Checklist de ciberseguridad antes del verano: lo que tu pyme debe dejar resuelto
TL;DR
- Los ataques se concentran en verano porque el equipo es reducido y los accesos remotos se multiplican.
- MFA en el correo primero: con el correo comprometido un atacante resetea cualquier otra contraseña.
- Verificar backups no es lo mismo que tenerlos: una copia que no se restaura correctamente no sirve.
- Las alertas sin destinatario son ruido: alguien tiene que leer las notificaciones críticas en agosto.
- Un documento de una página con contactos de emergencia puede evitar días de caos si algo falla.
Agosto es el mes favorito de los atacantes. El equipo está reducido, los que quedan tienen la cabeza en otro sitio y los accesos remotos se multiplican porque los empleados trabajan desde casa o en roaming. El perfil de riesgo de una pyme cambia de forma significativa en verano, y no por razones técnicas sino organizativas: nadie aplica el parche que apareció el 15 de agosto porque el responsable IT está de vacaciones hasta el 31. No hace falta un plan de ciberseguridad de 60 páginas: hay siete frentes que, si los cierras antes de vacaciones, reducen el riesgo de forma real. Este checklist está pensado para que lo recorra el responsable IT o el gerente en una mañana.
1. Parches y actualizaciones pendientes
El frente más ignorado y el más explotado. Antes de cerrar, comprueba que sistemas operativos, aplicaciones críticas, firmware de routers y firewalls tienen los parches de los últimos 60 días aplicados. Si usas un sistema de gestión de parches, revisa que no haya ninguno en estado pendiente desde hace más de dos semanas. Un parche pendiente es una vulnerabilidad conocida y documentada que cualquier atacante puede consultar en bases de datos públicas como CVE Details o NVD.
Para WordPress y otros CMS: plugins, temas y core actualizados. Un plugin con una vulnerabilidad conocida y sin parchear es una puerta abierta documentada públicamente. Los bots escanean millones de instalaciones buscando versiones vulnerables de forma completamente automatizada. No necesitan apuntarte a ti específicamente. Si tienes la versión vulnerable, entran.
Un despacho de abogados de Valencia con 8 empleados sufrió un ransomware en agosto de 2023 por un parche de Windows Server pendiente desde mayo. El técnico externo estaba de vacaciones, nadie aplicó la actualización, y el coste de recuperación superó los 12.000 euros entre restauración de datos, días parados y auditoría posterior. El parche era gratuito y habría llevado 20 minutos aplicarlo.
2. MFA activado en cuentas críticas
Correo corporativo, acceso remoto (VPN, RDP), panel de hosting, repositorios de código y cualquier SaaS con datos de clientes. Si alguno de estos accesos no tiene doble factor activo, el verano no es el momento para descubrirlo cuando ya está comprometido.
La prioridad es clara: correo primero, porque con el correo se restablecen todas las demás contraseñas de la empresa. Si un atacante accede al correo corporativo, puede resetear la contraseña del banco online, del panel de hosting, del ERP y de cualquier SaaS. Acceso remoto segundo, porque es donde más intentos de fuerza bruta se concentran en temporada vacacional. Herramientas como Microsoft Authenticator o Google Authenticator no tienen coste adicional para la empresa.
Si ya tienes Microsoft 365, el mantenimiento gestionado incluye la configuración de políticas de Acceso Condicional que exigen MFA desde fuera de la red de oficina sin molestar a los usuarios que trabajan en local. Es el equilibrio entre seguridad y usabilidad que las pymes necesitan.
3. Verificación de backups: la diferencia entre tener y poder restaurar
Tener una copia programada no es lo mismo que tener una copia que funciona. Antes de agosto, verifica tres cosas concretas: que los backups se están completando sin errores, que la última restauración de prueba fue exitosa y que las copias están en una ubicación diferente a la del sistema que protegen.
Una copia en el mismo servidor que el ransomware cifra no sirve de nada. Una copia en el mismo disco externo que se conecta a la red local tampoco. La regla 3-2-1 sigue siendo válida: 3 copias, en 2 medios diferentes, 1 fuera de la ubicación física. Para pymes, la versión práctica es: backup local en NAS + backup en cloud con retención de al menos 30 días.
Consulta también nuestro artículo sobre cómo construir un plan de recuperación ante desastres en una página para tener los pasos de restauración documentados antes de necesitarlos.
4. Monitorización y alertas activas con destinatario real
Si algo falla en agosto y nadie se entera hasta septiembre, el daño se multiplica. Una web caída durante dos semanas, un servidor con el disco al 98% que falla el 20 de agosto o un backup que lleva 10 días sin completarse son situaciones que con alertas bien configuradas se detectan en minutos. Sin ellas, las descubres cuando ya es tarde.
- Alertas de disponibilidad: si el servidor o la web cae, que llegue un SMS o correo en menos de 5 minutos a alguien que pueda actuar. No al técnico que está de vacaciones: a quien esté de guardia.
- Alertas de seguridad: intentos de login repetidos, cambios en usuarios administradores, backups fallidos consecutivos.
- Alertas de capacidad: disco lleno o CPU sostenida al 90% pueden anticipar un problema antes de que ocurra.
- Destino de las alertas verificado: comprueba que el correo o teléfono donde van las alertas lo lee alguien que puede actuar. Las alertas que van a una lista de distribución con toda la empresa en modo "responder a" son ruido.
5. Plan de respuesta y contactos de emergencia documentados
Si algo ocurre en agosto, ¿quién llama a quién? ¿Tiene el empleado que se queda el número del proveedor IT de guardia? ¿Sabe qué hacer si detecta que el correo está enviando spam o que la web está caída? ¿Conoce los pasos básicos para no empeorar la situación mientras espera al técnico?
Un documento de una página con los pasos básicos y los contactos de emergencia cuesta una hora prepararlo y puede evitar días de caos. Debe estar accesible sin necesidad de internet: impreso en papel o guardado en local, no solo en un enlace de Drive que no carga si el servidor está caído. Nuestro servicio de soporte técnico gestionado incluye guardia técnica en agosto con tiempos de respuesta definidos por contrato.
6. Revisión de accesos y cuentas activas
Empleados que ya no están en la empresa, proveedores externos con acceso puntual que nunca se revocó, cuentas de prueba que se crearon para un proyecto y nadie eliminó. Antes del verano es buen momento para hacer una pasada rápida: quién tiene acceso a qué y si ese acceso sigue siendo necesario.
El inventario de accesos es uno de los elementos más descuidados en las pymes. Según datos del INCIBE, más del 30% de los incidentes de seguridad en empresas de menos de 50 empleados involucran cuentas de exempleados o accesos de proveedores que nunca se revocaron. No es un ataque sofisticado: es una llave que nadie recogió.
Revisa también los accesos de administrador en sistemas críticos: WordPress, paneles de hosting, consola cloud. ¿Todos los administradores siguen necesitando ese nivel de privilegio? El principio de mínimo privilegio no es solo teoría de seguridad: es menos superficie de ataque si una cuenta se compromete.
7. Formación mínima al equipo que se queda
No hace falta un curso de ciberseguridad de ocho horas. Basta con un recordatorio de 15 minutos sobre tres cosas concretas: qué hacer si llega un correo sospechoso (no hacer clic, verificar por teléfono, avisar a IT), a quién llamar si creen que han hecho clic en algo que no debían, y que no instalen software ni conecten USB desconocidos mientras el equipo técnico está de vacaciones.
El phishing tiene una tasa de éxito significativamente mayor en agosto que en el resto del año. Los atacantes lo saben y adaptan sus campañas: correos urgentes del CEO pidiendo una transferencia, facturas de proveedores habituales con el IBAN cambiado, notificaciones falsas de Microsoft o la Agencia Tributaria. El equipo que se queda tiene que saber que en agosto tiene que ir con más cuidado, no con menos.
Puedes complementar este punto con una lectura rápida sobre cómo identificar y reaccionar ante el phishing en el correo corporativo, especialmente los patrones de suplantación de proveedor y el fraude del CEO.
Tabla resumen: frentes, tiempo estimado y prioridad
| Frente | Tiempo estimado | Prioridad | Coste |
|---|---|---|---|
| Parches pendientes | 1-2 horas | Alta | Cero |
| MFA cuentas críticas | 30-60 min | Alta | Cero (app authenticator) |
| Verificación de backups | 1 hora | Alta | Cero si ya hay sistema |
| Alertas y monitorización | 30 min | Media-Alta | Cero (UptimeRobot gratuito) |
| Plan de respuesta | 1 hora | Media | Cero |
| Revisión de accesos | 30-60 min | Media | Cero |
| Formación equipo | 15-30 min | Media | Cero |
Por dónde empezar mañana
Si tienes menos de dos semanas antes del cierre vacacional, prioriza en este orden:
- Activa MFA en el correo corporativo hoy. Si usas Microsoft 365, entra al centro de administración, busca "autenticación multifactor" y actívalo para todos los usuarios. Si usas Google Workspace, en Seguridad > Verificación en dos pasos.
- Verifica que el backup de ayer completó correctamente y que tienes los credenciales de acceso a la copia offsite en un lugar accesible. Intenta restaurar un fichero de prueba para confirmar que el proceso funciona.
- Revisa la lista de accesos de administrador en los sistemas críticos y elimina cualquier cuenta que ya no debería estar activa. Ten el número de tu proveedor IT guardado en el móvil de la persona que se queda a cargo.
- Configura una alerta de caída de servicio en UptimeRobot (gratuito) apuntando a tu web y servidor de correo, con notificación al móvil de quien esté de guardia. Tarda 10 minutos.
La auditoría de ciberseguridad previa al verano puede hacerse en una jornada y cubre todos estos frentes con un informe de lo que está cerrado y lo que no.
Preguntas frecuentes
¿Cuándo debo hacer la revisión de ciberseguridad antes del verano?
Lo ideal es hacerlo entre dos y tres semanas antes de que empiece el periodo vacacional. Así tienes tiempo de aplicar los parches que aparezcan en la revisión y de solucionar cualquier problema antes de cerrar. La última semana antes del cierre es demasiado tarde.
¿Qué es lo más urgente si solo tengo una hora para revisar?
MFA en el correo corporativo y verificación de backups. Con esas dos cosas bien cubiertas, tienes cubiertos los dos vectores que más daño hacen en ausencia del equipo técnico: acceso no autorizado y pérdida de datos.
¿Es necesario contratar un servicio externo para hacer el checklist?
No. El checklist básico puede hacerlo el responsable IT interno si lo tiene, o el gerente con criterio técnico mínimo. Lo que sí requiere externo es la revisión de parches de sistemas específicos o la verificación de configuraciones de red avanzadas.
¿Con qué frecuencia ocurren ataques durante el verano?
El INCIBE registra consistentemente un repunte de incidencias en julio y agosto. La combinación de equipos reducidos y aumento de accesos remotos hace que el periodo vacacional sea especialmente atractivo para atacantes automatizados.
¿Qué hago si detecto una incidencia mientras estoy de vacaciones?
Llama inmediatamente al proveedor IT de guardia. Si no tienes uno, el INCIBE tiene una línea de ayuda en ciberseguridad (017) operativa también en verano. No intentes resolver incidentes complejos a distancia sin apoyo técnico.
¿El antivirus gratuito es suficiente para pasar el verano?
No. El antivirus gratuito detecta amenazas conocidas por firma, pero no comportamiento anómalo ni malware polimórfico moderno. Para pymes, un EDR gestionado como Microsoft Defender for Business es la alternativa real a partir de 3€/usuario/mes.
¿Cuánto tiempo lleva hacer esta revisión completa?
Para una pyme de 5 a 20 personas, la revisión de los siete frentes lleva entre 3 y 5 horas si la infraestructura está documentada. Sin documentación, puede llevar el doble. Es una inversión que se amortiza en el primer incidente que evita.