5 errores de seguridad que cometen nuestros clientes, ¡la número 2 te sorprenderá!
Fecha de publicación enero 13, 2026
Escrito por
Aligo
CATEGORY
Seguridad de la Información, Ciberseguridad
ETIQUETAS
Seguridad, Tecnología
Ya que caíste en el clickbait, tómate unos minutos para conocer un poco más de lo que hacemos, y lo que hemos aprendido de nuestros clientes.
Como sabemos, la ciberseguridad está muy relacionada con los sistemas informáticos, aplicaciones web, bases de datos, antivirus y más. Mucho ocurre detrás de cámaras para poder hacer un hackatón.
El objetivo del área de seguridad de la información no es molestar todo el día para que activen el MFA en las cuentas de correo (así lo parezca), o para recordarte que tus contraseñas no son seguras y que no deben estar “por ahí, anotadas en un cuaderno”. Es mucho, mucho más: desde preparar a la empresa para un posible hackeo, hasta hacer auditorías para verificar que todo está (relativamente) en orden.
Como parte de nuestros servicios, brindamos acompañamiento a empresas que quieren fortalecer su seguridad cibernética, y para ello hacemos una especie de “auditoría light”, preguntamos qué tienen y partimos de allí, básicamente. Lo que verán a continuación es un top 5 de los hallazgos más comunes de estas revisiones, no revelaremos nombres, por supuesto, pero si identificas que en tu empresa ocurre una situación similar, puedes preocuparte.
NOTA: Esta publicación no busca exponer a nadie, es una conversación se debe hacer para identificar patrones en los comportamientos corporativos, y cómo se puede comenzar a cambiar, para mejor.
5 – Usuarios desconocidos
¿Quién creó este usuario? y, ¿Para qué?
En repetidas ocasiones nos encontramos una gestión de nómina impecable, pero claro, la nómina impacta directamente en los gastos de la empresa, y no quieres que el dinero se vaya a personas que ya ni siquiera están contratadas, no tiene sentido alguno.
Pero, si crear usuarios corporativos también cuesta dinero, ¿por qué no hay un control sobre ello? Ocurre frecuentemente que en los ejercicios de hacking tomamos el control de usuarios, esto nos permite conocer la estructura tecnológica de la organización y sus puntos débiles.
Resulta que pudimos haber tomado el usuario nose.paraquesirve@empresacualquiera.com y nadie lo hubiera notado, pues los administradores no tienen ni idea de su existencia. “Fue un usuario que crearon hace 7 años y que nunca se deshabilitó”, y aunque pueda sonar exagerado, no lo es.
Pero si fuera algo esporádico, no estaríamos aquí. Es una situación tan común que frecuentemente incluimos en los informes por defecto, pues las implicaciones son grandes: normalmente se intercepta un usuario de un colaborador para crear nuevos usuarios y alcanzar permisos elevados, pero esto suele ser ruidoso y se detecta fácilmente. En cambio, un usuario que ya existe y no se usa, es el escenario perfecto para un ataque, ya que nadie va a notar su actividad como algo anómalo.
Una vez obtenidos los privilegios, el resto es historia.
4 – Backups inexistentes
El problema no es que falten, es que no sabemos si funcionan
El problema principal que tienen las áreas con la auditoría es que la ven como un enemigo, que solo existe para criticar cómo haces las cosas y para levantar “planes de acción”, cuando en la realidad, el objetivo principal de la auditoría es identificar tus fortalezas así como tus debilidades, y principalmente reducir el riesgo.
Pero reconocemos que auditoría no siempre emplea el mejor enfoque, porque cumplimiento no es seguridad, y en el caso de los backups, tenerlos “por cumplir” no garantiza que los puedas usar para recuperar tu información.
Una estrategia de recuperación efectiva puede significar la diferencia entre sobrevivir a un ataque, o morir en el intento.
3 – Aplicaciones inseguras
Una cosa es desarrollar, otra es hacerlo seguro
Para llevar los servicios a sus clientes, las empresas deben sí o sí tener canales digitales, esto personaliza la experiencia del cliente y es la interfaz directa para los clientes más jóvenes (un Gen Z siempre preferirá comprar en línea). Estos canales son los que reciben mayor inversión: una interfaz limpia, compatible con cualquier dispositivo, que permita conocer todo el catálogo y una experiencia agradable. Todo muy bien para su propósito.
Solo un problema, o bueno, varios. Sin pruebas de seguridad, una aplicación web o móvil puede poner en riesgo a toda la organización. ¿Cómo interactúa el cliente con las bases de datos? ¿Las peticiones son sanitizadas antes de ser enviadas al servidor? ¿Cómo se protege la información personal?
Estas preguntas, de no ser atendidas, pueden tener serias consecuencias, tu empresa podría estar filtrando datos personales, lo cual es gravísimo y puede dar lugar a grandes multas y pérdida de reputación.
Pero ese no es el peor de los casos, si un atacante se aprovecha de tus huecos de seguridad, podría obtener acceso completo y sin restricciones a las bases de datos de clientes, nómina, usuarios corporativos y lo que podría ser peor: Ransomware, el virus de moda que acaba con tus datos y que ha impactado las operaciones de miles de empresas a nivel global. ¿Puedes darte el lujo de estar fuera de línea por uno o dos meses, esperando recuperarte al final?, no lo creo.
2 – No hay plan de recuperación
Una bendición y que el server no se caiga
Tan importante como tener backups y probarlos, es identificar cómo te vas a recuperar en un evento de desastre, piensa en lo siguiente: tu servidor principal decidió no ir a trabajar hoy, todos los sistemas clave están en el suelo y se acerca la hora de apertura. No puedes facturar, no puedes mover inventario, no puedes operar, ¿qué hacemos? Se preguntan todos. ¿Levantamos un nuevo servidor? No tenemos infraestructura. ¿Hacemos una compra de emergencia? El proveedor se tarda 24 horas hábiles para llevar el nuevo dispositivo (el más rápido del mundo).
Este tipo de situaciones no son comunes, pero de que las hay, las hay. Para ello, las empresas deberían contar con un plan que permita migrar rápidamente la información de un lugar a otro, utilizando los recursos que previamente se dispusieron para esto, y ojo, no tiene que instalarse una empresa réplica para que sea efectivo. Funcionar al 25% siempre es mejor que funcionar al 0%, es una medida de emergencia, pero fue un evento que pudo controlarse.
Cuando tu banco se cae (cof, cof), ¿cuentas con un medio de pago alternativo?, personalmente no me gusta ir por ahí con mucho efectivo en el bolsillo, pero lo suficiente para pagar un taxi y un café me garantizan que, cuando se caiga la app del banco (no “si”, sino “cuando”) no me quede varado en medio de la nada porque no pude hacer una transferencia.
1 – Baja (nula) visibilidad
No sabes lo que está pasando en tus narices
Finalmente, en el top 1 de los hallazgos más comunes de las auditorías que realizamos, se encuentra “no saber nada de lo que pasa en tu empresa”, no saber cuántos usuarios existen, no saber cuántas peticiones reciben los servidores al día, no saber cuándo un usuario bloqueó su contraseña, no saber cuándo un hacker ruso entró en la infraestructura, no saber cuánta información nos han robado para venderla en la deep web. No saber.
Un virus informático no viaja por los pasillos, entonces una cámara de seguridad no lo va a ver. Corea del Norte no viene a la sede administrativa a pedir la información crediticia de tus clientes, entonces el torniquete de la entrada no lo va a detener.
No saber lo que pasa en tu empresa a nivel de sistemas de información es tan grave como dejar todas tus cerraduras sin llave y sin nadie que las cuide, o incluso peor, porque desde cualquier lugar pueden llegar y tomar lo que quieran. En este mundo no podemos vivir de la “buena fé”, ¿o asumirás las consecuencias de perder información financiera, información personal de tus clientes, colaboradores, inventario, costos, negociaciones, compras y un largo etcétera?
Mantener los ojos puestos sobre tu infraestructura es demasiado complicado, pero es un esfuerzo a largo plazo, nadie lo hace perfecto y cada vez implica una inversión más, pero salvar a tu empresa de una catástrofe lo vale.
Después de leer esto, ¿estás seguro de que realmente sabes qué está pasando hoy en tu infraestructura… o solo estás asumiendo que todo está bien?
Si mañana ocurre un incidente grave, ¿tu empresa sabría exactamente cómo responder y recuperarse, o estaría improvisando bajo presión?
¿Cuántos de estos “errores comunes” siguen vivos en tu organización porque nunca se han cuestionado a fondo?