SeguridadBuenas prácticasPymes

Seguridad informática para pymes: buenas prácticas que sí funcionan

La seguridad informática no es comprar el antivirus más caro y dormir tranquilo. Es una serie de controles básicos que, bien implementados, evitan el 90% de los incidentes que veo en pymes — sin presupuesto corporativo. Estas son las prácticas que funcionan en el mundo real, sin marketing.

Diego CuestaDiego Cuesta
27 jun 2026Lectura · 11 min
Seguridad informática para pymes

El principio que ordena todo: defensa en profundidad

Ningún control es perfecto. Por eso la seguridad seria no apuesta todo a uno solo — pone varias capas, cada una atacando distintos vectores. Si el atacante pasa una, la siguiente lo detiene. Si pasa dos, la tercera. Por eso este artículo no se enfoca en "el mejor antivirus" — se enfoca en construir las capas correctas.

1. Autenticación multifactor (MFA) en todo lo que sea posible

Es la medida individual con mejor relación costo/protección. Aunque te roben la contraseña por phishing, sin el segundo factor el atacante no entra. Aplicar MFA en:

  • Correo (Microsoft 365, Google Workspace, servidor propio).
  • Sistemas críticos (ERP, contabilidad, banco, pasarelas de pago).
  • VPN empresarial y acceso remoto (RDP, SSH).
  • Gestor de contraseñas y servicios de hosting/dominio.
  • Cuentas de admin de servidores y plataformas cloud.

Usa app TOTP (Microsoft Authenticator, Google Authenticator, Authy, Aegis) o llave física FIDO2 (YubiKey, Titan). Evita SMS — es vulnerable a SIM swapping, especialmente común en Colombia.

2. Gestor de contraseñas obligatorio

Las contraseñas reutilizadas son el vector #1 de compromiso. Una sola filtración de un servicio cualquiera (Adobe, LinkedIn, Dropbox, Canva) expone esa misma contraseña en docenas más donde la persona la repitió.

Implementar Bitwarden (gratuito o plan empresa US$ 3/usuario/mes), 1Password Business o Keeper Business. Cada usuario tiene su bóveda; el administrador gestiona acceso compartido a credenciales del equipo (carpetas compartidas con permisos por persona). Contraseñas nuevas mínimo 16 caracteres aleatorios — el gestor las genera y recuerda.

Adiós a las contraseñas en Excel, en post-its bajo el teclado, o "todos usamos la misma del wifi".

3. Parches al día — sí o sí

El 80% de los ataques masivos automatizados explotan vulnerabilidades con parche disponible hace meses. Aplicar parches mensualmente cierra la puerta del 80% del problema:

  • Windows Update programado en estaciones y servidores.
  • Aplicaciones críticas (Adobe, Chrome, Office, navegadores) actualizadas automáticamente.
  • Firmware de router, firewall, AP y NAS revisado trimestralmente.
  • Sistemas operativos fuera de soporte (Windows 7, Server 2012, etc.) — migrar urgente o aislar en VLAN separada sin internet.

4. Segmentación de red por VLAN

Aplicar segmentación con VLAN separadas:

  • VLAN servidores: donde están los datos y aplicaciones críticas. Solo acceso desde redes autorizadas.
  • VLAN empleados: estaciones de trabajo y portátiles. Acceso controlado a la VLAN de servidores.
  • VLAN invitados / WiFi público: aislada, sin acceso a recursos internos. Solo internet.
  • VLAN IoT / cámaras: dispositivos inteligentes que son frecuentemente vulnerables. Aislados.
  • VLAN admin / gestión: acceso a equipos de red, accesible solo desde estaciones del equipo TI.

Una infección en una VLAN no se propaga automáticamente a las otras. Cuesta lo mismo configurar bien que mal, pero la diferencia se nota cuando alguien hace clic donde no debe.

5. Principio de menor privilegio (PoLP)

Nadie debe tener más permisos que los estrictamente necesarios para su trabajo. En la práctica:

  • Usuarios estándar, no administradores: el usuario diario nunca trabaja como admin. Para tareas administrativas se eleva con UAC.
  • Permisos NTFS específicos: cada carpeta compartida tiene acceso explícito por grupo, no "todos / control total".
  • Cuentas de servicio dedicadas: no usar "Administrator" de Windows ni "root" para servicios. Crear cuentas específicas con solo lo que necesitan.
  • Limpieza al salir empleado: revocar accesos el mismo día. Tener checklist documentado de qué desactivar.
  • Revisión periódica: trimestralmente revisar quién tiene acceso a qué — la gente cambia de rol y los permisos se acumulan.

6. Backups 3-2-1 con copia inmutable

Cubierto en detalle en Backups, ransomware y continuidad del negocio. Resumen: 3 copias de los datos, en 2 medios distintos, 1 offsite, con al menos una copia inmutable que el ransomware no pueda cifrar.

Y probar la restauración trimestralmente — un backup que nunca restauraste no es un backup.

7. Endpoint protection moderno (EDR), no antivirus de los 90

El antivirus tradicional basado en firmas ya no es suficiente. Lo que hoy se usa es EDR (Endpoint Detection and Response) — software que analiza comportamiento, no solo archivos, y alerta sobre actividad sospechosa.

Opciones razonables para pymes:

  • Microsoft Defender for Business — incluido en Microsoft 365 Business Premium, sólido para entornos Windows + 365.
  • Bitdefender GravityZone — excelente detección, gestión centralizada cloud, ~US$ 3-5/equipo/mes.
  • ESET Protect — popular en Colombia, bueno y económico.
  • SentinelOne / CrowdStrike — top empresarial, más caro pero también más capaz.

Evitar antivirus gratuitos en entornos empresariales — su modelo es vender la versión paga, no protegerte.

8. Capacitación de usuarios — el eslabón humano

El 90% de los ataques exitosos involucran un humano que hizo clic donde no debía. Tres cosas básicas que todo empleado debe saber:

  1. Reconocer phishing: revisar dirección del remitente real, sospechar de urgencia ("¡actúa ya!"), nunca dar contraseñas por correo o WhatsApp, verificar enlaces antes de hacer clic.
  2. No reutilizar contraseñas y usar el gestor.
  3. Reportar sospechas sin miedo a regaños. Es mejor 10 falsos reportes que un incidente real ocultado por vergüenza.

Hacer simulacros de phishing controlados (con servicios como KnowBe4 o el propio Microsoft Defender Attack Simulator) educa más que cualquier curso teórico.

9. Logs centralizados y monitoreo

Si pasa un incidente y no tienes logs, no puedes investigar, no puedes contener, no puedes reportar. Mínimo:

  • Logs de servidores y firewall enviados a un destino central (NAS, servidor de syslog, SIEM si presupuesto).
  • Retención mínima 90 días; para regulación, hasta 1 año.
  • Alertas automáticas ante eventos críticos: múltiples intentos de login fallidos, creación de cuenta admin, deshabilitación de antivirus, conexión desde país inusual.

Para pymes, soluciones útiles: Graylog (open source), Wazuh (SIEM gratuito), Splunk Free hasta 500 MB/día, o el módulo de logs del propio firewall (FortiGate, pfSense, Mikrotik).

10. Plan de respuesta a incidentes documentado

Cuando pasa algo grave, no se improvisa. Tener escrito:

  • Quién decide qué (gerente, técnico, abogado, comunicaciones).
  • Pasos de contención inmediata (desconectar de red, NO apagar — preservar evidencia).
  • A quién notificar (interno + externo: SIC si hay datos personales, policía CAI Virtual, proveedores, clientes).
  • Procedimiento de restauración desde backup limpio.
  • Lessons learned post-incidente.

El plan se prueba anualmente con un simulacro. Sin práctica, en el momento real nadie recuerda dónde está nada.

Resumen: los 10 controles ordenados por impacto

#ControlCostoImpacto en riesgo
1MFA en todoCasi ceroMuy alto
2Gestor de contraseñasBajoMuy alto
3Parches al díaCero (tiempo)Muy alto
4Segmentación VLANBajo (equipo)Alto
5Principio menor privilegioCero (configuración)Alto
6Backups 3-2-1 inmutablesMedioMuy alto
7EDR / antivirus modernoMedioAlto
8Capacitación usuariosBajoMuy alto
9Logs y monitoreoMedioMedio (alto para forense)
10Plan de respuesta documentadoBajo (consultoría)Alto (cuando pasa)

Lo que NO te va a salvar

  • El antivirus más caro, solo. Sin MFA, parches y backup, te van a comprometer igual.
  • El firewall "next-gen" que vino con la cotización. Si está mal configurado y no se actualiza, es decoración.
  • "Estamos en Colombia, a nadie le interesa atacarnos". Los ataques son automatizados; no eligen país, eligen IPs expuestas.
  • El sello "certificado ISO 27001" sin operación real detrás. Es papel; las prácticas son código.
Mi filosofía

La seguridad informática no es un producto, es un proceso. Implementar estos 10 controles bien para una pyme típica de 20-50 personas cuesta entre $ 2-8 millones COP iniciales y $ 300.000-800.000 COP mensuales. Mucho menos que el costo de UN solo incidente serio.

¿Por dónde empezar en tu empresa?

Si quieres una evaluación de seguridad sin compromiso — qué tienes bien, qué te falta, qué priorizar — escríbeme y agendamos la revisión. Hago el informe escrito con recomendaciones por prioridad y costo realista para tu tamaño.

Artículos relacionados

SeguridadBackups, ransomware y continuidad del negocio RedesAccess points y WiFi empresarial ConsultoríaAsesor e interventor en tecnología