Seguridad informática para PYMEs: lo mínimo que deberías tener en Panamá

La mayoría de ataques informáticos a PYMEs no son sofisticados. Son correos de phishing que alguien abre sin pensar, contraseñas reutilizadas que aparecen en una filtración, o servidores con actualizaciones pendientes de meses. No necesitas un presupuesto de Fortune 500 para defenderte. Necesitas hacer bien lo básico.

Autenticación de dos factores en todo

Si solo haces una cosa después de leer este artículo, que sea activar el segundo factor de autenticación en el correo corporativo, el banco, el hosting, el dominio y cualquier plataforma que maneje datos sensibles. No SMS — usa una app como Google Authenticator o Microsoft Authenticator. Es gratis y bloquea el 99% de los ataques de fuerza bruta y phishing.

Actualizaciones al día

Windows, macOS, tu router, tu firewall, tu antivirus, tus aplicaciones: todo debe estar actualizado. Las actualizaciones de seguridad existen porque alguien encontró una vulnerabilidad y la corrigió. Cada día que pasas sin aplicar un parche es un día que tu sistema es vulnerable a un ataque conocido y documentado.

Correo corporativo con dominio propio

Si tu empresa todavía usa cuentas de Gmail o Hotmail para comunicaciones de negocio, tienes un problema. Un dominio propio con Microsoft 365 o Google Workspace te da filtrado de spam empresarial, políticas de seguridad centralizadas, y la capacidad de revocar acceso cuando un empleado se va. El costo es de 6 a 12 dólares por usuario al mes.

Backup probado

Ya hablamos de esto en detalle en otro artículo, pero vale repetir: si no tienes un backup automatizado, cifrado y probado, no tienes backup. Un ransomware puede cifrar tu servidor entero en minutos. La diferencia entre una crisis de un día y una crisis de un mes es tener un respaldo funcional listo para restaurar.

Política de contraseñas

Contraseñas de mínimo 12 caracteres, únicas por servicio, almacenadas en un gestor de contraseñas como Bitwarden (gratuito para uso personal, 3 dólares/usuario/mes para empresas). Prohibir el uso de contraseñas compartidas por chat o sticky notes debería ser política formal de la empresa.

Segmentación de permisos

No todos necesitan acceso a todo. El contador no necesita ver los repositorios de código. El desarrollador no necesita acceso a la cuenta bancaria. El principio de mínimo privilegio es simple pero efectivo: cada persona solo tiene acceso a lo que necesita para hacer su trabajo.

Un plan de respuesta

¿Qué haces si mañana descubres que te hackearon? ¿A quién llamas? ¿Quién tiene acceso a los backups? ¿Cómo comunicas a tus clientes? No necesitas un documento de 50 páginas. Necesitas un documento de una página con teléfonos, pasos inmediatos y responsables claros. Tenerlo listo antes de que lo necesites marca toda la diferencia.