La mayoría de los ataques no son “hackers genios”, son errores humanos, descuidos o configuraciones débiles.
Una gran parte de los incidentes hoy en día ocurren por alguno de los siguientes factores:

  • Reutilizar contraseñas,
  • Caer en phishing,
  • Permisos y accesos excesivos y/o mal administrados,
  • Backups inexistentes,
  • Servidores y estructuras sin actualizar.

La buena noticia es que eso significa que muchísimo riesgo puede evitarse manteniendo hábitos simples y consistentes.

Aquí te dejamos una lista, pero si te interesa saber más o entender cómo poner en práctica estos consejos, más abajo podrás leer al respecto.

1. Activa MFA/2FA en todo.
2. Prioriza la protección de tu correo electrónico.
3. No reutilices contraseñas.
4. Mantén todo actualizado.
5. Mantén respaldos (backups) reales, actualizados, y probados.
6. Regula los permisos de acceso.
7. Ten cuidado extremo con el phishing
8. Las RRSS son infraestructura crítica
9. No te confíes ciegamente de “la nube”
10. Monitorea logs y actividad inusual
11. La ingeniería social es más peligrosa que la tecnología
12. Ten un plan para cuando algo salga mal

 

1. Activa MFA/2FA en todo… pero realmente: en TODO

Antes de que abandones el artículo pensando que esto está en un idioma extraterrestre, aclaremos lo que significa MFA y 2FA:

  • MFA: Multi-Factor Authentication (autenticación multi-factor). Utiliza dos o más formas de acreditar identificación o credenciales para poder ingresar a un determinado servicio o cuenta. Por ejemplo: contraseña, código de un solo uso enviado por correo electrónico, y código aleatorio generado por una aplicación de autenticación.
  • 2FA: Two-Factor Authentication (autenticación de dos factores). Utiliza dos o más formas de acreditar identificación o credenciales para poder ingresar a un determinado servicio o cuenta. Por ejemplo: contraseña, y código aleatorio generado por una aplicación de autenticación.

Este probablemente sea el consejo más importante y que te da más poder sobre tu información, hoy en día.
Especialmente si hablamos de: correo electrónico corporativo, hosting, WordPress, paneles de dominio, redes sociales, cuentas de servicios de almacenamiento (nube/cloud), plataformas de trabajo en línea, GitHub/GitLab, herramientas administrativas, cuentas bancarias.

Sin MFA, una contraseña filtrada puede destruir una empresa.
Con MFA activado, incluso dicha contraseña es insuficiente.

Prioriza apps autenticadoras y que respetan tu privacidad, como por ejemplo: Proton Authenticator.
Evita SMS cuando sea posible.

 

2. Prioriza la protección de tu correo electrónico

El correo es el vector central de toda tu estructura digital. Si alguien toma control de un correo electrónico principal, puede cambiar contraseñas de casi todo; dejándote por un lado a ti sin acceso a tus cuentas y servicios, y por otro, obteniendo para sí -el intruso- acceso a cualquier servicio que esté asociado a dicha cuenta de correo.

Entonces:

  • tu primera prioridad es proteger tu cuenta de correo electrónico principal, antes que cualquier otra cosa.
  • usa contraseñas únicas y largas, idealmente generadas automáticamente, que incluyan todo lo posible: números, letras mayúsculas y minúsculas, y símbolos. No necesitas sabértela de memoria (¡aunque es buen ejercicio para la mente aprendértela!), puedes almacenarla en un gestor de contraseñas que te dé confianza, y si quieres seguridad máxima: de almacenamiento local (offline).
  • activa MFA,
  • revisa sesiones activas periódicamente,
  • elimina dispositivos conectados que no puedas identificar, si los hay, o sesiones que llevan mucho tiempo sin refrescar o sin actividad,
  • usa alertas de inicio de sesión o accesos, que te lleguen donde las puedas ver en tiempo real (o lo más cercano posible a ello).

Si te es posible, es ideal tener distintas cuentas de correo para distintos fines: una para todo lo que sea administración crítica, otra para operaciones generales, otra para temas personales, y aún otro para suscripciones y potencial SPAM.
Si no puedes pensar en la idea de tener tantas cuentas de correo, prioriza sólo dos: una para administración crítica, y otra para todo lo demás.

¿A qué nos referimos con administración crítica?
Tú conoces tu propia operación mejor que nadie, y puedes decidir con todo el conocimiento de causa cuáles serán las cuentas y accesos más sensibles, pero por ejemplo podrían ser: bancos, contabilidad, plataformas estatales y administrativas (impuestos, patentes, imposiciones y obligaciones legales, etc), bases de datos, intranet, hosting, dominios, sitio web, tienda y/o plataformas de servicios, etc; tú decides cuáles son prioritarias en tu caso.

Separar reduce muchísimo daño potencial (y además ordena de forma impecable).

 

3. No reutilices contraseñas

Si alguna vez has escuchado que ocurrió un Data Breach, o una brecha de datos (apertura en una estructura de seguridad, a través de la cual se filtra información privada) en la que se expusieron datos de millones de usuarios, entonces podrás entender por qué es importante no usar la misma contraseña en distintas cuentas y accesos.

Puede ocurrir que: incluso una cuenta olvidada y poco relevante, para la que utilizamos la misma contraseña que usamos para nuestro correo principal, sufre un ataque que termina en un Data Breach; nuestra información (contraseña incluida) queda expuesta y puede dejarnos en una posición muy vulnerable si alguien busca específicamente acceder a alguna cuenta que nos pertenece, que tiene la misma contraseña, y sí es mucho más relevante. Pero esto no sólo es peligroso si alguien ya sabe datos nuestros, ya que también, cuando una plataforma es filtrada, los atacantes prueban automáticamente las mismas credenciales en sitios comunes como:

  • Gmail*
  • Instagram,
  • Facebook
  • bancos,
  • hosting,
  • Shopify,
  • Meta,
  • Y muchos otros….

Respecto de Gmail: es muy delicado, ya que esto puede dar acceso a muchísima información asociada, desde tus correos hasta tus fotos y todo lo que tienes en tu teléfono inteligente que funciona habilitado bajo esta misma cuenta,

Como mencionamos más arriba, hoy en día al crear una cuenta puedes generar automáticamente una contraseña aleatoria segura, y almacenarla en un gestor de contraseñas que sea de tu confianza, y si quieres seguridad máxima, dicho gestor puede ser de almacenamiento local (offline), que .Usar un gestor de contraseñas cambia mucho nuestro nivel de vulnerabilidad.

Reiteraremos porque es de suma importancia: las contraseñas deberían ser únicas, largas, aleatorias, e incluir números, letras mayúsculas y minúsculas, y símbolos. Es decir, idealmente deben ser casi imposibles de memorizar.

Si quieres saber si tu información ha sido filtrada en algún Data Breach, este es un excelente recurso gratuito para averiguarlo.

 

4. Mantén todo actualizado

Muchos ataques usan vulnerabilidades conocidas desde hace meses o incluso años. Por este motivo, es muy importante tener todo al día: las actualizaciones traen consigo lo necesario para neutralizar dichas vulnerabilidades, y minimizar la explotación de potenciales puntos débiles adicionales.

Es muy importante sobre todo actualizar:

  • CMS,
  • plugins y temas,
  • servidores,
  • frameworks,
  • paneles,
  • librerías,
  • sistemas operativos.

Especialmente:

  • WordPress
  • WooCommerce
  • cPanel

Los plugins abandonados son realmente peligrosos. A veces un solo plugin viejo basta para comprometer un sitio completo.

No te preocupes, si esta parte suena a mucho, en ialleite hacemos todo esto por ti.

 

5. Mantén respaldos (backups) reales, actualizados, y probados

No basta con tener respaldos. Lamentablemente existen muchos casos de empresas que descubren durante un ransomware que: el backup estaba corrupto o incompleto, y que por ende, nunca funcionaría.

Buenas prácticas de respaldo:

  • Genera respaldos automáticos,
  • Haz múltiples copias, idealmente alojadas en distintas ubicaciones
  • Mantén una copia offline o externa,
  • Prueba restauración periódicamente.

Es un clásico caso de “es mejor prevenir que lamentar”. La pregunta en este ámbito no es ¿me atacarán?, sino ¿qué podré hacer si mañana destruyen mi sitio, información, y publicaciones?

 

6. Regula los permisos de acceso de manera proporcional y a consciencia

Aquí el principio fundamental es: “nivel de acceso mínimo indispensable”, menos permisos = menos desastres.

Muchas personas tienen acceso administrativo innecesario.

Cada cuenta con acceso más amplio del estrictamente necesarios aumenta:

  • riesgo,
  • superficie de ataque,
  • vulnerabilidad producto de error humano.

Cada persona debería tener accesos proporcionales y acordes a su nivel de responsabilidad y respectivos deberes

Cuando alguien deja el proyecto: se deben revocar sus accesos inmediatamente.

 

7. Ten cuidado extremo con el phishing y analiza acuciosamente cada enlace que recibas

El phishing (fraude electrónico o digital) de hoy en día es muy sofisticado respecto de los antiguos correos mal escritos y llenos de evidencias de que algo andaba mal… Ahora estos correos y mensajes llegan:

  • imitando marcas reales, muchas veces con las que sí tienes una relación comercial o institucional.
  • con interfaces y tonos comunicacionales copiados de las comunicaciones oficiales de dichas marcas,
  • desde dominios visualmente similares a los originales (pero que son falsificaciones),
  • con mensajes muy convincentes potenciados por el uso de la IA.

Reglas de oro contra el phishing:

    • No confíes en links recibidos, sobre todo si demandan algún tipo de acción de tu parte; esto, aunque provengan de fuentes aparentemente conocidas u oficiales (aquí vale pasarse de paranoia, como primer paso).
    • Nunca actúes desde la urgencia, primero analiza:
    • Revisa bien el dominio exacto del que proviene el mensaje, en un correo electrónico; y el número telefónico en caso de un SMS u otro tipo de mensajería (como WhatsApp).
      • En el caso del correo electrónico: podrás ver si el dominio coincide exactamente (o no) con el oficial de la empresa o institución real. Podrás ir directamente (no a través de un link de dicho correo) al sitio oficial correspondiente, y verificar la veracidad o falsedad de la información proclamada.
      • En el caso del mensaje (SMS/mensajería), podrás revisar el número telefónico en algún verificador de números en linea, o buscar directamente en tu buscador preferido, y si hay algo que saber respecto de ese número, lo más probable es que ya haya reportes o algún tipo de información al respecto.
    • Desconfía de “tu cuenta será suspendida”, “tienes un envío pendiente que no se ha podido entregar”, “perderás todos tus datos y archivos”, “tu sesión expiró, inicia sesión aquí”. Si hay una sensación de apremio, debes desconfiar aún más.
    • No abras links desde correos o mensajes, anda de forma manual directo al sitio web oficial, y busca lo que necesites aclarar. Esto vale para los links visibles como para los que vienen en forma de botones.
    • No abras archivos adjuntos sin asegurarte de que provienen de una fuente o persona de confianza y de que su envío fue realmente intencional y no producto de que hayan tenido un dispositivo o cuenta comprometidos.

8. Las redes sociales son infraestructura crítica

En la actualidad, perder una cuenta de Instagram, Facebook, TikTok, YouTube, WhatsApp Business, etc. puede afectar tus ventas, tu reputación y tu comunicación con tus clientes. Aún teniendo ese nivel de importancia, muchas empresas le dan muy poca importancia a su protección.

Te recomendamos:

  • MFA obligatorio (ya sabes lo que es, así que no hay excusas 😉).
  • Mantén pocos administradores (mientras menos, mejor),
  • Separa cuentas personales y corporativas,
  • Revisa permisos, dispositivos y accesos periódicamente,
  • Evita compartir credenciales por chat.

 

9. No te confíes ciegamente de “la nube”

Tener tu información y/o infraestructura en la nube no es sinónimo automático de seguridad. Muchos incidentes han tenido su origen en: buckets públicos, permisos mal configurados, APIs expuestas, o llaves y credenciales filtradas.
La nube cambia la administración de la infraestructura, pero no elimina la responsabilidad de una buena configuración y cuidado consciente.

 

10. Monitorea logs y actividad inusual

Muchas empresas se ven comprometidas durante meses sin darse cuenta. Por este motivo, conviene revisar:

  • logins desde países extraños,
  • cambios de contraseña,
  • nuevos administradores,
  • cambios inusuales de consumo de recursos,
  • existencia de tráfico anormal.

Aquí otra vez recordamos que “es mejor prevenir que lamentar”. A veces detectar a tiempo hace toda la diferencia entre pasar sólo un susto, y enfrentar un verdadero problema (o incluso una catástrofe).

 

11. La ingeniería social es más peligrosa que la tecnología

Este es uno de los puntos más importantes de toda la lista. Porque los atacantes muchas veces (la mayoría) no rompen sistemas, “rompen” personas.

  • Llamadas falsas.
  • Mensajes urgentes.
  • “Soy soporte técnico”.
  • “Necesitamos acceso rápido”.
  • “Tu jefe pidió esto…”.

La efectividad de este tipo de mensajes (ya sean hablados o escritos) está fundamentalmente relacionada con el comportamiento humano: al cual obedecen las respuestas generadas a partir de la confianza, del nivel de atención (que depende de muchos factores, incluidos los niveles de estrés, cansancio, o ansiedad), la impulsividad, el poder, y el descuido.

Por eso, entrenar a tu equipo importa muchísimo, crear cultura de pensamiento crítico y verificación es mucho más efectivo que tener un buen antivirus.

 

12. Ten un plan para cuando algo salga mal

Incluso cuando has hecho todo bien, pueden ocurrir incidentes, por esto conviene tener definido:

  • quién responde y actúa en cada frente,
  • cómo aislar sistemas,
  • cómo restaurar respaldos,
  • cómo informar a los clientes,
  • cómo cambiar credenciales rápidamente.

Las empresas que sobreviven mejor no son las que no tienen vulnerabilidades, sino las que están preparadas, tanto para prevenir como para reaccionar, en  y actúan de manera consciente y consistente.

Recuerda siempre que la seguridad es una cultura, en la que el pensamiento crítico, la verificación, y la respuesta ordenada y en calma, son fundamentales para tener los mejores resultados. La seguridad no se instala, se practica, y esta práctica existe a través de hábitos conscientes y consistentes, de criterio, de límites, de revisiones, de actualización constante, de respaldo, y también de preparación.

La ciberseguridad real no se trata solo de “defender” máquinas y estructuras construidas dentro de ellas, también se trata de entender el comportamiento humano y las respuestas que se generan en relación con distintos factores que dan variabilidad al nivel de efectividad de cada tipo de ataque, sobre todo los de ingeniería social. Esto es lo que convierte a la ciberseguridad en un tema muchísimo más filosófico y psicológico de lo que parece a primera vista. Prepara mentes que protejan la estructura, antes que proteger códigos que sólo son parte de ella.