Ciberseguridad para empresas: las bases imprescindibles
Backups, MFA, gestor de contraseñas, monitorización: las cuatro acciones concretas que la mayoría de PYMES aún saltan.
Gianmarco Pacetti
La ciberseguridad parece compleja, pero para la mayoría de pymes el problema no son los ataques sofisticados: son las bases. Phishing que funciona porque todos usan la misma contraseña en todas partes. Ransomware que cifra todo porque no hay un backup serio.
Tras recuperar el control de una docena de infraestructuras comprometidas en 3 años, puedo decir con certeza que el 80% de los incidentes se habrían evitado con cuatro acciones simples.
1. Backup serio (y probado)
El backup es tu seguro contra el ransomware.
La regla 3-2-1
3 copias de los datos
2 soportes diferentes (NAS + cloud)
1 copia off-site (físicamente separada)
Qué backupear
Base de datos (nocturno + semanal archivado)
Ficheros compartidos (Drive, SharePoint, NAS)
Email (sobre todo si es tu CRM)
Configuraciones de servidores y servicios cloud
Qué NO es un backup
Una sincronización (Dropbox, OneDrive): si borras, se borra en la nube
Un RAID: si el ataque cifra ficheros, el RAID copia los cifrados
El backup no probado no existe
Al menos una vez cada 3 meses: toma un backup, restáuralo en un entorno de prueba, verifica que funciona. El 70% de las empresas descubre que el backup está roto cuando lo necesitan.
2. MFA en todas partes
Blog
Sigue leyendo
Cuéntanos qué quieres construir
Ya sea un sitio, un gestor, una automatización o una nueva plataforma, te ayudamos a encontrar la solución adecuada.
Las contraseñas solas ya no bastan. Phishing por todas partes, contraseñas filtradas constantemente.
MFA debe ser obligatorio en: email corporativo, bancos, CRM, gestionales contables, cuentas admin en servidores cloud, GitHub, hosting, registrador de dominio.
Cuál MFA usar
Llaves hardware (YubiKey) — la mejor, ~50€/usuario
Apps authenticator (Google Authenticator, Authy, 1Password) — el equilibrio
SMS — mejor que nada pero vulnerable a SIM swap
3. Gestor de contraseñas empresarial
El Excel con todas las contraseñas en Drive es el peor enemigo. Solución: un gestor empresarial donde cada empleado tiene su vault, las compartidas viven en vaults de equipo, y el admin puede revocar accesos sin cambiar 30 contraseñas.
Herramientas: 1Password Business (8€/usuario/mes), Bitwarden Teams (4€/usuario/mes), Dashlane, NordPass.
Inversión mínima para 10 personas: 40-80€/mes.
4. Monitorización activa
Muchas pymes descubren que han sido atacadas meses después. Hay que monitorizar al mínimo: logins anómalos, intentos fallidos repetidos, cambios de configuración, tráfico saliente anormal, estado de backups, certificados SSL caducando, dominios similares registrados.
Herramientas accesibles: Have I Been Pwned + 1Password Watchtower, Cloudflare, Google Workspace alerts, Sentry, UptimeRobot.
5. Bonus: formación antiphishing
Un click equivocado del CEO abre la puerta. Formar al onboarding (1 hora obligatoria), cada 6 meses con phishing simulado, y al instante cuando llega una nueva campaña conocida.
Cuánto cuesta hacer las bases
Para una pyme de 10-30 personas:
Backup cloud: 30-100€/mes
1Password Business: 80-240€/mes
MFA: gratis
Monitorización esencial: 50-200€/mes
Formación inicial: 300-1500€ puntuales
Total: 160-540€/mes + setup de 1-3k€. Comparado con el coste medio de un ransomware (50-200k€), es el mejor ROI de tu infraestructura.
Si te ves en 2+ de estos puntos (contraseñas en Excel, solo el CEO tiene MFA, backup sin probar, sin alertas) — estás en zona de alto riesgo. Hablemos.