La ciberseguridad no se compra: se practica todos los días

Ciberseguridad como habito no como producto

Posted on 22 de junio de 2026

Cuando alguien me llama y me dice «han entrado en mi correo», la conversación siempre empieza igual. «No entiendo cómo ha pasado», me dice. «Si yo no doy mis contraseñas a nadie.»

Y casi siempre es verdad. No las da. Las reutiliza, que es otra cosa. Cuando una contraseña se filtra en cualquier servicio del mundo — y se filtran a diario, son cientos de millones cada año — pasa a estar en listas que se compran y se venden. Y si esa misma contraseña la usas también para el correo, alguien la va a probar tarde o temprano. No hace falta que te ataquen a ti. Solo hace falta que alguien pruebe.

Esta es, en mi experiencia, la conversación más repetida en ciberseguridad. Y revela algo importante: la mayoría de los ataques que vemos en empresas pequeñas no entran por la fuerza. Entran por la rutina. Un correo abierto a las 9:14 de la mañana con prisa. Una contraseña reutilizada. Un fichero adjunto que se pinchó sin mirar quién lo mandaba. Una sesión que se quedó abierta en un ordenador prestado.

Por eso este capítulo se llama “la capa invisible”. Porque la ciberseguridad de verdad no se ve. Funciona en silencio. Y precisamente porque funciona en silencio, casi nadie sabe explicar si la suya está bien o no.

El producto sin el hábito no protege

La industria de la ciberseguridad ha vendido durante años la idea de que la seguridad es algo que se compra. Antivirus, firewall, EDR, copias de seguridad, autenticación. Y todo eso es necesario — yo lo recomiendo y nosotros lo instalamos a diario. Pero ninguna de esas herramientas funciona sola.

Puedes tener el mejor antivirus del mercado, el firewall mejor configurado y la copia de seguridad más cara. Si alguien del equipo escribe la contraseña del correo en un papel pegado al monitor, o reutiliza la misma clave en seis sitios, todo eso pierde la mitad de su valor. La cadena se rompe por el eslabón más débil, y casi siempre el eslabón más débil es una rutina.

La buena noticia es que las rutinas se pueden cambiar. La mala es que no se cambian comprando.

Tres hábitos valen más que tres productos

Si tuviera que reducirlo a tres cosas que cualquier empresa, autónomo o familia puede empezar a aplicar hoy, serían estas:

Primero: una contraseña distinta para cada servicio importante. No se trata de memorizarlas. Para eso existen los gestores de contraseñas, que las generan, las guardan y las rellenan por ti. Te haces una sola contraseña — esa sí, larga y memorizada — y todas las demás se quedan en el gestor. Es el cambio más rentable que existe en ciberseguridad.

Segundo: doble factor (2FA) en todo lo que tenga valor. Correo principal, banca, redes sociales, herramientas de trabajo. El doble factor es un código adicional desde el móvil cuando alguien intenta entrar desde un sitio nuevo. Si tu contraseña se filtra, la persona que la tenga seguirá sin poder entrar. Es la barrera más alta y la más barata.

Tercero: la regla de “si no lo esperaba, no lo abro”. Casi todos los incidentes serios empiezan en un correo. Si recibes un mensaje que no esperabas — un albarán raro, una factura que no reconoces, una notificación urgente del banco — no se abre el adjunto, no se pincha el enlace. Se confirma por otro canal. Una llamada de teléfono dura un minuto y ahorra muchos sustos.

Estos tres hábitos, repetidos a diario, protegen más que la mayoría de inversiones en software.

La parte humana es el 80% del riesgo

Hay un dato que se repite en todos los informes de seguridad que leo: alrededor del 80% de los incidentes graves tienen un componente humano. Alguien hizo clic donde no debía. Alguien envió una contraseña a un compañero por WhatsApp. Alguien dejó el portátil abierto en un café.

No es porque las personas sean torpes. Es porque las personas trabajan con prisa, con cansancio y con muchas cosas a la vez. Y los atacantes lo saben. Los correos de phishing modernos no son los típicos mensajes con faltas de ortografía: son perfectos, bien escritos, idénticos a los reales, y llegan justo cuando estás esperando un albarán parecido. El problema no es la inteligencia del lector, es el momento.

Por eso la formación al equipo es la inversión con mejor retorno que conozco en ciberseguridad. No hace falta convertir al equipo en expertos. Veinte minutos al año, contando ejemplos reales — como los que veo en el taller — bastan para que el reflejo de “pinchar antes de pensar” se convierta en “parar antes de pinchar”.

El día que se nota la seguridad

La paradoja de la ciberseguridad es la misma que la de un buen sistema informático: cuando funciona, no se nota. No hay ataques exitosos que celebrar. No hay incidentes que comentar. No hay días perdidos. Solo trabajo que sigue adelante.

La gente que ha pasado por un incidente serio — un ransomware que ha cifrado el servidor, un correo profesional secuestrado, una transferencia desviada a otra cuenta — no vuelve a verlo igual. La frase que más repiten cuando pasa es: «si lo hubiera sabido antes». Lo curioso es que antes lo sabían. Solo que no lo practicaban todavía.

El día que se nota la seguridad, ya es tarde.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 años	Sirven para analizar la experiencia de navegación del usuario, y permitirnos mejorar nuestra Web para adaptarnos a sus necesidades. Normalmente permanecen un tiempo en el navegador de usuario, hasta que se borren las cookies del navegador o pase el tiempo definido para su eliminación.
_gat*	1 año	Sirven para analizar la experiencia de navegación del usuario, y permitirnos mejorar nuestra Web para adaptarnos a sus necesidades. Normalmente permanecen un tiempo en el navegador de usuario, hasta que se borren las cookies del navegador o pase el tiempo definido para su eliminación.
_gid, _gali	1 día	Sirven para analizar la experiencia de navegación del usuario, y permitirnos mejorar nuestra Web para adaptarnos a sus necesidades. Normalmente permanecen un tiempo en el navegador de usuario, hasta que se borren las cookies del navegador o pase el tiempo definido para su eliminación.