Los errores de ciberseguridad que cometen las start-ups tecnológicas, según un experto

Si hay algo que su start-up tecnológica debería aprender de 2025, es que ningún negocio es demasiado pequeño para ser un objetivo para los ciberdelincuentes. De hecho, las PYMES son ahora prospectos más atractivos para el ransomware que las empresas heredadas, gracias a sus recursos limitados y valiosos datos de clientes.

A menudo, las start-ups carecen del conocimiento o los recursos que necesitan para tomar buenas decisiones al principio de sus negocios. Contactamos a un experto en seguridad de TI que trabaja frecuentemente con start-ups tecnológicas para obtener información sobre lo que las empresas necesitan saber cuando recién comienzan.

Gary Power, director de operaciones y director de servicios al cliente en Power Consulting(nueva ventana), tiene 25 años de experiencia en la industria de TI subcontratada. Power Consulting trabaja en estrecha colaboración con empresas de todos los tamaños en todas las industrias, brindando servicios que incluyen servicios de TI gestionados, planificación estratégica de TI y auditorías y servicios de ciberseguridad.

Hablamos con Gary para comprender dónde las start-ups tecnológicas están cometiendo errores al principio de sus negocios.

Su negocio no es demasiado pequeño para medidas de ciberseguridad

Usando nuestro Observatorio de vulneraciones de datos, Proton rastreó datos comerciales filtrados en la dark web para comprender a quién apuntaban los hackers y cómo se vulneraban las empresas. Descubrimos 794 vulneraciones, totalizando más de 300 millones de registros filtrados, y se hizo obvio que las organizaciones más pequeñas están cada vez más en riesgo.

Su negocio puede beneficiarse al examinar cómo y por qué otras empresas se han visto afectadas por vulneraciones de datos. Los conocimientos obtenidos del Observatorio de vulneraciones de datos, así como nuestras recomendaciones de ciberseguridad para start-ups tecnológicas, se pueden encontrar en nuestro último libro electrónico, The breaches that broke 2025.

Descargar el libro electrónico

Ya sea que su gestión de credenciales fuera insuficiente o que no utilizaran medidas de protección como el cifrado de extremo a extremo, parece que las PYMES están cometiendo errores cruciales en sus prácticas de seguridad. Y si las pequeñas empresas siguen siendo vulnerables a las ciberamenazas, en última instancia dañará las industrias y la innovación en todo el mundo al limitar el crecimiento empresarial.

Gary señala que una parte clave de proteger adecuadamente su negocio es cambiar su mentalidad cuando se trata de las medidas de seguridad que emplea.

“Al principio, los fundadores suelen hacer preguntas reactivas como ‘¿Necesitamos esto?’ o ‘¿Es esto excesivo para nuestro tamaño?’. A medida que maduran, las preguntas cambian a ‘¿Qué nos impediría realmente ser vulnerados?’ y ‘¿Cómo escalamos de forma segura sin ralentizar el negocio?'”

En lugar de omitir pasos a medida que su negocio se establece, invierta desde el principio en su seguridad cibernética. Después de todo, como dice Gary: “Los fundadores más exitosos se dan cuenta de que la seguridad es un habilitador, no un obstáculo”.

Las herramientas heredadas no son automáticamente seguras

Cuando llegue el momento de elegir las herramientas, como las soluciones de correo electrónico, drive y gestor de contraseñas que usará su empresa, su elección marca una gran diferencia. Gary advierte contra asumir que las soluciones populares y modernas serán automáticamente la opción más segura.

“El mayor punto ciego es asumir que la seguridad es ‘implícita’ porque están usando herramientas modernas o plataformas en la nube. Los fundadores a menudo creen que Microsoft 365, Google Workspace o AWS equivalen automáticamente a seguro. En realidad, la mayoría de las vulneraciones provienen de una configuración incorrecta, controles de identidad débiles, mala higiene de acceso y falta de monitoreo, no de técnicas de piratería exóticas“.

Esto puede no sonar positivo, pero lo es: Es mucho más difícil predecir y prevenir técnicas de piratería sofisticadas que construir prácticas sólidas de gestión de identidad y monitoreo dentro de su red. Los problemas que Gary destaca se pueden abordar utilizando lo siguiente:

• Prácticas exhaustivas de seguridad de aplicaciones web que le permitan identificar y mitigar amenazas potenciales a su entorno.
• Medidas de gestión de identidad como SSO y autenticación de dos factores (2FA) que protegen su red comercial mientras hacen que sea más fácil y seguro para los miembros del equipo acceder a su red comercial.
• El Monitoreo de la Dark Web es una herramienta útil que puede informarle si alguno de sus datos comerciales aparece en la dark web, permitiéndole actuar rápidamente y prevenir una vulneración de datos.

El error humano es una amenaza grave

No importa si sus herramientas son seguras si no se usan de forma segura. El error humano es en realidad una de las mayores amenazas de ciberseguridad de su empresa. Las superficies de ataque están creciendo exponencialmente gracias a la complejidad de las redes comerciales modernas, lo que requiere que los miembros del equipo creen docenas de cuentas con contraseñas únicas y potencialmente accedan a estas cuentas desde sus dispositivos personales.

“Otro error importante es subestimar el riesgo humano: la suplantación, la reutilización de credenciales y los dispositivos no gestionados suelen ser la puerta de entrada.“

Estos riesgos se pueden atribuir a la falta de conciencia en ciberseguridad y expectativas poco claras sobre cómo o si se puede acceder a la red comercial a través de los dispositivos personales de los miembros del equipo. Afortunadamente, se pueden abordar fácilmente con un enfoque dual de políticas y educación:

• La educación en toda la empresa sobre cómo detectar estafas de suplantación y otros tipos de malware(nueva ventana) ayudará a cada miembro del equipo a proteger su red comercial
• Una política de trabajo remoto y una política de traiga su propio dispositivo (BYOD) si es relevante para su negocio
• Un gestor de contraseñas comercial seguro asegurará que sus políticas de contraseñas se apliquen y que las credenciales sensibles estén almacenadas en una ubicación central, e incluso se puedan compartir de forma segura si es necesario.

“Las decisiones tempranas se convierten en valores por defecto permanentes”, dice Gary. “Los modelos de identidad, las ubicaciones de datos, el acceso de administrador y los estándares de dispositivos son increíblemente difíciles de deshacer más tarde, especialmente una vez que los clientes, inversores y reguladores están involucrados. La deuda de seguridad se acumula al igual que la deuda técnica. Es mucho más barato y menos disruptivo establecer buenas barreras temprano que modernizar los controles después de una vulneración, falla de auditoría o denegación de seguro cibernético.”

Los fundamentos de seguridad son más importantes que las herramientas

Las herramientas no son la única consideración que las empresas deben tener en cuenta al salir al mercado. Su infraestructura de TI dictará qué tan seguro pueden trabajar los miembros del equipo, qué tan bien puede detectar riesgos y qué tan rápido puede mitigar problemas.

Gary explica cómo los expertos de Power Consulting abordan la configuración de la infraestructura de TI y ciberseguridad para start-ups. “Nos enfocamos en los fundamentos antes que en las herramientas brillantes”.

• Configure políticas sólidas de gestión de identidad y acceso, incluidas MFA y “privilegio mínimo”, lo que significa que las personas solo deben tener acceso a los sistemas que necesitan.
• Asegure sus puntos finales, incluidos los dispositivos personales de los empleados, desde el día uno. El software de gestión de dispositivos puede ayudarlo a realizar un seguimiento de quién está iniciando sesión en su red y dónde.
• Utilice registros y monitoreo centralizados para que problemas como el acceso no autorizado o las vulneraciones de cuentas no pasen desapercibidos.
• Prepárese para un evento con herramientas adecuadas de copia de seguridad y recuperación, como copias de seguridad inmutables (que no se pueden cambiar después de haber sido creadas) o protección fuera del sitio donde los datos críticos se envían y almacenan lejos de su sitio comercial principal.

Al construir su negocio sobre fundamentos sólidos, en última instancia está invirtiendo en un negocio más seguro para su futuro. El tiempo que pase construyendo una infraestructura segura vale el dinero que guardará y el riesgo que evitará a largo plazo.

Tómese el tiempo para configurar adecuadamente

Gary recomienda centrarse en su arquitectura de identidad porque esta es el área con el mayor impacto en la seguridad. Cada miembro del equipo tiene una identidad digital que les permite acceder a los datos y herramientas que necesitan en su red comercial, y configurar esto bien hace toda la diferencia en el futuro.

“La mala arquitectura de identidad es la más difícil de deshacer: las cuentas compartidas, la débil adopción de MFA y demasiados administradores crean riesgos a largo plazo”, explica Gary. “La expansión de datos no estructurados es otro problema importante; una vez que los datos sensibles se dispersan en drives personales, bandejas de entrada de correo electrónico y aplicaciones SaaS no gestionadas, recuperar el control es doloroso. Finalmente, la falta de documentación y propiedad desde el principio conduce a confusión y puntos ciegos a medida que los equipos crecen”.