Ciberseguridad básica para pymes: 12 acciones para estar en verde en 7 días

Si hoy te quitaran el acceso al correo, a la facturación y a tus documentos, ¿cuánto tardarías en volver a operar? La ciberseguridad en pymes no va de cortafuegos imposibles ni presupuestos gigantes, sino de unas pocas decisiones que reducen el riesgo de forma drástica. Aquí tienes un plan honesto y accionable para ponerte “en verde” en una semana, sin necesidad de un equipo técnico propio.

Qué riesgos reales tienes (y por qué te afectan)

• Phishing: correos o WhatsApps que suplantan a tu banco, proveedor o clientes.
• Robo de cuentas: una contraseña filtrada abre todas las puertas si no usas 2FA.
• Ransomware: cifran tus archivos y te piden un rescate; sin copias, te paralizas.
• Suplantación de tu dominio: alguien envía correos “desde ti” si no tienes SPF/DKIM/DMARC.

La buena noticia: con 12 acciones prácticas puedes bloquear la mayoría de estos problemas.

---

Las 12 acciones, priorizadas

Objetivo: reducir superficie de ataque, proteger acceso a cuentas críticas y asegurar que puedes volver a operar rápido si algo falla.

1) Gestor de contraseñas + 2FA donde importa de verdad

• Por qué: las contraseñas repetidas y débiles son el principal vector de ataque.
• Cómo:
  • Elige gestor: 1Password o Bitwarden (equipo/empresa).
  • Activa 2FA primero en: correo corporativo, dominio/hosting, banca, facturación, CRM y administrador de dispositivos.
  • Usa aplicación de códigos (Authy, Microsoft Authenticator / Google Authenticator) o claves FIDO si puedes.
  • Tiempo: 60–90 min para lo crítico.

2) Copias de seguridad 3‑2‑1 (y prueba de restauración)

• Por qué: no es una copia hasta que la has restaurado.
• Cómo: 3 copias, 2 medios distintos, 1 fuera de la oficina (p. ej., nube). Versionado activado.
  • Documentos: Google Drive/OneDrive con versionado + copia semanal a Amazon S3/Backblaze B2/USB cifrado.
  • Sistemas: imagen/snapshot mensual de equipos clave.
  • Haz una restauración de prueba de 3 archivos y 1 carpeta.
  • Tiempo: 90 min inicial + 15 min prueba.

3) Actualizaciones automáticas y antivirus/EDR

• Por qué: muchos ataques explotan fallos ya parcheados.
• Cómo: activa Windows Update/macOS, actualiza navegador y apps. Antivirus/EDR ligero (Microsoft Defender, Malwarebytes, o plan Business de tu suite).
• Tiempo: 30–45 min.

4) Correo con SPF, DKIM y DMARC en tu dominio

• Por qué: impide (y detecta) la suplantación de tu dominio en emails.
• Cómo:
  • SPF: registra los servidores que pueden enviar por tu dominio.
  • DKIM: firma saliente para garantizar integridad.
  • DMARC: empieza con p=none; rua=mailto:tuemail@dominio.com para monitorizar, y evoluciona a quarantine/reject cuando los reportes estén limpios.
  • Tiempo: 45–60 min con tu proveedor de correo/hosting.

5) Cifrado de dispositivos y bloqueo de pantalla

• Por qué: si te roban un portátil, no deben leer nada.
• Cómo: BitLocker (Windows) o FileVault (macOS) + bloqueo automático a 5 min + contraseña/biometría.
• Tiempo: 20–30 min por equipo.

6) Wi‑Fi separada: invitados vs. trabajo

• Por qué: reduces riesgos y mantienes tu red de trabajo “limpia”.
• Cómo: crea una red de invitados aislada; contraseña robusta WPA2/3; desactiva WPS.
• Tiempo: 20 min en el router.

7) Filtrado de adjuntos/URLs y hábitos anti‑phishing

• Por qué: el 90% de los ataques empieza por un clic.
• Cómo: activa filtros nativos (Microsoft 365/Google Workspace), bloquea macros por defecto, y acuerda “reglas de oro”: no abrir adjuntos inesperados, comprobar dominios y confirmar pagos por segundo canal.
• Tiempo: 45 min + 15 min de formación al equipo.

8) Accesos mínimos y offboarding en 10 minutos

• Por qué: menos accesos = menos riesgo. Y cuando alguien se va, cierras puertas.
• Cómo: revisa roles en CRM, facturación, Drive; quita accesos no usados; documenta un checklist de offboarding (cambiar contraseñas compartidas, revocar tokens, recoger equipo).
• Tiempo: 60 min auditoría + 10 min por salida.

9) Inventario de dispositivos y apps

• Por qué: no puedes proteger lo que no conoces.
• Cómo: hoja simple con columnas: equipo/propietario/SO/antivirus/último parche/apps críticas. Revisión mensual.
• Tiempo: 45 min inicial.

10) Plan mínimo de continuidad (qué hacer si…)

• Por qué: cuando algo pasa, el tiempo y la claridad importan.
• Cómo: define responsables, contactos de emergencia, copias, cuentas críticas y pasos de recuperación (correo, facturación, web). Guarda una copia offline.
• Tiempo: 60 min borrador + 20 min revisión.

11) Proveedores y acuerdos (DPA básico)

• Por qué: parte del riesgo está en terceros (hosting, analítica, correo, CRM).
• Cómo: conserva contratos/DPA, revisa dónde guardan datos y cómo los protegen, y qué ocurre en incidentes. Ajusta con tu asesor si hace falta.
• Tiempo: 60–90 min revisión.

12) Registro de incidentes y simulacros rápidos

• Por qué: lo que se mide mejora.
• Cómo: documento con fecha, qué ocurrió, impacto, medidas, aprendizajes. Haz un simulacro trimestral (p. ej., cuenta comprometida o fichero cifrado) y mejora el plan.
• Tiempo: 30 min/mes + 60 min/trimestre.

---

Dónde activar 2FA (referencia rápida)

Servicio	Ruta orientativa
Correo (Microsoft/Google)	Seguridad de cuenta → Verificación en dos pasos
Banca online	Perfil/Seguridad → Dispositivo/Token
Facturación/ERP	Cuenta → Seguridad → 2FA
CRM	Perfil → Seguridad → Autenticación en dos pasos

Consejo: si una app no soporta 2FA, plantéate cambiarla.

---

Si ya has tenido un incidente (guía express)

• Fuerza el cierre de sesión en correo y apps críticas; cambia contraseñas y revoca tokens/aplicaciones conectadas.
• Revisa reglas de reenvío de correo y filtros sospechosos.
• Activa 2FA en todas las cuentas críticas y comprueba inicios de sesión de los últimos 30 días.
• Aísla o reinstala el equipo afectado si hay indicios de malware; restaura desde copia limpia.
• Documenta lo ocurrido y, si hay datos personales afectados, consulta a tu asesor para valorar notificación.

Si hoy solo puedes hacer dos cosas: activa 2FA en correo/dominio y configura DMARC en p=none; te llevarás gran parte del beneficio.

Con esto ya estás por delante de la mayoría. A partir de aquí, mantén una revisión mensual de 30 minutos.

Preguntas frecuentes

¿Necesito un “experto” para todo esto? No. La mayoría son ajustes en paneles que ya usas. Si gestionas facturación o DNS, puedes con esto.

¿DMARC en “reject” ya? Empieza en p=none para no bloquear correos legítimos. Cuando los reportes estén limpios, sube a quarantine y luego reject.

¿Antivirus de pago o gratuito? El nativo (Defender/macOS) + buenas prácticas suele ser suficiente para empezar. Si manejas datos sensibles, evalúa planes Business.

¿Cada cuánto reviso? Mensualmente 30 min. Trimestralmente, simulacro de incidente.

Enlaces relacionados

• Facturación electrónica obligatoria: guía práctica para pymes (2025)
• 5 procesos que puedes automatizar hoy mismo
• Email marketing para pymes: guía paso a paso
• Comparativa de CRM para pymes

Recursos útiles

• INCIBE (011): guías y alertas para empresas
• Centro de Ayuda de Google Workspace/Microsoft 365 (2FA, seguridad)
• Verificador de configuración DMARC → dmarcian

¿Quieres que revisemos tu caso y dejemos todo esto listo en tu negocio? Escríbenos desde la página de contacto.