AI SECURITY logo AI SECURITY
Background
Concienciación Ciberseguridad ISO 27001 ENS Seguridad

Ciberseguridad Básica para Empleados: Guía Completa

Todo lo que necesitas saber sobre ciberseguridad en el trabajo: contraseñas, phishing, WiFi, dispositivos, ingeniería social y más. Guía práctica para cumplir ISO 27001 y ENS.

AI Security
12 min lectura
Background

Por qué la ciberseguridad es responsabilidad de todos

Tu empresa puede tener los mejores firewalls, antivirus y sistemas de seguridad del mundo. Pero si un empleado hace clic en un enlace de phishing o usa "123456" como contraseña, todo eso no sirve de nada.

El 95% de los incidentes de seguridad involucran error humano. No porque los empleados sean tontos, sino porque los atacantes son muy buenos en lo que hacen. Conocen la psicología humana y explotan nuestra prisa, confianza y rutinas.

Realidad: Los hackers no atacan sistemas, atacan personas. Tú eres la última línea de defensa de tu empresa.

Esta guía cubre los fundamentos de seguridad que todo empleado debe conocer. No importa si trabajas en finanzas, marketing, producción o atención al cliente: estas prácticas aplican a todos.

1. Gestión de contraseñas

Las contraseñas son la llave de tu vida digital laboral. Una contraseña débil o reutilizada es como dejar la puerta de la oficina abierta por la noche.

Reglas fundamentales

  • Una contraseña diferente para cada servicio: Si reutilizas, un hackeo en un sitio compromete todos los demás
  • Mínimo 12 caracteres: Más largo = más seguro (14-16 es ideal)
  • Evita patrones predecibles: "Empresa2024!" está en todas las listas de ataque
  • Usa un gestor de contraseñas: Bitwarden, 1Password, o el que recomiende tu empresa
  • Activa 2FA siempre que sea posible: Especialmente en email y servicios críticos

Profundiza: Lee nuestra Guía completa de contraseñas seguras para entender por qué y cómo implementar estas prácticas.

Nunca compartas contraseñas por email o chat

Si necesitas compartir credenciales con un compañero:

  • Usa la función de compartir del gestor de contraseñas corporativo
  • Usa servicios de un solo uso como OneTimeSecret
  • En último caso, dila por teléfono (nunca escrita)

2. Protección contra phishing

El phishing es el ataque más común y efectivo. Los ciberdelincuentes se hacen pasar por empresas o personas de confianza para robar credenciales o instalar malware.

Señales de alerta

  • Urgencia artificial: "Tu cuenta será bloqueada en 24h"
  • Remitente sospechoso: El nombre dice "Microsoft" pero el email es @gmail.com
  • Enlaces que no coinciden: El texto dice una cosa, la URL real otra
  • Archivos adjuntos inesperados: Especialmente .exe, .zip con contraseña, documentos con macros
  • Errores de ortografía y gramática: Las empresas profesionales revisan sus comunicaciones
  • Solicitud de datos sensibles: Nadie legítimo te pide contraseñas por email

Qué hacer

  1. Verifica antes de hacer clic: Pasa el ratón sobre enlaces para ver la URL real
  2. Verifica el remitente: Comprueba la dirección de email, no solo el nombre
  3. Ante la duda, no hagas clic: Accede al servicio directamente escribiendo la URL
  4. Reporta el email: Usa la función de reportar phishing y avisa a IT

Guías específicas:

3. Seguridad en redes WiFi

En la oficina

  • Usa solo la red corporativa autorizada
  • No conectes dispositivos personales sin autorización
  • Si ves redes WiFi duplicadas o sospechosas, avisa a IT

Trabajando en remoto o viajes

  • Evita WiFi públicas (cafeterías, aeropuertos, hoteles) para trabajo sensible
  • Usa siempre la VPN corporativa cuando trabajes fuera de la oficina
  • Si no hay VPN disponible: Usa los datos móviles de tu teléfono (hotspot)
  • Nunca accedas a banca o servicios críticos en WiFi públicas sin VPN

Peligro real: En una WiFi pública, un atacante puede interceptar todo tu tráfico: emails, contraseñas, documentos. Es trivialmente fácil con herramientas gratuitas.

4. Seguridad de dispositivos

Ordenador de trabajo

  • Bloquea siempre al levantarte: Win+L en Windows, Cmd+Ctrl+Q en Mac
  • Configura bloqueo automático: Máximo 5 minutos de inactividad
  • No desactives el antivirus: Aunque "ralentice" el equipo
  • Mantén el sistema actualizado: Las actualizaciones corrigen vulnerabilidades
  • No instales software no autorizado: Pregunta a IT antes
  • Cifra el disco duro: BitLocker (Windows) o FileVault (Mac)

Móvil

  • PIN o biométrico obligatorio: Nada de "deslizar para desbloquear"
  • Mantén el sistema actualizado: iOS y Android publican parches críticos
  • Descarga apps solo de tiendas oficiales: App Store o Google Play
  • Revisa los permisos de las apps: ¿Una linterna necesita acceso a tus contactos?
  • Activa "Buscar mi dispositivo": Para poder borrarlo si lo pierdes

Dispositivos USB y externos

  • No conectes USBs desconocidos: Los "USB perdidos" son una técnica de ataque común
  • No uses cargadores públicos (aeropuertos, estaciones): Pueden transferir datos (juice jacking)
  • Usa solo periféricos autorizados: Ratones y teclados USB también pueden ser vectores de ataque

5. Ingeniería social

La ingeniería social es manipular a personas para que revelen información o realicen acciones peligrosas. Va más allá del email: incluye llamadas, mensajes, e incluso visitas presenciales.

Técnicas comunes

  • Pretexting: "Soy del soporte técnico, necesito tu contraseña para arreglar un problema"
  • Baiting: USB "perdidos" en el parking, descargas gratuitas con malware
  • Quid pro quo: "Te doy acceso a X si me das tu login"
  • Tailgating: Alguien entra detrás de ti a una zona restringida sin identificarse
  • Vishing: Phishing por teléfono ("Llamamos de Microsoft, su ordenador tiene un virus")

Cómo protegerte

  • Verifica la identidad: Si alguien de "IT" te llama, cuelga y llama tú al número oficial
  • Nunca des credenciales por teléfono: IT real nunca las necesita
  • No dejes entrar a desconocidos: Pide que se identifiquen, avisa a recepción
  • Desconfía de lo urgente y lo demasiado bueno: Ambos son señales de manipulación

6. Manejo de información sensible

Clasificación de información

Tu empresa probablemente tiene diferentes niveles de confidencialidad:

  • Pública: Puede compartirse libremente (web, marketing)
  • Interna: Solo empleados (procedimientos, organigramas)
  • Confidencial: Acceso restringido (datos financieros, estrategias)
  • Altamente confidencial: Muy restringido (datos personales, contratos, I+D)

Buenas prácticas

  • Conoce la política de clasificación de tu empresa
  • No envíes información confidencial por email sin cifrar
  • Usa los canales aprobados: SharePoint, sistemas de gestión documental
  • Aplica "need to know": Solo comparte con quien realmente necesita saber
  • Destruye documentos sensibles: Trituradora, no papelera normal
  • Pantalla limpia: No dejes documentos sensibles visibles en tu escritorio

7. Copias de seguridad

El ransomware cifra tus archivos y pide rescate. La única defensa real son las copias de seguridad actualizadas.

Qué debes hacer

  • Guarda trabajo en ubicaciones corporativas: OneDrive, SharePoint, servidores de red
  • No guardes archivos importantes solo en local: "Mis Documentos" sin sincronizar = riesgo
  • Verifica que las copias funcionan: De vez en cuando, intenta recuperar un archivo
  • No desactives la sincronización de OneDrive/Google Drive por "ahorrar recursos"

Pregunta a IT: ¿Dónde debo guardar mis archivos para que estén respaldados? ¿Con qué frecuencia se hacen copias? ¿Cómo recupero un archivo borrado accidentalmente?

8. Seguridad física

La seguridad no es solo digital. Un portátil robado o un documento olvidado pueden causar brechas graves.

  • No dejes el portátil desatendido: En cafeterías, coches, trenes
  • Usa candado de portátil si lo dejas en la oficina fuera de horas
  • Cierra con llave cajones con documentos sensibles
  • No discutas información confidencial en público: El competidor puede estar en la mesa de al lado
  • Recoge documentos de la impresora inmediatamente
  • Usa filtros de privacidad en la pantalla si trabajas en espacios públicos

9. Qué hacer ante un incidente

Si crees que algo ha pasado (clic en phishing, pérdida de dispositivo, comportamiento extraño del ordenador):

  1. No entres en pánico: Actuar rápido es mejor que actuar perfecto
  2. Avisa a IT inmediatamente: Mejor una falsa alarma que ignorar un ataque real
  3. No intentes arreglarlo tú solo: Puedes destruir evidencias o empeorar la situación
  4. Documenta lo que recuerdes: Qué hiciste, cuándo, qué viste
  5. Sigue las instrucciones de IT: Puede que te pidan desconectar el equipo de la red

Cultura sin culpa: Las empresas con buena cultura de seguridad no castigan a los empleados que reportan incidentes. Es mejor saber que hiciste clic en algo sospechoso que ocultarlo y que el ataque se propague.

Checklist de seguridad diaria

Revisa estos puntos regularmente:

  • ☐ Mi contraseña es única para cada servicio
  • ☐ Uso un gestor de contraseñas
  • ☐ Tengo 2FA activado en email y servicios críticos
  • ☐ Verifico remitentes y enlaces antes de hacer clic
  • ☐ Mi ordenador se bloquea automáticamente
  • ☐ El sistema operativo y antivirus están actualizados
  • ☐ Uso VPN cuando trabajo fuera de la oficina
  • ☐ Mis archivos importantes están en ubicaciones con backup
  • ☐ No dejo el portátil desatendido en lugares públicos
  • ☐ Sé cómo y a quién reportar un incidente de seguridad

Cumplimiento ISO 27001 y ENS

Si tu empresa busca certificarse en ISO 27001 o cumplir el Esquema Nacional de Seguridad (ENS), la formación en concienciación de empleados es un requisito obligatorio.

Esta guía cubre los fundamentos que todo empleado debe conocer. Pero la formación no es un evento único: debe ser continua, con recordatorios periódicos y actualizaciones sobre nuevas amenazas.

Evalua la concienciacion de tu equipo

Herramienta gratuita para cumplir ISO 27001 y ENS

  • Test de concienciacion para tus empleados
  • Graficos de resultados por departamento
  • Informe descargable para auditorias

Sin compromiso · Configuracion en 5 minutos · Datos 100% seguros

Artículos relacionados:

Background
Volver al blog