la pérdida de confianza de sus clientes y la paralización operativa.”

— Informe de Ciberseguridad para PYMEs, INCIBE 2023

Las amenazas más comunes que afectan a PYMEs españolas en 2024 son tres: ransomware, phishing y accesos no autorizados. El ransomware cifra todos tus ficheros y pide un rescate; en muchos casos el negocio queda paralizado días o semanas. El phishing llega por correo electrónico haciéndose pasar por tu banco, Hacienda o un proveedor, y busca que alguien del equipo entregue credenciales o autorice un pago fraudulento. Los accesos no autorizados suelen venir de contraseñas débiles o reutilizadas, y permiten al atacante moverse por tus sistemas sin que nadie lo note. Conocer el enemigo es el primer paso para defenderse.

CHECKLIST DE ACCESOS Y CONTRASEÑAS. Este bloque es el más importante. Activa la autenticación de dos factores (2FA) en todos los servicios que lo permitan: correo, ERP, banca online, acceso remoto y panel de hosting. Una contraseña robada sin 2FA es una puerta abierta; con 2FA, el atacante necesita también tu móvil. Usa un gestor de contraseñas (Bitwarden es gratuito y español en cuanto a servidores) para que cada cuenta tenga una clave única de al menos 16 caracteres. Revisa trimestralmente qué usuarios tienen acceso a qué sistemas y elimina o desactiva las cuentas de empleados que ya no trabajan contigo. Aplica el principio de mínimo privilegio: nadie debería tener acceso a más de lo que necesita para hacer su trabajo.

CHECKLIST DE COPIAS DE SEGURIDAD. Una copia de seguridad que no se verifica no existe. Aplica la regla 3-2-1: mantén 3 copias de tus datos, en 2 soportes distintos (por ejemplo, servidor local y nube), y 1 de ellas fuera de las instalaciones o en un proveedor cloud diferente al principal. Automatiza los backups diarios para que no dependan de que alguien se acuerde. Lo más importante: prueba la restauración al menos una vez al mes. Muchas empresas descubren que su backup no funcionaba justo cuando más lo necesitan. Herramientas como Veeam (con versión gratuita), Duplicati o simplemente Nextcloud con una política de versiones pueden ser suficientes para empezar.

CHECKLIST DE ACTUALIZACIONES Y PARCHES. El 60 % de las brechas de seguridad explotan vulnerabilidades para las que ya existía un parche disponible. Activa las actualizaciones automáticas del sistema operativo en todos los equipos (Windows Update, macOS Software Update). Revisa mensualmente el software de terceros: navegadores, plugins, Office, Adobe, antivirus y cualquier aplicación conectada a internet. Si usas un servidor propio, establece una ventana de mantenimiento mensual para aplicar parches sin interrumpir el negocio. No olvides el firmware de routers y switches: es el más olvidado y el más crítico.

CHECKLIST DE RED Y WIFI. Separa la red de invitados de la red interna de trabajo; no hay razón para que un cliente o visita comparta segmento de red con tus servidores. Cambia las credenciales por defecto del router: el usuario 'admin' con contraseña 'admin' sigue siendo la configuración más habitual en PYMEs. Usa cifrado WPA3 en el WiFi corporativo, o al menos WPA2 con una contraseña larga. Si tienes dispositivos IoT (cámaras IP, impresoras en red, termostatos inteligentes), aíslalos en una VLAN separada, ya que suelen tener firmware con vulnerabilidades conocidas. Para el acceso remoto de empleados, usa una VPN corporativa en lugar de exponer el escritorio remoto (RDP) directamente a internet.

CHECKLIST DE FORMACIÓN DEL EQUIPO. La tecnología sola no basta: el eslabón más débil sigue siendo el humano. Imparte al menos una sesión de concienciación al año (el INCIBE ofrece materiales gratuitos en incibe.es). Enseña a tu equipo a identificar correos de phishing: remitente sospechoso, urgencia artificial, enlaces que no coinciden con el dominio real y archivos adjuntos no solicitados son las señales más claras. Establece un protocolo simple: si alguien duda de un correo, que pregunte antes de hacer clic. Define quién es el responsable de seguridad en la empresa, aunque sea de forma informal. Realiza al menos una simulación de phishing al año; existen herramientas gratuitas como GoPhish para hacerlo.

QUÉ HACER SI SUFRES UN INCIDENTE. La clave es actuar rápido y con calma. Primero: aísla los equipos afectados desconectándolos de la red (cable o WiFi) para evitar que el problema se propague. Segundo: no apagues los servidores inmediatamente, ya que la memoria puede contener evidencias valiosas. Tercero: avisa a tu responsable de IT o a tu proveedor de servicios gestionados. Cuarto: comunica el incidente al INCIBE llamando al 017 (gratuito y confidencial) o a través de incibe.es. Si hay datos personales comprometidos, tienes la obligación legal de notificarlo a la AEPD en un plazo máximo de 72 horas. Documenta todo lo que ocurre desde el primer momento: qué pasó, cuándo, qué sistemas están afectados y qué acciones has tomado.

RGPD Y PROTECCIÓN DE DATOS: LO MÍNIMO QUE DEBES CUMPLIR. Si tu empresa trata datos personales de clientes, empleados o proveedores (y casi todas lo hacen), el Reglamento General de Protección de Datos te aplica. Lo básico: ten un registro de actividades de tratamiento (un documento que liste qué datos recoges, para qué y cuánto tiempo los guardas), incluye una política de privacidad en tu web, asegúrate de que los formularios tienen casilla de consentimiento expresa y revisa que tus contratos con proveedores que acceden a datos incluyen una cláusula de encargo de tratamiento. La AEPD ofrece la herramienta gratuita Facilita RGPD para PYMEs que simplifica mucho este proceso. Una infracción puede costar desde 10.000 euros hasta el 4 % de tu facturación anual.

HERRAMIENTAS GRATUITAS O DE BAJO COSTE PARA EMPEZAR HOY. No necesitas un gran presupuesto para mejorar tu postura de seguridad. Bitwarden: gestor de contraseñas gratuito para equipos pequeños. Malwarebytes Free: escaneo de malware bajo demanda. Have I Been Pwned (haveibeenpwned.com): comprueba si los correos de tu empresa han aparecido en filtraciones. Nextcloud: almacenamiento y colaboración autoalojado con cifrado. ProtonMail o Tutanota: correo con cifrado extremo a extremo si manejas información sensible. Microsoft Defender (incluido en Windows 10/11): antivirus suficiente para la mayoría de PYMEs si está bien configurado. Shodan.io: permite comprobar qué servicios de tu empresa son visibles desde internet. Todos son gratuitos o tienen planes desde menos de 10 euros al mes.

CONCLUSIÓN: LA SEGURIDAD ES UN PROCESO, NO UN PROYECTO. No existe una solución mágica que te proteja para siempre. Las amenazas evolucionan, el software cambia y tu equipo crece. Lo que sí puedes hacer es crear una rutina: revisa este checklist cada trimestre, mantén los sistemas actualizados, forma a las personas y ten un plan claro para cuando algo salga mal. Si en algún punto necesitas ayuda para evaluar tu situación actual, realizar una auditoría básica o implantar las medidas técnicas correctas, un partner tecnológico de confianza puede ahorrarte mucho tiempo y muchos disgustos. Invertir en seguridad hoy es siempre más barato que gestionar una crisis mañana.