Gestionar una empresa de más de cien empleados no es moco de pavo. Si ya es complicado poner de acuerdo a todo el mundo para la cena de Navidad en un restaurante del Puerto de Cartagena, imagina lo que supone blindar los datos de una organización donde cada clic puede ser un agujero por el que se cuele un disgusto de dimensiones épicas. La verdad es que, cuando pasas la barrera de los cien usuarios, la seguridad deja de ser algo que «estaría bien tener» para convertirse en el muro de carga que evita que todo el edificio se te caiga encima.
En el blog de aquinohayquienviva.es nos gusta bajar las cosas a la tierra. No te voy a vender la moto con términos de ciencia ficción; vamos a hablar de lo que realmente importa para que tu infraestructura, probablemente basada en Google Workspace o sistemas similares, no sea un coladero. Porque, seamos sinceros, a veces nos preocupamos más de que el café de la oficina sea de especialidad que de quién tiene acceso a la base de datos de clientes. Y ojo, que el café es sagrado, pero un ransomware te amarga el lunes mucho más que un café torrefacto.
Uno de los errores más comunes que veo en empresas medianas aquí en España es el del «administrador orquesta». Es ese perfil técnico que tiene las llaves de todo, entra en su correo personal desde la cuenta de superadministrador y, de paso, gestiona las nóminas. Error de manual. Si mal no recuerdo, la mayoría de las brechas de seguridad importantes no ocurren por un ataque de película de hackers con sudadera, sino porque alguien con demasiados permisos pinchó donde no debía.
La primera tarea de tu lista debería ser la higiene de las cuentas de administrador. En Google Workspace, y en cualquier sistema serio, la regla de oro es el «mínimo privilegio posible». ¿Qué significa esto? Que si alguien solo necesita gestionar las contraseñas de los usuarios, no tiene por qué tener acceso a los informes de facturación o a la configuración del dominio.
- Cuentas separadas: Un administrador nunca debe usar su cuenta de gestión para el día a día. Nada de enviar correos a proveedores o leer la newsletter de tecnología con la cuenta que tiene poder para borrar todo el dominio. Se usa una cuenta estándar para el trabajo diario y una específica (y muy protegida) para las tareas de administración.
- Múltiples superadministradores: No lo dejes todo en manos de una sola persona. Si esa persona pierde el acceso o, peor aún, se va de la empresa de malas formas, tienes un problema serio. Lo ideal es tener al menos dos o tres, pero no más.
- Revisión periódica: La gente cambia de puesto o se va de la empresa. Es vital hacer una auditoría trimestral para ver quién sigue teniendo permisos de administrador. Te sorprendería la de gente que ya no trabaja en la oficina de la calle Mayor y aún puede entrar hasta la cocina del sistema.
La muralla de Carlos III en versión digital: El MFA
Si has paseado por Cartagena, sabrás que la Muralla de Carlos III era una defensa imponente. En el mundo digital, esa muralla es la autenticación de doble factor (MFA) o la verificación en dos pasos (2SV). A estas alturas de la película, permitir que alguien acceda a su cuenta solo con una contraseña es como dejar la puerta de la oficina abierta y con un cartel de «pasen y vean».
Para empresas de más de cien usuarios, el SMS ya no es suficiente. Es mejor que nada, claro, pero el SIM swapping es una realidad en España y los malos ya saben cómo saltarse ese paso. La recomendación para una empresa mediana o grande es saltar a las llaves de seguridad físicas (como las Titan de Google o las YubiKey) o, al menos, a aplicaciones de autenticación tipo Google Authenticator.
Vaya, que si quieres dormir tranquilo, deberías obligar (sí, obligar, sin paños calientes) a que todos los empleados usen 2SV. Y aquí viene el truco: no lo hagas de golpe. Empieza por los departamentos que manejan datos sensibles (Finanzas, RRHH) y luego extiende la política al resto. En la consola de administración puedes ver quién lo tiene activado y quién se está haciendo el remolón.
¿Por qué las llaves físicas son el estándar de oro?
Imagina que un empleado recibe un correo de phishing muy bien hecho, de esos que parecen una factura de Telefónica o un aviso de Correos. El empleado pincha, mete su contraseña y, si usa SMS, el atacante puede engañarle para que le dé el código. Con una llave física, eso es casi imposible. El atacante no tiene el objeto físico, y la llave solo funciona si detecta que el sitio web es el legítimo. Es, sencillamente, la mejor inversión que puedes hacer en seguridad.
Control de dispositivos: El teletrabajo y el caos del BYOD
En España nos gusta mucho el «tráete tu propio cacharro» (Bring Your Own Device o BYOD). Que si uso mi móvil personal para leer el correo del curro, que si me llevo el portátil a la terraza para aprovechar el sol de la tarde… Todo esto es una pesadilla para un responsable de TI si no hay un control claro.
Para empresas medianas, la gestión de dispositivos móviles (MDM) es obligatoria. No se trata de espiar lo que hace el empleado en su tiempo libre (que además es ilegal y éticamente cuestionable), sino de crear un contenedor seguro para los datos de la empresa. Si un empleado pierde el móvil en las fiestas de Carthagineses y Romanos, tú tienes que ser capaz de borrar los datos de la empresa de ese teléfono de forma remota, sin tocar sus fotos de las vacaciones.
Ojo con esto: la configuración de «Aprobación de dispositivos» es tu mejor amiga. Cada vez que alguien intente entrar en su cuenta corporativa desde un dispositivo nuevo, el administrador debe recibir un aviso y dar el visto bueno. Es un poco más de trabajo manual al principio, pero te ahorra que un ex-empleado o alguien ajeno use un dispositivo no autorizado para cotillear tus archivos.
Prevención de pérdida de datos (DLP): Que la información no vuele
A veces el peligro no viene de fuera, sino de un error humano dentro. Un empleado que envía por error un Excel con los DNIs y salarios de toda la plantilla a un proveedor externo. O alguien que sube a una carpeta pública de Drive información confidencial sobre una patente. Esto pasa más de lo que nos gustaría admitir.
Las herramientas de DLP (Data Loss Prevention) analizan el contenido de los correos y los archivos en busca de patrones. Por ejemplo, puedes configurar una regla que diga: «Si un correo contiene algo que parece un número de tarjeta de crédito o un IBAN español, bloquea el envío o pide una autorización superior».
La verdad es que configurar esto lleva tiempo porque hay que evitar los «falsos positivos» (no queremos que el sistema bloquee un correo legítimo), pero una vez ajustado, es como tener un guardia de seguridad revisando cada maleta que sale del edificio. Para empresas que manejan datos de salud o financieros, esto no es opcional, es una exigencia del RGPD.
Auditoría y registros: El rastro de migas de pan
La seguridad no es un estado, es un proceso. Y para que ese proceso funcione, tienes que saber qué está pasando en tu sistema. Los informes de auditoría son esa parte aburrida del trabajo que nadie quiere mirar hasta que algo explota. Pero, para que nos entendamos, si no tienes registros, cuando ocurra un incidente estarás ciego.
En empresas grandes, es vital revisar regularmente:
- Exportaciones de datos: ¿Alguien se ha descargado de golpe 50GB de archivos de Drive? Sospechoso.
- Accesos desde ubicaciones inusuales: Si un empleado que vive en Cartagena de repente se conecta desde una IP en un país remoto sin haber avisado de un viaje, salta la alarma.
- Cambios en la configuración de seguridad: Si alguien desactiva el MFA de una cuenta, tienes que saberlo al minuto.
Una buena práctica es integrar estos registros con herramientas de análisis más potentes (como BigQuery o un SIEM externo) si el volumen de datos es muy alto. Pero para empezar, con echar un ojo a los informes de la consola de administración una vez por semana ya vas por delante del 80% de las empresas.
La Inteligencia Artificial como aliada (y como riesgo)
No podemos hablar de seguridad hoy en día sin mencionar la IA. En el contexto de una empresa española, la IA está cambiando las reglas del juego. Por un lado, los ataques de phishing ahora son perfectos; ya no hay faltas de ortografía ni frases raras traducidas con Google Translate de hace diez años. Ahora los correos suenan humanos, cercanos y convincentes.
Pero también tenemos la IA de nuestro lado. Google Workspace, por ejemplo, utiliza modelos de aprendizaje automático para bloquear millones de correos maliciosos antes de que lleguen a la bandeja de entrada. Como administradores, nuestra tarea es educar a la plantilla. La IA puede ayudar a detectar anomalías en el comportamiento de los usuarios que a un humano se le pasarían por alto.
Sin embargo, hay un detalle que me preocupa: el uso de IAs generativas públicas por parte de los empleados. Si un programador de tu equipo pega un trozo de código crítico en una IA para que se lo optimice, ese código ya está fuera de tu control. Es fundamental establecer políticas claras sobre qué se puede y qué no se puede compartir con estas herramientas. No se trata de prohibirlas, sino de usarlas con cabeza.
Un poco de código para los que se manchan las manos
Si eres de los que prefiere automatizar cosas en lugar de hacer clic en mil menús, la API de Google Workspace es tu mejor amiga. Aquí te dejo un pequeño ejemplo (en Python, que es muy socorrido) de cómo podrías listar los usuarios que no tienen activada la verificación en dos pasos. Es un script sencillo, pero te da una idea de cómo puedes escalar la seguridad sin morir en el intento.
# Esto es un ejemplo conceptual, necesitarás las credenciales de API adecuadas
from googleapiclient.discovery import build
def check_mfa_status(admin_email):
service = build('admin', 'directory_v1')
# Pedimos la lista de usuarios
results = service.users().list(customer='my_customer', maxResults=100).execute()
users = results.get('users', [])
if not users:
print('No se encontraron usuarios. ¿Has pagado la luz?')
else:
print('Usuarios sin 2SV (Ojo con estos):')
for user in users:
# Comprobamos si tienen activado el 2nd factor
if not user.get('isEnrolledIn2Sv', False):
print(f"Alerta: {user['primaryEmail']} está viviendo al límite.")
# Nota: No me seas cafre y no ejecutes esto sin configurar antes OAuth2
Este tipo de automatizaciones son las que marcan la diferencia cuando gestionas 500 cuentas. Ir uno por uno es de masoquistas. La idea es que el sistema trabaje para ti, y no al revés.
La cultura de seguridad: El eslabón más fuerte
Al final del día, puedes tener el mejor firewall del mundo, las llaves físicas más caras y una IA que predice el futuro, pero si un empleado deja su contraseña apuntada en un post-it pegado al monitor, todo lo anterior no sirve para nada. La seguridad en empresas medianas y grandes es, sobre todo, una cuestión de cultura.
En España tenemos esa costumbre tan nuestra de «hacer el favor». «Oye, pásame tu clave que tengo que mirar una cosa rápida». Eso, en términos de seguridad, es un desastre. Hay que formar a la gente, pero no con charlas aburridas de tres horas que se olvidan a los cinco minutos. Haz simulacros de phishing (hay herramientas geniales para esto), explica casos reales de empresas locales que lo han pasado mal por un ciberataque y, sobre todo, haz que la seguridad sea fácil de cumplir.
Si pones procesos tan complicados que impiden a la gente trabajar, buscarán la forma de saltárselos. Y ahí es donde empiezan los problemas de verdad. La seguridad debe ser como el aire: está ahí, nos protege, pero no nos impide respirar.
Checklist rápido para repasar este fin de semana
- ¿Cuántos superadministradores tienes? Si son más de 5, empieza a quitar permisos ya.
- ¿Hay alguien sin 2SV activado? Si la respuesta es sí, ya tienes tarea para el lunes.
- ¿Cuándo fue la última vez que revisaste las aplicaciones de terceros que tienen acceso a tus datos? (Esa app de «encuestas divertidas» que alguien instaló en 2019 puede ser un peligro).
- ¿Tienes un plan de respuesta ante incidentes? Saber a quién llamar cuando las cosas se ponen feas ahorra mucho tiempo y dinero.
La conclusión que saco de todo esto es que la seguridad no es un destino, sino un viaje constante. Especialmente en una ciudad como Cartagena, con tanta historia de defensas y ataques, deberíamos entender mejor que nadie que estar preparados es la única forma de prosperar. No hace falta ser un paranoico, solo hay que ser profesional. Y ahora, si me disculpáis, voy a por otro café, que este tema me ha dejado la garganta seca.
Deja una respuesta