Los errores de ciberseguridad que cometen las startups tecnológicas, según un experto

Si hay algo que tu startup tecnológica debería aprender de 2025, es que ningún negocio es demasiado pequeño para ser un objetivo de los ciberdelincuentes. De hecho, las pymes son ahora perspectivas más atractivas para el ransomware que las empresas heredadas, gracias a sus recursos limitados y valiosos datos de clientes.

A menudo, las startups carecen del conocimiento o los recursos que necesitan para tomar buenas decisiones al principio de sus negocios. Nos pusimos en contacto con un experto en seguridad de TI que trabaja frecuentemente con startups tecnológicas para obtener información sobre lo que las empresas necesitan saber cuando recién comienzan.

Gary Power, director de operaciones y director de servicios al cliente en Power Consulting(ventana nueva), tiene 25 años de experiencia en la industria de TI subcontratada. Power Consulting trabaja en estrecha colaboración con empresas de todos los tamaños en todas las industrias, proporcionando servicios que incluyen servicios de TI gestionados, planificación estratégica de TI y auditorías y servicios de ciberseguridad.

Hablamos con Gary para entender dónde están cometiendo errores las startups tecnológicas al principio de sus negocios.

Tu negocio no es demasiado pequeño para las medidas de ciberseguridad

Usando nuestro Observatorio de filtraciones de datos, Proton rastreó datos comerciales filtrados en la dark web para comprender a quién atacaban los hackers y cómo se vulneraban las empresas. Descubrimos 794 vulneraciones, totalizando más de 300 millones de registros filtrados, y se hizo obvio que las organizaciones más pequeñas están cada vez más en riesgo.

Tu negocio puede beneficiarse al examinar cómo y por qué otras empresas se han visto afectadas por vulneraciones de datos. La información obtenida del Observatorio de filtraciones de datos, así como nuestras recomendaciones de ciberseguridad para startups tecnológicas, se pueden encontrar en nuestro último libro electrónico, Las vulneraciones que rompieron 2025.

Descargar el libro electrónico

Ya sea que su gestión de credenciales se quedara corta, o no utilizaran medidas de protección como el cifrado de extremo a extremo, parece que las pymes están cometiendo errores cruciales en sus prácticas de seguridad. Y si las pequeñas empresas siguen siendo vulnerables a las ciberamenazas, en última instancia dañará a las industrias y la innovación en todo el mundo al limitar el crecimiento empresarial.

Gary señala que una parte clave de proteger adecuadamente tu negocio es cambiar tu mentalidad cuando se trata de las medidas de seguridad que empleas.

“Al principio, los fundadores suelen hacer preguntas reactivas como ‘¿Necesitamos esto?’ o ‘¿Es esto excesivo para nuestro tamaño?’ A medida que maduran, las preguntas cambian a ‘¿Qué nos impediría realmente ser vulnerados?’ y ‘¿Cómo escalamos de forma segura sin ralentizar el negocio?’”

En lugar de omitir pasos a medida que tu negocio se establece, invierte desde el principio en tu ciberseguridad. Después de todo, como dice Gary: “Los fundadores más exitosos se dan cuenta de que la seguridad es un habilitador, no un obstáculo.”

Las herramientas heredadas no son automáticamente seguras

Cuando llega el momento de elegir las herramientas, como las soluciones de correo electrónico, Drive y gestor de contraseñas que usará tu negocio, tu elección marca una gran diferencia. Gary advierte contra asumir que las soluciones populares y modernas serán automáticamente la opción más segura.

“El mayor punto ciego es asumir que la seguridad es ‘implícita’ porque están usando herramientas modernas o plataformas en la nube. Los fundadores a menudo creen que Microsoft 365, Google Workspace o AWS equivalen automáticamente a seguro. En realidad, la mayoría de las vulneraciones provienen de una mala configuración, controles de identidad débiles, mala higiene de acceso y falta de monitorización, no de técnicas de hacking exóticas.”

Esto puede no sonar positivo, pero lo es: Es mucho más difícil predecir y prevenir técnicas de hacking sofisticadas que construir prácticas sólidas de gestión de identidad y monitorización dentro de tu red. Los problemas que destaca Gary se pueden abordar utilizando lo siguiente:

• Prácticas exhaustivas de seguridad de aplicaciones web que te permitan identificar y mitigar amenazas potenciales a tu entorno.
• Medidas de gestión de identidad como inicio de sesión único (SSO) y autenticación de dos factores (2FA) que protegen tu red empresarial mientras hacen que sea más fácil y seguro para los miembros del equipo acceder a tu red empresarial.
• La monitorización de la dark web es una herramienta útil que puede informarte si alguno de tus datos comerciales aparece en la dark web, permitiéndote actuar rápidamente y evitar una vulneración de datos.

El error humano es una amenaza seria

No importa si tus herramientas son seguras si no se usan de forma segura. El error humano es en realidad una de las mayores amenazas de ciberseguridad de tu negocio. Las superficies de ataque están creciendo exponencialmente gracias a la complejidad de las redes empresariales modernas, lo que requiere que los miembros del equipo creen docenas de cuentas con contraseñas únicas y potencialmente accedan a estas cuentas desde sus dispositivos personales.

“Otro gran fallo es subestimar el riesgo humano: la suplantación, la reutilización de credenciales y los dispositivos no gestionados suelen ser la puerta de entrada.“

Estos riesgos pueden atribuirse a la falta de conciencia en ciberseguridad y expectativas poco claras sobre cómo o si se puede acceder a tu red empresarial a través de los dispositivos personales de los miembros del equipo. Afortunadamente, se pueden abordar fácilmente con un enfoque dual de políticas y educación:

• La educación en toda la empresa sobre cómo detectar estafas de suplantación y otros tipos de malware(ventana nueva) ayudará a cada miembro del equipo a proteger tu red empresarial
• Una política de teletrabajo y una política de trae tu propio dispositivo (BYOD) si es relevante para tu negocio
• Un gestor de contraseñas empresarial seguro garantizará que se apliquen tus políticas de contraseñas y que las credenciales sensibles se almacenen en una ubicación central, e incluso se puedan compartir de forma segura si es necesario.

“Las decisiones tempranas se convierten en valores predeterminados permanentes”, dice Gary. “Los modelos de identidad, las ubicaciones de datos, el acceso de administrador y los estándares de dispositivos son increíblemente difíciles de deshacer más tarde, especialmente una vez que los clientes, inversores y reguladores están involucrados. La deuda de seguridad se acumula igual que la deuda técnica. Es mucho más barato y menos disruptivo establecer buenas barandillas temprano que adaptar controles después de una vulneración, fallo de auditoría o denegación de seguro cibernético.”

Los fundamentos de seguridad son más importantes que las herramientas

Las herramientas no son la única consideración que las empresas deben hacer al salir al mercado. Tu infraestructura de TI dictará con qué seguridad pueden trabajar los miembros del equipo, qué tan bien puedes detectar riesgos y qué tan rápido puedes mitigar problemas.

Gary explica cómo los expertos de Power Consulting abordan la configuración de la infraestructura de TI y ciberseguridad para startups. “Nos centramos en los fundamentos antes que en las herramientas brillantes.”

• Configura políticas sólidas de gestión de identidad y acceso, incluido MFA y “privilegio mínimo”, lo que significa que las personas solo deben tener acceso a los sistemas que necesitan.
• Asegura tus puntos de conexión, incluidos los dispositivos personales de los empleados, desde el primer día. El software de gestión de dispositivos puede ayudarte a realizar un seguimiento de quién está registrándose en tu red y dónde.
• Usa registro y monitorización centralizados para que problemas como el acceso no autorizado o las vulneraciones de cuentas no pasen desapercibidos.
• Prepárate para un evento con herramientas adecuadas de copia de seguridad y recuperación, como copias de seguridad inmutables (que no se pueden cambiar después de haber sido creadas) o protección fuera del sitio donde los datos críticos se envían y almacenan lejos de tu sitio comercial principal.

Al construir tu negocio sobre fundamentos sólidos, en última instancia estás invirtiendo en un negocio más seguro para tu futuro. El tiempo que pases construyendo una infraestructura segura vale el dinero que guardarás y el riesgo que evitarás a largo plazo.

Tómate el tiempo para configurar correctamente

Gary recomienda centrarse en tu arquitectura de identidad porque esta es el área con el mayor impacto en la seguridad. Cada miembro del equipo tiene una identidad digital que les permite acceder a los datos y herramientas que necesitan en tu red empresarial, y configurar esto bien marca toda la diferencia a futuro.

“Una arquitectura de identidad deficiente es la más difícil de deshacer: cuentas compartidas, adopción débil de MFA y demasiados administradores crean riesgos a largo plazo”, explica Gary. “La expansión de datos no estructurados es otro problema importante; una vez que los datos sensibles están dispersos en unidades personales, bandejas de entrada de correo electrónico y aplicaciones SaaS no gestionadas, recuperar el control es doloroso. Finalmente, la falta de documentación y propiedad desde el principio conduce a confusión y puntos ciegos a medida que los equipos crecen.”