< yecf-dev />
Pedir presupuesto
Ciberseguridad Pymes Guía

Cómo proteger los datos de tu pequeño negocio: guía básica de ciberseguridad

👤 Yonatan Florentino 27 de abril de 2026

El ataque informático que sufrirá tu pequeño negocio no será una superproducción de Hollywood con hackers encapuchados. Será algo mucho más mundano: un correo que parece del banco, un USB que se conecta sin pensar o un empleado que reutiliza su contraseña personal. La buena noticia es que el 80% de los ataques se previenen con medidas básicas que cuestan poco o nada implementar.

Esta guía está pensada para autónomos y pymes sin departamento técnico. Sin tecnicismos innecesarios, con pasos accionables que puedes aplicar este mismo viernes por la tarde.

1. Contraseñas que de verdad protegen

El error nº1 que veo en pymes: contraseñas reutilizadas y guardadas en una hoja Excel que se llama «passwords.xlsx». Si esa hoja cae en malas manos, tu negocio cae entero.

  • Instala un gestor de contraseñas — Bitwarden gratuito, 1Password de pago. Una sola contraseña maestra y todas las demás generadas de forma única.
  • Activa la doble autenticación (2FA) en correo, banca, dominio y panel de hosting. Con Google Authenticator o Authy.
  • Revisa contraseñas filtradas en haveibeenpwned.com con tus emails de empresa. Si aparece alguno, cámbialas hoy.

2. Backups que sí funcionan

La regla 3-2-1: 3 copias de tus datos, en 2 soportes diferentes, 1 fuera de tu oficina. Es la única regla de backup que importa.

  • Copia local automática — Disco externo cifrado o NAS con backups diarios.
  • Copia en la nube — Backblaze, OneDrive Business, Google Workspace o un VPS propio.
  • Prueba la restauración una vez al trimestre. Un backup que no se ha restaurado nunca, no es un backup, es esperanza.

3. Phishing y correo

El 70% de los ataques exitosos llegan por email. Los más típicos:

  • Factura falsa con un PDF infectado, supuestamente de un proveedor.
  • Aviso del banco con un enlace que parece legítimo pero apunta a un dominio falso.
  • Suplantación del CEO pidiendo a contabilidad que haga una transferencia urgente.

Defensas básicas:

  • Configura SPF, DKIM y DMARC en tu dominio. Esto evita que suplanten tu correo.
  • Filtros antiphishing activados — Gmail Workspace y Microsoft 365 los traen.
  • Norma interna: ninguna transferencia se hace por petición sólo por email. Siempre con verificación telefónica.
  • Pasa el ratón antes de hacer clic — la URL real aparece abajo. Si no coincide con el dominio que dice, es phishing.

4. Antivirus y endpoint

Windows Defender en 2026 es bastante decente para autónomos, pero en pymes con varios equipos conviene una solución gestionada (Bitdefender GravityZone, ESET Protect) que te avise cuando un equipo encuentra algo raro. El usuario nunca te lo va a contar — el panel sí.

  • Antivirus actualizado en 100% de equipos.
  • Cifrado de disco (BitLocker en Windows Pro, FileVault en Mac) por si roban un portátil.
  • Bloqueo automático de pantalla a los 5 minutos.
  • Sin permisos de administrador para usuarios normales.

5. Web y servidor

  • WordPress siempre actualizado — núcleo, plugins, temas. Las versiones desactualizadas son el principal vector de ataque.
  • Plugin de seguridad — Wordfence o Solid Security. Bloquean fuerza bruta y XSS básico.
  • SSL obligatorio con redirección 301 de HTTP a HTTPS.
  • Backup de la web independiente del servidor. UpdraftPlus → Google Drive funciona bien.

6. Cuando se vaya un empleado

Una de las áreas peor llevadas. Cuando alguien deja la empresa, en las primeras 4 horas:

  1. Revoca su correo, accesos al CRM, panel de hosting, redes sociales y banca.
  2. Cambia las contraseñas compartidas que conocía.
  3. Recupera el ordenador, el móvil de empresa y el USB.
  4. Borra su sesión del gestor de contraseñas.

Plan de acción para esta semana

Si no haces más nada, haz al menos esto:

  1. ✅ Activa 2FA en correo y banca (15 minutos).
  2. ✅ Comprueba que tu backup funciona restaurando un fichero (10 minutos).
  3. ✅ Cambia la contraseña Wi-Fi de la oficina (5 minutos).
  4. ✅ Borra usuarios de exempleados que sigan activos (15 minutos).
  5. ✅ Pasa haveibeenpwned con todos tus emails (5 minutos).

Si quieres una auditoría profesional desde 40€ con informe escrito, podemos revisar todo esto en tu negocio en menos de una semana. La mayoría de pymes descubren 3-5 problemas serios que no sabían que tenían.

WhatsApp