20 verificaciones concretas para saber si tu empresa tiene los controles básicos de ciberseguridad. Sin tecnicismos: cada punto tiene una explicación de por qué importa y qué hacer si la respuesta es no.
La mayoría de las empresas que sufren un ataque cibernético pensaban que estaban protegidas. No porque mintieran — sino porque nadie les había dado una lista concreta de qué significa "estar protegido" en términos operacionales. Este checklist de 20 puntos está diseñado para directores y gerentes, no para técnicos. Cada punto tiene una respuesta de sí/no y una acción clara si la respuesta es no.
Si al final del checklist tienes más de 5 respuestas "no", tu empresa tiene exposición significativa que puede convertirse en un incidente costoso. Si tienes más de 10, es urgente actuar.
Cómo usar este checklist
Responde cada punto con honestidad. "No sé" cuenta como "no". Al final suma tus respuestas negativas:
- 0–3 noes: postura razonable, afinar detalles.
- 4–8 noes: exposición moderada, implementar mejoras priorizadas.
- 9+ noes: exposición alta, evaluar programa integral.
¿Listo para ver el resultado real? Al terminar, solicita una evaluación gratuita para profundizar en cada punto con un especialista.
Bloque 1 — Control de accesos e identidades
✓ 1. ¿Todos los sistemas críticos tienen autenticación multifactor (MFA) activa?
El 80% de las brechas involucran credenciales comprometidas. MFA bloquea el 99.9% de los ataques automatizados de contraseñas. Es la medida con mayor impacto por menor costo disponible hoy. Si la respuesta es no: implementar MFA en correo corporativo, VPN y sistemas de administración. Es el cambio de mayor impacto por menor costo.
✓ 2. ¿Existe una política formal de contraseñas y se cumple realmente?
"Admin123" y fechas de nacimiento siguen siendo las contraseñas más comunes en redes corporativas de la región. Una política que existe solo en papel no cuenta. Si la respuesta es no: implementar gestor de contraseñas corporativo (Bitwarden, 1Password for Business) y política documentada con cumplimiento verificable.
✓ 3. ¿Cuándo alguien deja la empresa, sus accesos se revocan el mismo día?
El acceso de empleados anteriores es uno de los vectores de intrusión más comunes y más fáciles de prevenir. Cada día que pasa con una cuenta activa de un ex empleado es un riesgo abierto. Si la respuesta es no: crear proceso formal de offboarding con checklist de revocación de accesos el mismo día de la salida.
✓ 4. ¿Cada usuario tiene solo los accesos que necesita para su trabajo (principio de mínimo privilegio)?
Si un atacante compromete la cuenta de un empleado administrativo con acceso a todo, el daño es máximo. Si tiene acceso solo a lo necesario para su rol, el daño es contenible. La diferencia puede ser la supervivencia de la empresa. Si la respuesta es no: auditar permisos y reducir al mínimo necesario para cada rol.
✓ 5. ¿Saben exactamente quién tiene acceso administrativo a los sistemas críticos?
El "admin de siempre" que nadie recuerda quién lo creó es una vulnerabilidad activa. Las cuentas de servicio huérfanas y los administradores olvidados son puertas traseras que los atacantes buscan sistemáticamente. Si la respuesta es no: auditar todas las cuentas administrativas y eliminar las innecesarias.
Bloque 2 — Infraestructura y red
✓ 6. ¿Sus servidores y sistemas operativos tienen los parches de seguridad aplicados?
El 60% de las brechas explotan vulnerabilidades para las que ya existía un parche disponible. La procrastinación al parchear mata empresas — literalmente. Los atacantes escanean internet buscando versiones vulnerables conocidas. Si la respuesta es no: implementar proceso de gestión de parches con ventanas de mantenimiento definidas. Prioridad inmediata.
✓ 7. ¿Tienen segmentación de red? ¿El área de contabilidad puede acceder a los mismos sistemas que producción?
Sin segmentación, un atacante que compromete un equipo puede moverse libremente por toda la red. La lateral movement es la fase más dañina de un ataque avanzado y es completamente prevenible. Si la respuesta es no: evaluar micro-segmentación y VLANs como parte de una arquitectura de red segura.
✓ 8. ¿Los servidores expuestos a internet han sido auditados y endurecidos?
Los servidores con configuración por defecto tienen puertas traseras conocidas que los atacantes explotan en minutos con herramientas automatizadas. El hardening basado en benchmarks CIS elimina estas superficies de ataque. Si la respuesta es no: realizar auditoría de hardening con benchmarks CIS como proyecto prioritario.
✓ 9. ¿Hay un inventario actualizado de todos los activos IT de la empresa?
No puedes proteger lo que no sabes que tienes. Los activos olvidados — el servidor viejo en un closet, la instancia cloud que nadie recuerda — son los más vulnerables precisamente porque nadie los monitorea ni parchea. Si la respuesta es no: realizar descubrimiento de activos como primer paso de cualquier programa de seguridad.
✓ 10. ¿Los accesos remotos (VPN, RDP) están protegidos con MFA y acceso restringido por IP?
RDP y VPN mal configurados son los vectores de entrada más comunes para ransomware en PYMEs. Un puerto RDP abierto a internet sin MFA es el equivalente a dejar la puerta principal sin llave. Si la respuesta es no: prioridad alta — revisar y asegurar accesos remotos esta semana antes que cualquier otro punto.
Bloque 3 — Datos y respaldos
✓ 11. ¿Tienen backups automáticos de todos los datos críticos?
Sin backups, el ransomware puede ser irrecuperable. Con backups probados, es un inconveniente costoso pero manejable. La diferencia entre estos dos escenarios puede ser la continuidad del negocio. Si la respuesta es no: implementar la regla 3-2-1 de backups inmediatamente: 3 copias, 2 medios distintos, 1 fuera del sitio.
✓ 12. ¿Los backups se prueban periódicamente? ¿Han verificado que se pueden restaurar?
El 40% de los backups fallan cuando se intenta restaurar. Un backup que no funciona no es backup — es una falsa sensación de seguridad. Muchas empresas descubren este problema en el peor momento posible. Si la respuesta es no: programar prueba de restauración trimestral como procedimiento estándar.
✓ 13. ¿Los backups están almacenados en una ubicación separada, inaccesible desde la red principal?
El ransomware moderno busca y cifra también los backups conectados a la red. Un backup accesible desde la misma red que el sistema principal ofrece protección ilusoria ante un ataque sofisticado. Si la respuesta es no: implementar backup offline o en proveedor cloud separado con acceso restringido y credenciales diferentes.
✓ 14. ¿Los datos sensibles de clientes o empleados están cifrados?
La Ley 8968 de Protección de Datos Personales de Costa Rica exige medidas adecuadas para proteger datos personales. El cifrado en reposo limita el daño de una brecha y puede ser la diferencia entre una notificación manejable y una crisis reputacional. Si la respuesta es no: evaluar cifrado en reposo para bases de datos y almacenamiento de datos sensibles.
Bloque 4 — Personas y procesos
✓ 15. ¿Los empleados han recibido capacitación reciente sobre phishing y seguridad?
El 90% de los incidentes comienzan con un error humano. La capacitación es la capa de seguridad con mayor ROI — un empleado que reconoce un phishing es más valioso que cualquier firewall. Y el panorama cambia constantemente: la capacitación de hace 3 años no cubre las amenazas de hoy. Si la respuesta es no: implementar al menos una sesión anual de concienciación más simulacros periódicos de phishing.
✓ 16. ¿Tienen un plan escrito de qué hacer si sufren un ciberataque?
Sin plan, los primeros 60 minutos de un incidente se desperdician en confusión: ¿quién llama a quién? ¿se apaga el servidor o no? ¿se notifica a los clientes ahora o después? Esos 60 minutos son los más críticos para contener el daño. Si la respuesta es no: desarrollar un IRP básico con roles, contactos y pasos para los 3 escenarios más probables: ransomware, brecha de datos y fraude interno.
✓ 17. ¿Saben a quién llamar si mañana descubren un ransomware activo?
Buscar un proveedor de respuesta a incidentes en medio de un ataque activo es lo peor que puede pasarle a una empresa. Sin un contacto preestablecido, se pierden horas críticas buscando opciones mientras el ataque se expande. Si la respuesta es no: contratar un retainer de respuesta a incidentes o al menos tener el contacto listo antes de necesitarlo.
✓ 18. ¿Tienen políticas formales de seguridad documentadas y firmadas por los empleados?
Además del valor operacional, las políticas son evidencia de cumplimiento ante auditores, aseguradoras y clientes corporativos que exigen demostrar controles formales. Sin documentación, la seguridad depende de la memoria de las personas. Si la respuesta es no: desarrollar política de seguridad básica adaptada al tamaño y sector de la empresa.
Bloque 5 — Cumplimiento y visibilidad
✓ 19. ¿Tienen registros (logs) de quién accede a qué sistemas y cuándo?
Sin logs no puedes detectar actividad anómala ni reconstruir qué pasó después de un incidente. Los logs son la diferencia entre saber exactamente qué datos fueron comprometidos — con toda la implicación legal que eso tiene — y no tener idea. Si la respuesta es no: implementar logging centralizado en sistemas críticos como primer paso de visibilidad.
✓ 20. ¿Han hecho una evaluación formal de ciberseguridad en los últimos 12 meses?
El panorama de amenazas cambia constantemente. Lo que era seguro hace 18 meses puede no serlo hoy. Una evaluación periódica es el mecanismo para saber dónde estás realmente, no dónde crees estar. Si la respuesta es no: es el momento de hacerla — la evaluación gratuita de Structa Defense es el punto de partida.
Tu resultado: ¿qué hacer ahora?
- 0–3 noes: postura razonable. Recomendamos una evaluación para identificar los puntos finos que quedan por cubrir.
- 4–8 noes: exposición moderada. Priorizar los noes de los Bloques 1 y 2 primero — son los de mayor impacto inmediato.
- 9–14 noes: exposición alta. Diseñar un plan de mejora estructurado en los próximos 60 días antes de que el riesgo se materialice.
- 15+ noes: exposición crítica. Contactar inmediatamente para evaluar el riesgo real y definir acciones urgentes antes de que ocurra un incidente.
Este checklist cubre los controles básicos. Una evaluación completa incluye pentesting, análisis de configuración de sistemas específicos y evaluación del contexto de amenazas para tu sector. La evaluación gratuita de Structa Defense cubre todos estos puntos con mayor profundidad — sin compromiso y sin tecnicismos.
La seguridad no es un estado permanente — es un proceso continuo. Empresas de todos los tamaños pueden mejorar su postura de seguridad de forma gradual y sostenible. Lo importante es saber dónde estás hoy. Conoce más sobre ciberseguridad para empresas o explora los servicios IT diseñados para PYMEs que pueden ayudarte a recorrer este camino.