Cómo mejorar la seguridad de los datos internos de tu empresa
Casi ninguna empresa que nos llama preocupada por su seguridad tiene un problema de hackers. Tiene un problema de orden: nadie sabe exactamente dónde están los datos, quién puede verlos ni qué pasaría si mañana desaparecieran. Y ese desorden es, precisamente, el agujero por el que se cuelan casi todos los incidentes reales.
Lo esencial
- Primero medir, después comprar. Gastar en herramientas sin saber dónde están tus agujeros es la forma más rápida de tener una falsa sensación de seguridad.
- Las tres medidas que más protegen por menos dinero: control de accesos, segundo factor de autenticación y copias de seguridad que alguien ha probado a restaurar.
- La mayoría de brechas empiezan dentro: una contraseña reutilizada, un exempleado con acceso vivo, un fichero compartido «temporalmente» hace dos años.
- Si tratas datos personales, esto no es solo una buena práctica: es una obligación legal con sanciones asociadas.
El error de empezar comprando
La reacción instintiva cuando cunde la preocupación es comprar: un antivirus mejor, un firewall, una suite de seguridad con un panel lleno de gráficos verdes. Es comprensible y casi siempre es dinero mal invertido, porque protege lo que ya estaba protegido y deja intacto lo que de verdad está expuesto.
El orden correcto es al revés. Antes de gastar un euro, responde a tres preguntas: qué datos tengo, dónde están y quién puede llegar a ellos. La inmensa mayoría de empresas no sabe contestar a las tres. Y sin esas respuestas, cualquier compra es un tiro a ciegas.
Los agujeros que encontramos casi siempre
Accesos que nadie ha revisado nunca
Es el hallazgo número uno, y no falla: exempleados con la cuenta activa, becarios con permisos de administrador porque «era más rápido así», o la mitad de la plantilla con acceso a la carpeta de nóminas. El principio es sencillo y casi nadie lo aplica: cada persona debe tener acceso solo a lo que necesita para su trabajo, y ese acceso debe morir el día que se va. Revisar quién tiene acceso a qué cuesta una tarde y es lo más rentable que vas a hacer.
Contraseñas compartidas y sin segundo factor
La cuenta de administrador cuyo password conoce todo el departamento. La hoja de cálculo con las claves. La misma contraseña en el correo corporativo y en un foro que sufrió una filtración hace cuatro años. Activar el segundo factor de autenticación (2FA) en el correo, el banco y los sistemas críticos es gratis, se hace en una mañana y neutraliza de golpe el vector de ataque más común que existe.
Datos donde no deberían estar
El listado de clientes exportado a un Excel que vive en el portátil de alguien. Datos reales de producción copiados a un entorno de pruebas sin protección. Un enlace de Drive compartido «con cualquiera que tenga el enlace» y olvidado. Los datos se derraman por el uso cotidiano, sin mala intención, y ahí es donde se quedan expuestos.
Copias de seguridad que nadie ha probado a restaurar
«Sí, tenemos backup». La pregunta correcta no es esa: es ¿cuándo fue la última vez que restaurasteis uno y funcionó? Una copia que no se ha probado no es una copia, es una suposición. Y el día que hace falta, se descubre que llevaba ocho meses fallando en silencio.
Software sin actualizar
Los sistemas y las librerías con vulnerabilidades públicas y conocidas son la puerta de entrada más aburrida y más usada. No hace falta que nadie te ataque específicamente: hay procesos automáticos escaneando internet buscando esas versiones concretas.
Qué hacer, por orden de rentabilidad
| Medida | Esfuerzo | Cuánto protege |
|---|---|---|
| Activar 2FA en correo, banca y sistemas críticos | Una mañana | Altísimo. Es la medida más rentable que existe |
| Revisar quién tiene acceso a qué y quitar lo que sobra | Una tarde | Muy alto |
| Gestor de contraseñas para el equipo | Días | Alto: elimina las claves compartidas y reutilizadas |
| Probar de verdad la restauración de una copia | Un día | Alto: es tu único seguro ante un ransomware |
| Actualizar sistemas y dependencias vulnerables | Continuo | Alto |
| Cifrar los datos sensibles y los portátiles | Días | Medio-alto: limita el daño si algo se pierde o se roba |
| Registrar quién accede a los datos sensibles | Proyecto | Medio: no evita el incidente, pero permite saber qué pasó |
| Formar al equipo en phishing | Horas | Alto: el correo sigue siendo la puerta de entrada nº 1 |
Fíjate en que las cinco primeras no requieren comprar nada. Requieren decidir hacerlas.
Y si tratas datos personales, además es la ley
Si guardas datos de clientes, empleados o proveedores, el RGPD y la AEPD te obligan a aplicar medidas técnicas apropiadas, a saber qué datos tratas y por qué, y a notificar las brechas en 72 horas. No es papeleo opcional: las sanciones son reales y la obligación no depende del tamaño de tu empresa.
La buena noticia es que casi todo lo que exige la norma coincide con lo que deberías hacer igualmente por sentido común: saber qué datos tienes, limitar quién accede, protegerlos y poder demostrarlo.
Por dónde empezar de verdad: medir
Todo lo anterior son medidas generales. Para saber cuáles aplican a tu caso y en qué orden, hay que mirar tus sistemas. Eso es lo que hacemos en una auditoría de software: revisamos control de accesos, cifrado, dependencias vulnerables, exposición de datos personales y configuración del cloud, y te entregamos una lista priorizada —qué es grave, qué es cosmético y qué se arregla esta semana— en lenguaje que entiendes sin ser ingeniero.
Si además el software lo mantiene un tercero, la seguridad es una de las cosas que más difícil resulta juzgar desde fuera: ahí entra el trabajo de supervisar a tu proveedor de desarrollo. Y si lo que necesitas es alguien que dirija esto de forma continuada sin contratar un perfil directivo, es uno de los encargos típicos de un CTO externo.
La seguridad no se compra: se ordena. Saber qué datos tienes y quién puede verlos protege más que cualquier herramienta que instales encima del desorden.
¿Sospechas que tus datos no están todo lo protegidos que deberían?
Revisamos tus sistemas y te decimos con franqueza dónde estás expuesto, qué es grave y qué puede esperar —con una lista priorizada y sin venderte herramientas que no necesitas. Respuesta en 24 h.
Hablemos de tu negocio →