Capítulo 1

Por Qué Importa la Ciberseguridad

Los ciberataques ya no son solo problema de grandes corporaciones. Las pymes son objetivos frecuentes precisamente porque suelen tener menos protección. El coste de un incidente puede ser devastador.

Impacto de un Incidente

Financiero: Ransomware, fraude, pérdida de negocio
Reputacional: Pérdida de confianza de clientes
Legal: Multas RGPD hasta 20M€ o 4% facturación global
Operacional: Paralización del negocio
60% de pymes cierran en 6 meses tras un ciberataque grave

Estadísticas 2024

43% de ciberataques van dirigidos a pymes
Coste medio de un data breach: 4.5M€
El ransomware sigue siendo la amenaza #1
95% de brechas involucran error humano
El phishing es el vector de ataque más común

Capítulo 2

Amenazas Comunes

Conocer las amenazas es el primer paso para protegerse. Estas son las más comunes que afectan a empresas de todos los tamaños.

Phishing

Emails falsos que suplantan a entidades legítimas para robar credenciales o instalar malware. Cada vez más sofisticados, incluso con IA. El 90% de los ataques comienzan con phishing.

Ransomware

Malware que cifra tus archivos y pide rescate. Si no tienes backup, puedes perder todo. Los ataques incluyen ahora amenaza de publicar datos si no pagas (doble extorsión).

Otras Amenazas

Business Email Compromise (BEC): Suplantan a CEO/CFO para transferencias
Ataques a cadena de suministro: Comprometen a tu proveedor
Credential stuffing: Usan credenciales filtradas de otros sitios
Insider threats: Empleados malintencionados o negligentes
DDoS: Sobrecarga que tumba tu servicio

Capítulo 3

RGPD y Protección de Datos

El Reglamento General de Protección de Datos (RGPD) es de obligado cumplimiento en toda la UE. Las multas son significativas y la AEPD está siendo cada vez más activa en inspecciones.

Principios Clave

Licitud: Base legal para procesar datos (consentimiento, contrato, etc.)
Minimización: Solo recoger datos necesarios
Limitación del propósito: Usar datos solo para lo declarado
Exactitud: Mantener datos actualizados
Limitación del almacenamiento: No conservar más tiempo del necesario
Integridad y confidencialidad: Proteger los datos

Obligaciones para Empresas

Registro de actividades de tratamiento
Política de privacidad clara y accesible
Consentimiento explícito para marketing
Contrato con encargados de tratamiento
Notificación de brechas en 72 horas
DPO si procesas datos sensibles a gran escala

Derechos de los Usuarios

Acceso: Derecho a saber qué datos tienes de ellos
Rectificación: Corregir datos incorrectos
Supresión (olvido): Eliminar sus datos
Portabilidad: Recibir sus datos en formato estructurado
Oposición: Rechazar ciertos tratamientos

Capítulo 4

Seguridad Web

Tu sitio web es tu cara pública y a menudo el primer objetivo de atacantes. Una web comprometida puede infectar visitantes, robar datos, o destruir tu reputación.

Checklist de Seguridad Web

HTTPS con certificado SSL válido
WordPress/plugins siempre actualizados
Contraseñas fuertes + 2FA para admin
Firewall de aplicación web (WAF)
Backups automáticos y probados
Escaneo regular de malware
Headers de seguridad configurados

Vulnerabilidades Comunes (OWASP Top 10)

Inyección SQL: Validar todas las entradas
Autenticación rota: Implementar correctamente
Exposición de datos sensibles: Cifrar todo
XXE: Parsear XML de forma segura
XSS (Cross-Site Scripting): Escapar outputs

Herramientas de Seguridad Web

Cloudflare: WAF, DDoS protection, SSL
Sucuri: Firewall y limpieza de malware
Wordfence: Seguridad para WordPress
ImmuniWeb/Qualys: Escaneo de vulnerabilidades

Capítulo 5

Seguridad Interna

La seguridad no es solo técnica - es también procesos y personas. La mayoría de incidentes involucran error humano o falta de procedimientos.

Contraseñas y Acceso

Gestor de contraseñas obligatorio (1Password, Bitwarden)
Contraseñas únicas para cada servicio
2FA/MFA en todas las cuentas críticas
Principio de mínimo privilegio - solo acceso necesario
Revisar accesos cuando alguien deja la empresa

Formación de Empleados

Cómo identificar phishing
No compartir credenciales nunca
Reportar incidentes sospechosos
Política de dispositivos personales (BYOD)
Simulacros de phishing periódicos

Backup y Recuperación

Regla 3-2-1: 3 copias, 2 medios, 1 offsite
Backups automáticos diarios mínimo
Pruebas de restauración periódicas
Backups aislados de ransomware (air-gapped)

Capítulo 6

Plan de Respuesta a Incidentes

No es cuestión de si te atacarán, sino cuándo. Un plan de respuesta definido antes del incidente minimiza el daño y acelera la recuperación.

Fases de Respuesta

1. Preparación: Plan, equipo, herramientas listas
2. Identificación: Detectar y evaluar el incidente
3. Contención: Limitar el daño, aislar sistemas
4. Erradicación: Eliminar la amenaza
5. Recuperación: Restaurar sistemas y operaciones
6. Lecciones aprendidas: Qué mejorar

Qué Debe Incluir el Plan

Contactos de emergencia (internos y externos)
Proveedor de respuesta a incidentes
Procedimientos de comunicación
Checklist por tipo de incidente
Notificación a autoridades (72h RGPD)
Comunicación a afectados si hay datos personales

Después del Incidente

Documentar todo lo ocurrido
Análisis de causa raíz
Implementar mejoras
Actualizar el plan de respuesta
Comunicar lecciones aprendidas al equipo

Herramientas Recomendadas

1Password

Gestor de contraseñas premium para equipos. Bóvedas compartidas, audit trail, integraciones.

Bitwarden

Gestor de contraseñas open-source. Más barato, funcionalidad completa, self-hosting opcional.

Authy

Autenticador 2FA con backup en la nube. Sincronización entre dispositivos, más conveniente que Google Auth.

Backblaze

Backup automático ilimitado en la nube. 7$/mes por ordenador, configúralo y olvídate.

ProtonVPN

VPN con sede en Suiza con política de no-logs auditada. Open-source, seguridad máxima.

Cloudflare

SSL gratuito, protección DDoS, CDN. Imprescindible para cualquier sitio de negocio.

Guía de Ciberseguridad