Qué revisar en una auditoría informática básica de tu empresa
TL;DR
- La mayoría de pymes no puede responder con certeza a las diez preguntas básicas sobre su propia infraestructura IT. Eso es el problema.
- Windows 10 deja de recibir parches de seguridad en octubre de 2025. Si tienes equipos con Windows 10, el reloj está corriendo.
- Accesos de administrador sin revisión son una de las superficies de ataque más explotadas: cuentas de exempleados, proveedores, cuentas de prueba.
- Si no sabes cuánto tardarías en restaurar el sistema principal, no sabes si tus backups sirven para algo cuando los necesitas.
- La documentación es la condición de partida: sin inventario, no hay mantenimiento predictivo posible.
La mayoría de pymes no sabe con exactitud qué equipos tiene, cuántos años llevan funcionando, qué software está instalado, si las licencias están al día o si hay sistemas críticos sin ninguna redundancia. No porque nadie se preocupe, sino porque nadie lo ha documentado nunca, el técnico que lo sabía se fue hace dos años, y el día a día no deja tiempo para hacer un inventario de algo que "parece funcionar". Hasta que deja de funcionar. Aquí van las diez preguntas que debería poder responder cualquier empresa sobre su propia infraestructura IT, y por qué importa cada una.
Por qué hacer una auditoría IT ahora y no cuando algo falle
La respuesta corta es que una auditoría cuando algo ha fallado no es una auditoría: es una autopsia. El valor de auditar la infraestructura es precisamente anticiparse a los problemas antes de que ocurran, cuando todavía hay tiempo de actuar de forma ordenada y sin presión. Un disco duro con indicadores de degradación detectados en una auditoría de rutina puede sustituirse en una tarde; un disco que falla sin aviso puede costar días de datos irrecuperables y semanas de recuperación.
Hay además un momento específico en el que hacer una auditoría es especialmente urgente: cuando tienes un sistema operativo próximo al fin de soporte. Windows 10 deja de recibir actualizaciones de seguridad en octubre de 2025. A partir de esa fecha, cualquier vulnerabilidad descubierta en Windows 10 queda sin parche oficial y los equipos que lo ejecuten se convierten en objetivos documentados. Si tienes equipos con Windows 10 en producción, el inventario y el plan de actualización o sustitución son una tarea prioritaria que no puede esperar al siguiente año fiscal.
Las 10 preguntas de una auditoría IT básica
¿Cuántos equipos tienes y en qué estado están?
Listado completo de ordenadores, servidores, impresoras de red, switches y dispositivos conectados, con su antigüedad y estado de mantenimiento. Los equipos con más de 5-6 años en producción son un riesgo de fallo y de seguridad que hay que cuantificar y gestionar activamente.
¿Qué sistemas operativos están en uso y están actualizados?
Windows 10 llega al fin de soporte en octubre de 2025. Windows 7 y 8 ya no reciben parches desde hace años. Tener equipos con sistemas operativos sin soporte es una vulnerabilidad conocida y explotada activamente. No es un riesgo teórico: los atacantes tienen catálogos de exploits para versiones sin soporte.
¿Qué software crítico tiene tu empresa y están las licencias en regla?
Office, ERP, software de gestión sectorial, herramientas de diseño o ingeniería. Las licencias caducadas o las versiones sin soporte del fabricante tienen dos implicaciones: riesgo legal por uso de software no licenciado, y riesgo de seguridad por software que ya no recibe actualizaciones.
¿Tienes copias de seguridad verificadas de tus datos críticos?
No basta con tener backups programados: ¿cuándo fue la última vez que intentaste restaurar algo desde ellos? ¿Están en una ubicación separada del sistema que protegen? ¿Pueden ser borrados por el mismo proceso que comprometió el servidor? Un backup no probado no es un backup garantizado.
¿Quién tiene acceso de administrador a qué sistemas?
Usuarios con más permisos de los necesarios es uno de los vectores de ataque más explotados. Si un atacante compromete una cuenta de administrador, tiene acceso total. La revisión incluye: exempleados con accesos vigentes, cuentas de proveedores con acceso puntual que nunca se revocó, cuentas de prueba que nunca se eliminaron.
¿Cómo está configurado el firewall y qué puertos están abiertos?
El puerto RDP (3389) expuesto directamente a internet es una de las vías de entrada más frecuentes en ataques a pymes. Un análisis básico de puertos externos puede detectar accesos abiertos que nadie sabe que existen o que quedaron abiertos de una configuración temporal que nunca se cerró.
¿Tienes algún sistema crítico sin redundancia?
Un único servidor que, si falla, para toda la empresa. Un único enlace de internet sin backup. Un único proveedor de correo sin alternativa. Identificar estos puntos únicos de fallo permite dimensionar el riesgo real y decidir dónde invertir en redundancia según el impacto de cada sistema.
¿Cómo acceden los empleados remotos a los recursos de la empresa?
Acceso directo por RDP sin VPN, uso de cuentas de correo personales para documentos de trabajo, o conexión a carpetas compartidas sin autenticación adicional. Cada uno de estos escenarios es un punto de riesgo que requiere una solución específica antes de que sea explotado.
¿Está documentado qué hace cada sistema y quién lo gestiona?
Si mañana se va la persona que "sabe cómo funciona todo", ¿puede alguien más gestionar la infraestructura? La ausencia de documentación no es solo un problema organizativo: es un riesgo operativo real que se materializa siempre en el peor momento.
¿Cuánto tiempo tardarías en volver a operar si el servidor principal fallara hoy?
Esta es la pregunta definitiva de continuidad de negocio. Si la respuesta es "no lo sé", ya tienes la respuesta a si necesitas una auditoría. El objetivo no es solo tener backups, sino conocer el tiempo real de recuperación y compararlo con el tiempo que la empresa puede permitirse estar parada.
¿Cuántas has podido responder con seguridad?
Si has podido responder 8 o más con certeza y documentación respaldando las respuestas, vuestra infraestructura está en buen estado. Entre 5 y 7, hay trabajo por hacer pero la situación no es de emergencia. Menos de 5, hay riesgos no cuantificados que conviene resolver en los próximos meses antes de que alguno se materialice en el peor momento.
El servicio de auditoría informática que ofrecemos cubre todas estas preguntas con un informe priorizado por nivel de riesgo: qué hay que resolver esta semana, qué puede esperar al próximo trimestre y qué es mantenimiento regular. Sin tecnicismos innecesarios, con recomendaciones concretas y costes estimados para cada punto.
Lo que la auditoría encuentra en la mayoría de pymes
En las auditorías que realizamos habitualmente en pymes de entre 5 y 50 empleados, los hallazgos más frecuentes son: al menos un equipo con sistema operativo sin soporte del fabricante, accesos de administrador de exempleados o proveedores no revocados, backups que no se han probado en más de seis meses (o nunca), puerto RDP abierto directamente a internet, y al menos un sistema crítico sin documentación de cómo funciona o cómo gestionarlo.
Ninguno de estos hallazgos es inusual ni indica mala gestión deliberada. Son el resultado natural de años de crecimiento sin un plan IT estructurado: cada cosa se fue añadiendo cuando hizo falta, sin revisión periódica del conjunto. La auditoría es la forma de salir de esa situación de forma ordenada. Puedes ver cómo se relaciona con la seguridad del correo en el artículo sobre phishing y correo corporativo, que cubre uno de los vectores más frecuentes que se identifican en las auditorías.
Tabla: prioridad de acción según resultado de la auditoría
| Hallazgo | Prioridad | Plazo máximo |
|---|---|---|
| Puerto RDP abierto a internet sin VPN | Crítica | Esta semana |
| Accesos de administrador de exempleados activos | Crítica | Esta semana |
| Backups no verificados en más de 3 meses | Alta | Este mes |
| Equipos con Windows 10 sin plan de actualización | Alta | Antes de octubre 2025 |
| Ausencia de documentación de infraestructura | Media | Este trimestre |
| Equipos de más de 5 años en producción | Media | Planificación anual |
Por dónde empezar mañana
- Haz el inventario básico hoy. Abre un documento y lista todos los equipos que hay en la empresa, el sistema operativo que tienen y cuántos años llevan. Esa lista tarda menos de 30 minutos y es la base de todo lo demás. Si usas Windows, el Administrador de dispositivos o herramientas como Spiceworks permiten generarlo de forma automática.
- Revisa los accesos de administrador esta semana. ¿Quién tiene acceso de administrador en los sistemas críticos (servidor, ERP, correo corporativo, panel de hosting)? ¿Todos los que aparecen en esa lista siguen siendo empleados activos? ¿Todos necesitan ese nivel de acceso?
- Verifica si tienes el puerto RDP abierto en el router. Usa Shodan.io o una herramienta de análisis de puertos externo para comprobar tu IP pública. Si el puerto 3389 aparece abierto, ciérralo de inmediato y diseña una alternativa con VPN.
- Contrata una auditoría IT completa antes del próximo trimestre. Las tres acciones anteriores son el primer paso, pero la auditoría completa cubre todos los frentes con criterio técnico y un plan de acción priorizado. Es la inversión preventiva de mayor retorno que existe en IT para pymes.
Preguntas frecuentes
¿Cuánto tiempo lleva una auditoría informática básica para una pyme?
Para una empresa de 5-25 empleados con infraestructura estándar, entre 4 y 8 horas de trabajo técnico sobre el terreno, más el tiempo de preparación del informe. Sin documentación previa, puede alargarse hasta 2 días.
¿Qué pasa con Windows 10 en octubre de 2025?
Microsoft finaliza el soporte el 14 de octubre de 2025. Después de esa fecha, no recibirá actualizaciones de seguridad. Los equipos con Windows 10 en producción tendrán vulnerabilidades conocidas sin parche, lo que los convierte en objetivos documentados para atacantes.
¿Qué es el principio de mínimo privilegio?
Cada usuario tiene únicamente los permisos que necesita para hacer su trabajo. Los empleados sin necesidad técnica no tienen derechos de administrador, los accesos a datos sensibles están limitados a quienes los necesitan. Si una cuenta se compromete, el daño queda acotado.
¿Con qué frecuencia debería hacerse una auditoría informática?
Una auditoría completa anual es el mínimo para pymes con infraestructura activa. Una revisión rápida trimestral de backups, accesos y actualizaciones permite detectar cambios entre auditorías completas.
¿Qué diferencia hay entre auditoría informática y auditoría de ciberseguridad?
La auditoría informática revisa el estado general: inventario, software, licencias, backups, accesos y documentación. La de ciberseguridad analiza vulnerabilidades activas, configuraciones y vectores de ataque. La primera es el punto de partida; la segunda el siguiente nivel.
¿Qué hace falta para empezar a documentar la infraestructura IT?
El mínimo viable: listado de equipos con usuario, SO y antigüedad; listado de servidores y servicios críticos; accesos de administrador; descripción del sistema de backup; y contactos de proveedores. Spiceworks permite generar el inventario de hardware de forma automática.