Blog

Ciberseguridad para PYMES: checklist

Prioriza lo esencial: accesos, backups, actualizaciones y respuesta a incidentes.

Ciberseguridad

¿Por qué el 82% de las PYMES sufre ataques cibernéticos?

Según el reporte de Verizon (2023), el 39% de los ataques se dirigen a pequeñas empresas. Las razones principales:

  • Presupuesto IT limitado: sin personal dedicado a seguridad.
  • Sistemas legacy sin actualizaciones: vulnerabilidades conocidas sin parchear.
  • Falta de MFA: contraseñas fáciles de atacar por fuerza bruta.
  • Backups inadecuados: sin planes de recuperación ante ransomware.
  • Personal poco capacitado: caen fácilmente en phishing.

Costo promedio de un ataque: $200K-$500K (pérdida de datos, downtime, multas). Una PYME promedio tarda 6 meses en recuperarse.

Pilares de Ciberseguridad para PYMES

1. Gestión de Acceso (IAM)

Problema: Todos los empleados con acceso "admin", sin revisar permisos. Si un empleado se va, sigue teniendo acceso.

Riesgo: Acceso a datos financieros, clientes, facturas de rivales.

Checklist:

  • ✅ Crear matriz de roles: Admin, Gerente, Operador, Visualización.
  • ✅ Cada usuario solo accede a lo que necesita (principio de menor privilegio).
  • ✅ Revisar accesos cada 3 meses.
  • ✅ Desactivar cuentas de empleados que se van (en las primeras 24 horas).
  • ✅ Implementar MFA en correo corporativo + paneles críticos.
  • ✅ Usar Single Sign-On (SSO) para centralizar accesos.

Herramientas recomendadas:

  • Microsoft Entra ID (Azure AD) - SSO + MFA integrado.
  • Okta - Gestión centralizada de identidades.
  • Google Workspace / Microsoft 365 - MFA nativo.
  • Bitwarden / 1Password - Gestor de contraseñas corporativo.

2. Estrategia de Backups 3-2-1

Problema: "Tenemos backups" pero nunca se prueban. Cuando llega un ataque ransomware, el backup está corrupto o es inaccesible.

Regla 3-2-1:

  • 3 copias: Original + 2 backups.
  • 2 medios diferentes: BD principal + SSD local + nube (AWS S3, Azure Backup).
  • 1 fuera del sitio: Mínimo una copia geográficamente alejada.

Plan de backups para PYMES:

Frecuencia Qué Respaldar Destino Retención
Diaria (04:00 AM) BD, Documentos, Código Servidor local (NAS) 30 días
Semanal BD completa Nube AWS/Azure 12 semanas
Mensual BD + Archivos Almacenamiento externo offline 3 años

Verificación (CRÍTICA):

  • ✅ Prueba de restauración: Cada mes, restaurar 1 backup completo a ambiente de prueba.
  • ✅ Documentar: Tiempo de restauración, errores encontrados, soluciones.
  • ✅ Automatizar: Usar herramientas como Veeam, Bacula o Duplicati.
  • ✅ Alertas: Notificación inmediata si un backup falla.

Caso real: Empresa de logística fue atacada por ransomware. Sin backups probados, perdió $300K en datos (facturas, guías). Con nuestra implementación 3-2-1, recuperaron en 4 horas.

3. Gestión de Parches y Actualizaciones

Problema: "Luego actualizamos" = 2 años sin parches. Mientras, atacantes explotan CVEs públicas.

Riesgo: Windows XP, IE 6, PHP 5.3, Apache 2.2 seguros funcionando en producción = acceso remoto en minutos.

Plan de parches:

  • Críticas: 24-48 horas (vulnerabilidades con exploit activo).
  • Importantes: 2 semanas (vulnerabilidades comunes).
  • Moderadas: 30 días (casos marginales).

Herramientas automáticas:

  • Windows Update / WSUS - Parches del SO.
  • Patch Management for Business - Aplicaciones de terceros.
  • Dependabot (GitHub) - Librerías en código.
  • Snyk - Análisis de vulnerabilidades en dependencias.

Auditoria de versiones (cada trimestre):

// PHP
php -v
// Debe ser 8.1+ (8.0 es fin de vida)

// Node.js
node --version
// Debe ser versión LTS actual

// Plugins WordPress
// Dashboard > Actualizaciones
// Deben estar al 100%

// Nginx/Apache
nginx -v
// Verificar en documentación

4. Autenticación Fuerte (MFA)

Problema: Contraseña "admin123" sin MFA = acceso en segundos.

MFA (Multi-Factor Authentication): Combina 2+ métodos para verificar identidad.

Implementación de MFA (orden de prioridad):

  1. Correo corporativo (Gmail/Outlook): Algo que tienes (teléfono) + algo que sabes (contraseña).
  2. CRM y paneles administrativos: Google Authenticator, Microsoft Authenticator o SMS.
  3. VPN y SSH: Hardware keys (Yubikey) o TOTP.
  4. Aplicaciones SaaS: OAuth 2.0 con Google/Microsoft.

Métodos MFA (de más a menos seguro):

  • 🏆 Hardware keys (Yubikey): Imposible de phishear.
  • 🥈 TOTP (Google Authenticator): Requiere acceso físico al teléfono.
  • 🥉 SMS: Vulnerable a SIM swap, pero mejor que nada.
  • ❌ Preguntas de seguridad: Muy débil (respuestas en redes sociales).

Configuración rápida en Google Workspace:

Admin Console > Security > Enforce 2-Step Verification
- Requerir para todos los usuarios
- Período de gracia: 30 días
- Métodos permitidos: Authenticator App + Backup Codes

5. Prevención de Phishing

Problema: El 91% de los ataques comienzan con phishing (email falso).

Ejemplos de phishing:

  • "Microsoft necesita verificar tu cuenta: www.micr0s0ft-verify.com" (dominio falso).
  • "Descarga el PDF con tu factura" (archivo .exe disfrazado).
  • "El CEO necesita transferencia urgente a esta cuenta" (social engineering).

Defensa en capas:

  • Técnica (Email Gateway): Proofpoint, Mimecast, Google Security Sandbox.
  • Capacitación: Entrenamientos mensuales + simulaciones de phishing.
  • Procesos: Verificar cambios bancarios por teléfono separado.
  • Detección: Monitorear patrones de login, accesos a carpetas financieras.

Test simulado de phishing (gratis con Google/Microsoft 365):

  • Enviar emails falsos de verificación a empleados.
  • Medir tasa de clics (target: <5%).
  • Capacitar a quienes cayeron.

6. Monitoreo y Logs

Problema: "No sabemos si nos atacaron porque no revisamos logs".

Qué monitorear (mínimo):

  • Login fallidos (IP, usuario, hora).
  • Cambios en configuración (permisos, roles).
  • Accesos a datos sensibles (facturas, clientes).
  • Accesos fuera de horario o desde IPs sospechosas.
  • Descargas masivas o comportamiento anómalo.

Ejemplo: Alerta automática en Google Workspace


// Alertar si:
- 5+ intentos fallidos de login en 10 minutos
- Acceso desde país diferente al habitual
- Creación de 10+ usuarios en 1 hora
- Descarga >500MB en <5 minutos

// Acción: Bloquear cuenta + notificar admin

Herramientas:

  • Splunk - Análisis centralizado de logs (empresas grandes).
  • ELK Stack (Elasticsearch + Logstash + Kibana) - Open source.
  • Google Cloud Logging - Nativo para GCP.
  • AWS CloudWatch - Nativo para AWS.

7. Respuesta a Incidentes

Problema: Cuando pasa el ataque, no hay plan. Pierden 12 horas intentando reaccionar.

Plan de respuesta (CRÍTICO):

Fase 1: Detección (0-1 hora)

  • Alerta automática en monitoreo o reporte de usuario.
  • Equipo de respuesta se reúne (Slack/Zoom en 15 min).
  • Asignar roles: Líder incidente, técnico, comunicación.

Fase 2: Contención (1-4 horas)

  • Aislar sistemas afectados de la red.
  • Resetear credenciales de cuentas comprometidas.
  • Cambiar contraseñas de cuentas administrativas.
  • Preservar logs y evidencia digital.

Fase 3: Investigación (4-24 horas)

  • Determinar alcance: qué datos fueron accedidos.
  • Identificar causa raíz: phishing, SQL injection, vulnerabilidad conocida.
  • Documentar timeline del ataque.
  • Notificar a autoridades si aplica (GDPR, RGPD).

Fase 4: Recuperación (24+ horas)

  • Restaurar sistemas desde backup verificado.
  • Verificar integridad de datos.
  • Reactivar sistemas gradualmente.
  • Monitoreo intensivo por 48 horas.

Fase 5: Post-Incidente (1-2 semanas)

  • Análisis post-mortem: qué funcionó, qué falló.
  • Parches y cambios en configuración.
  • Capacitación adicional al equipo.
  • Actualizar plan de respuesta.

Plantilla de comunicación en crisis (en 30 min):


ASUNTO: Notificación importante - Incidente de seguridad detectado

Estimados clientes,

Hemos detectado un incidente de seguridad en nuestros sistemas [FECHA].
Inmediatamente activamos nuestro plan de respuesta:

✓ Sistemas aislados de la red
✓ Investigación en progreso
✓ Backups sin afectar disponibles

ACCIONES QUE TOMEN USTEDES:
- Cambien su contraseña en nuestra plataforma
- Revisen transacciones recientes
- Contacten soporte@tsdfact.com si notan anomalías

Más detalles mañana.

TSDFACT Security Team

Checklist Completo de Implementación

Mes 1: Foundations (Fundamentos)

Implementar MFA en correo corporativo Impacto: Alto | Tiempo: 2 días
Crear matriz de roles y permisos Impacto: Alto | Tiempo: 3 días
Implementar gestor de contraseñas corporativo (Bitwarden) Impacto: Medio | Tiempo: 1 día
Revisar y actualizar todas las contraseñas default (routers, BD, servidores) Impacto: Crítico | Tiempo: 2 días
Hacer primer test de restauración de backup Impacto: Alto | Tiempo: 4 horas

Mes 2: Hardening (Endurecimiento)

Implementar MFA en paneles administrativos (CRM, contabilidad) Impacto: Alto | Tiempo: 3 días
Auditoría de vulnerabilidades en aplicaciones web (OWASP) Impacto: Alto | Tiempo: 5 días
Implementar WAF (Web Application Firewall) Impacto: Alto | Tiempo: 2 días
Revisar y parchear todos los sistemas operativos Impacto: Crítico | Tiempo: 4 días

Mes 3: Detection & Response (Detección y Respuesta)

Implementar monitoreo centralizado (Google Cloud Logging o ELK) Impacto: Medio | Tiempo: 3 días
Configurar alertas automáticas para eventos críticos Impacto: Alto | Tiempo: 2 días
Crear plan de respuesta a incidentes y asignar roles Impacto: Alto | Tiempo: 2 días
Hacer simulacro de phishing controlado Impacto: Medio | Tiempo: 1 día
Capacitación de seguridad para todo el equipo Impacto: Medio | Tiempo: 1 día

Caso de Estudio: Empresa de Distribución

Situación: 45 empleados, ventas de $2M anuales. Sin seguridad coordinada, cada departamento hacía lo suyo.

Problemas encontrados:

  • Todos con acceso "admin" en ERP (fabricante podía ver precios secretos).
  • Backups solo locales en servidor sin respaldo externo (riesgo de ransomware total).
  • Windows 7 sin actualizaciones desde 2016.
  • Contraseña "empresa123" compartida en 20 personas.
  • Sin registros de quién accedía a qué.

Después de implementar nuestro plan:

  • ✅ Matriz de roles: Gerente > Vendedor > Operador > Visualizador.
  • ✅ MFA en todos los accesos críticos.
  • ✅ Backups 3-2-1 con pruebas mensuales.
  • ✅ Windows 10 + parches automáticos.
  • ✅ Logs centralizados con alertas.
  • ✅ Capacitación trimestral sobre phishing.

Resultado (6 meses después):

  • 0 incidentes de seguridad.
  • Cumplimiento normativo (ISO 27001 iniciado).
  • Confianza del cliente mejorada (preguntaban por seguridad).
  • Reducción significativa del riesgo de brechas de seguridad.

Beneficios de Implementar Controles de Seguridad

La inversión en ciberseguridad no es un gasto, es protección. Cada control implementado reduce tu exposición a riesgos específicos:

Control Riesgo Mitigado Impacto
MFA (Google/Microsoft 365) Acceso no autorizado Bloquea 99% de ataques por contraseña débil
Backups automatizados Ransomware, corrupción Recuperación en horas vs. semanas
Monitoreo centralizado Detección de anomalías Respuesta en minutos vs. días
Capacitación de seguridad Phishing, social engineering Reduce clics en emails maliciosos de 45% a <5%

Próximos Pasos

  1. Descarga este checklist: Imprime y marca cada item según avances.
  2. Asigna responsables: Alguien debe "ownearlo" (IT Manager, Admin IT, o nosotros).
  3. Establece cronograma: Mes 1, 2, 3 como se mostró arriba.
  4. Mide y reporta: Dashboard con métricas (% MFA, últimas actualizaciones, backups verificados).
  5. Itera:** Cada trimestre, revisar qué funcionó y qué ajustar.

Recuerda: La seguridad no es un destino, es un viaje. Empieza hoy con lo esencial (MFA + Backups + Parches), y construye desde ahí.

Revisar mi seguridad Volver al blog