10 consejos sobre ciberseguridad para mantener seguro a tu pequeño negocio

Marko Grujic

Por: Marko Grujic Tiempo de lectura: 13 minutos Actualización: 22-03-2022

Two office workers looking at a sparklin padlock at the office

Haz clic aquí para ver un resumen de este artículo

Resumen: 10 consejos sobre ciberseguridad para mantener seguro a tu pequeño negocio

Los ciberdelincuentes usan varias técnicas comunes, incluyendo el phishing, malware, ransomware y virus para atacar negocios de cualquier tamaño. Aunque normalmente, solo las brechas de datos de las empresas más conocidas aparecen en las noticias, más del 50 por ciento de las pymes experimentan por lo menos una brecha de datos al año.

Aquí tienes algunos consejos sobre ciberseguridad que puedes implementar para mantener a salvo los datos de tu empresa.

Crea un plan de ciberseguridad. Evalúa tus vulnerabilidades y escribe soluciones para cada una de ellas.
Implementa una política de escritorio limpio. Requiere a tus empleados que protejan apropiadamente los datos confidenciales.
Instala un firewall. Crea una barrera invisible que escanea el tráfico entrante de Internet buscando amenazas de seguridad.
Usa un antivirus para identificar y contener amenazas en ordenadores, portátiles y tabletas.
Incluye protección para dispositivos móviles incluyendo protocolos de seguridad para smartphones y otros dispositivos del Internet de las cosas (IoT en sus siglas en inglés) que accedan a la red de la empresa.
Requiere protocolos de contraseñas seguras y usa un gestor de contraseñas para crear y almacenar contraseñas complejas y únicas para todos los empleados.
Protege tu Wi-Fi. Oculta tu red para que no sea descubierta por terceros, y protege con contraseña tu router.
Haz copias de seguridad de tus datos. Hazlo diariamente y almacena el backup en un lugar seguro fuera de la empresa.
Usa la autenticación multifactor. Requiere más que un simple nombre de usuario y de una contraseña para acceder.
Asegura tus canales de pago manteniendo el software actualizado y usando un ordenador dedicado para los pagos en línea.

Lee nuestro artículo por completo para obtener más detalles sobre cómo mantener tu negocio ciberseguro.

Si eres el propietario de una pyme, proteger tu empresa de los ciberataques puede parecer como algo de baja prioridad. Entre la gestión de los empleados, el marketing y mantener los canales de ventas a pleno rendimiento, añadir la ciberseguridad a tu menú parece imposible, especialmente si no tienes un equipo de informáticos.

Pero mantener tu empresa a salvo de los ciberdelincuentes debe ser una prioridad.

Según CyberSecurity Magazine, el 43 % de todas las brechas de datos involucran a pequeñas y medianas empresas, y más del 60 % de pymes han informado de por lo menos una brecha de datos durante los últimos 12 meses.

Continúa leyendo para aprender sobre los tipos más habituales de ciberataques, cómo evaluar las vulnerabilidades de tu empresa y diez consejos de ciberseguridad que mantendrán a salvo tu negocio de sufrir brechas de seguridad.

¿Cuáles son los tipos de ciberataques más habituales?

Siempre que hay algo que robar o dinero fácil de conseguir, los hackers se encuentran cerca, preparados para recoger la paga del día de víctimas inconscientes. Mientras que sus métodos evolucionan continuamente, hay algunas estrategias demostradas en las que los hackers confían una y otra vez.

Ataques de phishing

Los cibercriminales intentan instalar malware en un dispositivo a través de estafas de phishing. Estos correos electrónicos se parecen a los que envían, legítimamente, las empresas o personas. Dentro del correo hay un enlace sospechoso o un adjunto. Este enlace descarga código malicioso en el dispositivo del usuario al hacer clic sobre él o al abrir el adjunto.

En otras ocasiones, los enlaces provenientes de ataques de phishing pueden llevar a los usuarios a webs falsas que recrean un negocio real, con la esperanza que el usuario proporcione información confidencial, como las credenciales de inicio de sesión, o del banco o los datos de la tarjeta de crédito. Los robos de identidad suelen empezar con ataques de phishing, así que asegúrate de que los empleados (¡especialmente los directivos!) están protegidos de esta estafa.

Malware

Como puede sugerir el nombre, malware es software que realiza acciones maliciosas en cualquier dispositivo donde se instale. Es un término genérico que incluye virus y ransomware, pero también otro software como bots, spyware o keyloggers.

El malware puede dar a los hackers el control remoto sobre un ordenador infectado, espiar la actividad del usuario, recolectar datos y pulsaciones de teclas o incluso usar un dispositivo infectado para lanzar ataques a otros dispositivos conectados y extender el malware.

Ataques de ransomware

Los ataques de ransomware están en alza y suelen ser noticia cuando se atacan a objetivos de perfil alto. Este tipo de ciberataques funcionan introduciendo malware en un dispositivo o sistema de ordenadores bloqueando el acceso de los usuarios, hasta que se pague una gran suma de dinero a los ciberdelincuentes.

El mayor ataque de ransomware hasta la fecha fue WannaCry en 2017. En ese ataque de ransomware, más de 250.000 ordenadores en 150 países se vieron afectados. Muchas empresas conocidas por todo el mundo y sus datos sensibles también fueron objetivos, incluyendo FedEx, el servicio nacional de salud británico, Hitachi y Nissan. Infographic Ransomware as a Servive (RaaS) Business Model

Virus

La idea general detrás de un virus informático es que infectará un dispositivo y rápidamente se extenderá a otros dispositivos, ya sea a través de redes conectadas o de acciones que se realicen en el dispositivo infectado (como enviar correos electrónicos de phishing a los usuarios en la lista de contactos).

Nuevos virus informáticos aparecen en las noticias con una frecuencia alarmante. Uno de los más tristemente famosos es Mydoom, un gusano que causó daños por un valor de 38 millones de dólares.

Diez consejos de ciberseguridad que puedes implementar hoy mismo

Las buenas noticias son que hay unos sencillos consejos sobre ciberseguridad que empresas de cualquier tamaño pueden, y deberían, seguir para minimizar el riesgo de un ciberataque.

1. Crear un plan de ciberseguridad

Incluso si tu negocio no tiene un montón de políticas y procedimientos documentados, debes tomarte tu tiempo para crear un plan de ciberseguridad por escrito. Un plan por escrito permite a cualquiera de tu empresa que entienda rápidamente el cómo y el qué de la seguridad tecnológica en tu oficina.

Tu plan debe empezar identificando las vulnerabilidades de tu empresa, y entonces detallar los pasos a seguir para mitigar esos riesgos. Tu departamento informático es siempre el mejor recurso para hacer esto. Si no tienes trabajadores dedicados al tema informático, asegúrate de echar una ojeada a las herramientas gratuitas que enumeraremos más abajo para que puedas empezar tú mismo.

2. Implementar una política de escritorio limpio

Aunque suene como algo que tu madre te pediría, una política de escritorio limpio está impulsada por la seguridad empresarial, no por sueños maternales de pulcritud. Implementar una política de escritorio limpio también pone una marca en algunas de las casillas de la lista de cumplimiento.

Regulaciones como el Reglamento General de Protección de Datos (RGPD) requiere esfuerzos para asegurar la integridad y confidencialidad de los datos. Otros, como la ISO 27001, tiene un requerimiento específico a una «política de escritorio y pantalla limpios», bajo el punto 11.2.9.

Cuando una empresa implementa una política de escritorio limpio, se les pide a los empleados que, de forma segura, almacenen la información confidencial o vulnerable al final de cada jornada de trabajo. Desde notas de clientes y lápices de memoria a notas en Post It™ con una contraseña garabateada (¡UFF!), hay innumerables formas de que la información personal caiga en manos equivocadas cuando no se encarga de ella con cuidado.

Como poco, tu política de escritorio limpio debe requerir a todos los empleados que limpien su espacio de trabajo de cualquier cosa de naturaleza confidencial, y almacenar cualquier información en una ubicación segura. Los empleados también deben:

Bloquear los portátiles y otros dispositivos cuando no los usan.
Bloquear dispositivos y estaciones de trabajo al final del día.
Almacenar con seguridad los medios extraíbles cuando no se usen.
Borrar pizarras y otras pantallas, para que no quede en ellos datos sensibles o credenciales importantes.
Nunca dejar información privada y personal en dispositivos de la empresa.

Debes incluir una versión escrita de tu política de escritorio limpio en tu política de ciberseguridad, y compartirla con los empleados durante el proceso de incorporación. Recordatorios trimestrales también son una buena práctica.

3. Lucha contra el fuego con un cortafuegos o firewall

Cuando instalas un firewall, pones una barrera invisible que filtra todo el tráfico de Internet antes de que llegue a tu red local o a tus dispositivos. Hay firewalls hardware y software, y debes considerar instalarlos ambos para una protección extra. También debes requerir a todos los teletrabajadores que instalen un firewall en sus dispositivos antes de obtener acceso a la red de tu empresa.

Los firewalls funcionan usando reglas para filtrar los datos no deseados. Tú eliges las reglas durante la instalación, por consiguiente te permite personalizar los niveles de protección que quieres. Aprende más sobre los firewalls y por qué debes tener uno aquí.

4. Instalar un antivirus

Debes instalar un buen software antivirus en cada dispositivo usado en tu empresa para monitorizar las actividades sospechosas.

Un programa antivirus se ejecuta en segundo plano sin que te des cuenta, escaneando tu dispositivo para identificar varias amenazas, como malware, virus y bots, y tomar inmediatamente los pasos necesarios para contenerlos. Puedes ver qué antivirus recomendamos para pymes.

Los sistemas operativos también suelen traer sus propias medidas antivirus. Es importante mantener tu sistema operativo actualizado siempre, ya que las actualizaciones de seguridad se suelen implementar para mejorar la protección de tu dispositivo.

No olvides requerir este consejo sobre ciberseguridad en cualquier dispositivo personal que tus empleados usen durante su jornada de trabajo, incluyendo a los teletrabajadores.

Una de las mayores debilidades a las que se enfrentan las empresas provienen de los dispositivos de los trabajadores que infectan las redes corporativas. Es crítico que cuando dejes que tus empleados lleven su propio dispositivo, estos dispositivos estén sujetos a las mismas medidas de seguridad que los dispositivos proporcionados por la empresa.

5. No te olvides de los dispositivos móviles

Hablando de dispositivos, no es solo de los dispositivos móviles de un empleado de lo que debes preocuparte. Los relojes inteligentes y los dispositivos del Internet de las cosas también ponen en riesgo las redes de la empresa. Incluso aunque no tengas la intención de que ocurra, muchos dispositivos IoT (Internet de las cosas en sus siglas en inglés) como electrodomésticos, gadgets e incluso coches eléctricos, están adjuntos a redes empresariales.

Como mínimo, tu plan de ciberseguridad debe requerir dos cosas: que esos dispositivos de los trabajadores se adhieran a sólidos protocolos de contraseñas y mantener los sistemas operativos de sus dispositivos actualizados.

6. Requiere sólidos protocolos sobre las contraseñas

Crear y mantener un seguimiento de contraseñas complicadas es una fuente de frustración entre los trabajadores de oficina. Es lo que lleva a muchos empleados a escribir sus contraseñas en notas adhesivas pegadas en los monitores o en las paredes de los cubículos, y el motivo por el que usan la misma contraseña en cuentas distintas.

Este fenómeno, llamado fatiga de contraseña, es un problema extendido, incluso Pew Research realizó un estudio sobre ello. Descubrieron que el 49 % de los usuarios escriben sus contraseñas, lo que crea un enorme amenaza a la ciberseguridad.

Implementa una política de contraseñas de sentido común para tus empleados. Si realmente quieres aligerar la carga, incorpora un gestor de contraseñas en tu política de ciberseguridad. Hay aplicaciones de terceros diseñadas específicamente para este propósito. Crean contraseñas fuertes y las almacenan en un servidor seguro.

También puedes elegir usar el gestor de contraseñas que acompaña al navegador aprobado por la empresa. Ambos métodos son mucho más seguros que una contraseña escrita y pegada en el monitor de un ordenador.

7. Asegurar tu Wi-Fi

Smartphone with a WiFi and Padlock icon El Wi-Fi es un punto vulnerable de seguridad particular en cualquier empresa. Incluso con la protección por contraseña, la amenaza de un hackeo es muy real. También hay un consejo sobre ciberseguridad muy simple de implementar.

Oculta tu red Wi-Fi, así su nombre no la verán los dispositivos cercanos. Puedes hacer esto en tu router o punto de acceso inalámbrico. Ocultando tu Service Set Identifier (SSID), el nombre de tu red Wi-Fi es invisible. Además, no olvides de usar una contraseña compleja en tu router.

8. Haz de forma regular copias de seguridad de los datos

Debes habituarte a hacer copias de seguridad de todos los datos importantes de forma habitual. Incluye todos los documentos, hojas de cálculo, información económica, comunicaciones, archivos de recursos humanos, información sensible y cualquier otra cosa de valor. Esto incluye también los datos almacenados en la nube.

Puedes configurar copias de seguridad automatizadas para no tener que recordar de hacerlo manualmente cada día. Asegúrate de que almacenas tus archivos de backup en una ubicación distinta y segura, y periódicamente comprueba que las copias de seguridad se realizan tal y como se espera.

9. Usa la autenticación multifactor

El uso de la autenticación en dos fases (2FA), añadido a una contraseña, es también un buen consejo sobre ciberseguridad para mantener tu oficina segura. Con la 2FA activada, para iniciar sesión se necesita más que simplemente saber el nombre de usuario y la contraseña.

El segundo factor suele ser un código enviado por SMS o que puede verse a través de una aplicación móvil dedicada (por ejemplo, Google Authenticator). También pueden ser biométricos, tres letras de una frase de contraseña o un token hardware especializado. Si tus aplicaciones y otros recursos son compatibles con un segundo factor de identificación para iniciar sesión, úsalo.

10. Asegura tus canales de pago

Asegúrate de que tus bancos y procesadores de pago por tarjeta están usando herramientas validadas y servicios fiables antifraudes, y que tu negocio cumple con cualquier requerimiento especial de seguridad emitido por tu procesador de pagos. Encontrarás estos requerimientos en el contrato que tengas con cada procesador.

Asegúrate también de estar al día de todas las actualizaciones de software que han publicado. Si es posible, usa un ordenador dedicado al procesamiento de pagos con tarjeta, y no uses ese ordenador para acceder a Internet de forma general.

Herramientas para evaluar tus cibervulnerabilidades

Hay varias herramientas gratuitas disponibles, diseñadas para ayudar a los propietarios de negocios a identificar áreas vulnerables y crear un plan de ciberseguridad sólido. Aunque estas herramientas están centradas en los EE. UU., los consejos y estrategias de ciberseguridad son las mismas en todas partes.

Recurso	Qué hace
Herramienta de planificación de la FCC	La Comisión Federal de Comunicaciones (FCC en sus siglas en inglés) es una agencia gubernamental de los EE. UU. que regula las comunicaciones domésticas e internacionales hechas por televisión, radio, satélite y cable en los Estados Unidos y sus territorios. Implementan e imponen todas las leyes y regulaciones relacionadas con esas comunicaciones. También ofrecen la herramienta gratuita Cyberplanner para pequeñas empresas. Con la herramienta, puedes planear una política de ciberseguridad personalizada para tu negocio.
Herramientas CISA	La Cybersecurity & Infrastructure Security Agency (CISA) es una agencia gubernamental de los EE. UU. que rastrea y trata con amenazas de ciberseguridad. Su Cyber Resilience Review (CRR) es una herramienta de autoevaluación que estudia diez dominios de negocios comunes y prepara un análisis de lagunas para identificar las vulnerabilidades de tu empresa. Para las empresas basadas en los EE. UU., la agencia también ofrece el Cyber Hygiene: Vulnerability Scanning. Este programa ayuda a fortalecer la seguridad de los programas que usas que acceden a Internet, y recomienda las más modernas y mejores prácticas de seguridad. Debes darte de alta en el servicio, pero una vez realizado el papeleo inicial, el servicio funciona automáticamente y genera informes regulares automáticamente. Para cualquier negocio con preocupaciones sobre la seguridad de la cadena de suministros, hay el ITC Supply Chain Risk Management Toolkit. Con él, las empresas pueden ser más conscientes y realizar pasos para reducir los riesgos de seguridad asociados a sus cadenas de suministros.
Campaña STOP. THINK. CONNECT.™	Esta iniciativa del departamento de Seguridad Nacional de los EE. UU. está diseñada para aumentar la concienciación sobre las ciberamenazas y ayudar a la gente a permanecer a salvo y más segura en línea. Aunque muchos de los recursos se centran en el consumidor, también hay herramientas que ayudarán a los negocios a mejorar su ciberseguridad.

Recurso

Qué hace

Herramienta de planificación de la FCC

La Comisión Federal de Comunicaciones (FCC en sus siglas en inglés) es una agencia gubernamental de los EE. UU. que regula las comunicaciones domésticas e internacionales hechas por televisión, radio, satélite y cable en los Estados Unidos y sus territorios. Implementan e imponen todas las leyes y regulaciones relacionadas con esas comunicaciones. También ofrecen la herramienta gratuita Cyberplanner para pequeñas empresas. Con la herramienta, puedes planear una política de ciberseguridad personalizada para tu negocio.

Herramientas CISA

La Cybersecurity & Infrastructure Security Agency (CISA) es una agencia gubernamental de los EE. UU. que rastrea y trata con amenazas de ciberseguridad. Su Cyber Resilience Review (CRR) es una herramienta de autoevaluación que estudia diez dominios de negocios comunes y prepara un análisis de lagunas para identificar las vulnerabilidades de tu empresa.

Para las empresas basadas en los EE. UU., la agencia también ofrece el Cyber Hygiene: Vulnerability Scanning. Este programa ayuda a fortalecer la seguridad de los programas que usas que acceden a Internet, y recomienda las más modernas y mejores prácticas de seguridad. Debes darte de alta en el servicio, pero una vez realizado el papeleo inicial, el servicio funciona automáticamente y genera informes regulares automáticamente.

Para cualquier negocio con preocupaciones sobre la seguridad de la cadena de suministros, hay el ITC Supply Chain Risk Management Toolkit. Con él, las empresas pueden ser más conscientes y realizar pasos para reducir los riesgos de seguridad asociados a sus cadenas de suministros.

Campaña STOP. THINK. CONNECT.™

Esta iniciativa del departamento de Seguridad Nacional de los EE. UU. está diseñada para aumentar la concienciación sobre las ciberamenazas y ayudar a la gente a permanecer a salvo y más segura en línea. Aunque muchos de los recursos se centran en el consumidor, también hay herramientas que ayudarán a los negocios a mejorar su ciberseguridad.

Conclusiones finales sobre la ciberseguridad para empresas

Combatir los ciberataques no es fácil, pero es posible. Todos los propietarios de empresas deben permanecer vigilantes a la siempre presente amenaza de los cibercriminales y de los fallos de seguridad de su red. Esto empieza identificando vulnerabilidades, y continúa tomando decisiones para mitigar los riesgos, como usar un firewall y un buen antivirus.

También debes pasarte a la autenticación en dos fases y requiere a tus empleados que usen contraseñas complejas y únicas. Asegurar tu red Wi-Fi y hacer copias de seguridad de los datos diariamente también son pasos sólidos a realizar.

Implementando los consejos sobre ciberseguridad de este artículo, puedes proteger tu empresa y tener la mejor oportunidad de ahuyentar a los ciberdelincuentes.

10 consejos sobre ciberseguridad para mantener seguro a tu pequeño negocio: Preguntas frecuentes

¿No encuentras lo que estás buscando en nuestro artículo? ¿Aún tienes preguntas? Echa un ojo a continuación a las preguntas frecuentes.

¿Cómo puedo proteger mi negocio de los ciberataques?

Puedes incorporar varias soluciones técnicas, como instalar un firewall, usar un antivirus y ocultar tu Wi-Fi corporativa de ser vista por otros.

También puedes formar a tus empleados sobre el plan de ciberseguridad de tu empresa y una política de escritorio limpio; requiéreles que usen la autenticación de dos fases e implementa un gestor de contraseñas que generará y almacenará de forma segura contraseñas complejas y seguras de sus usuarios.

Aunque nada puede garantizar que nunca acabes cayendo víctima de un ciberataque, hacer estas cosas pueden reducir enormemente esa posibilidad.

¿Cuáles son los cinco principios de la ciberseguridad?

La ciberseguridad se basa en cinco pilares para la protección de datos: Estos son:

Confidencialidad – solo los usuarios autorizados tienen acceso a los datos
Integridad – los datos no se modifican inapropiadamente
Disponibilidad – los datos están disponibles bajo demanda para usuarios autorizados
Responsabilidad – todos los que tienen acceso a los datos son responsables de esos datos
Autenticación – validación de todos los usuarios, dispositivos y datos

Lee el artículo al completo para saber más sobre cómo mantener tu negocio a salvo de ciberataques.

¿Cuáles son las principales amenazas de ciberseguridad a las que se enfrenta un pequeño negocio?

Los correos electrónicos de phishing son la mayor amenaza para las empresas pequeñas, ya que a menudo parecen muy legítimos.

Si un empleado abre un adjunto corrupto o hace clic en un enlace perjudicial, el malware puede ser descargado a un dispositivo y entonces a toda la red corporativa. Esto puede acabar con una petición de rescate por ransomware, un virus que se multiplica e infecta más dispositivos, e incluso espiar las pulsaciones de teclado del usuario o tomar el control total del dispositivo.

¿Qué debe haber en una estrategia de ciberseguridad?

La estrategia de ciberseguridad de tu empresa debe incluir una valoración de potenciales vulnerabilidades, estrategias para corregirlas y todas las políticas que los empleados deben saber y seguir para mitigar la amenaza de un ciberataque.

Lee todo nuestro artículo para ver consejos sobre cómo construir una estrategia de ciberseguridad para tu pyme.

Marko Grujic Autor

International security coordinator

Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.

Enviar un comentario