{"id":26906,"date":"2022-02-11T12:13:12","date_gmt":"2022-02-11T10:13:12","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26906"},"modified":"2022-02-11T12:13:12","modified_gmt":"2022-02-11T10:13:12","slug":"digital-mistakes-startups-2021","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/digital-mistakes-startups-2021\/26906\/","title":{"rendered":"Los errores de ciberseguridad m\u00e1s t\u00edpicos en las startups"},"content":{"rendered":"

En Internet hay m\u00e1s de un mill\u00f3n de consejos sobre c\u00f3mo mantener a flote una startup<\/em>. Como norma general, los asesores resaltan los problemas en la planificaci\u00f3n del negocio, la estrategia de marketing, la atracci\u00f3n de inversi\u00f3n adicional, etc., pero pocas veces se habla sobre el problema de desarrollar un sistema de ciberseguridad s\u00f3lido. Sin embargo, la falta de comprensi\u00f3n de las amenazas puede truncar a una empresa emergente un negocio potencialmente exitoso. Por ello, hoy vamos a hablar de los errores de ciberseguridad m\u00e1s comunes y, lo que es m\u00e1s importante, c\u00f3mo evitarlos.<\/p>\n

El origen del problema<\/h2>\n

Esta podr\u00eda ser la historia de cualquier startup<\/em>: tienes una idea brillante con un amigo, la analiz\u00e1is con vuestro c\u00edrculo m\u00e1s cercano y os hac\u00e9is con un grupo de entusiastas para conformar vuestro equipo ideal. Al menos, as\u00ed es c\u00f3mo comenzaron las historias de Airbnb, Pinterest, Twitter, Uber y muchos otros proyectos hoy famosos.<\/p>\n

Sin embargo, los problemas surgen cuando la startup<\/em> pasa de ser una idea inicial a desarrollar flujos de trabajo reales y contratar personal adicional. Aqu\u00ed es donde el peque\u00f1o grupo de personas afines se extiende y se convierte en un equipo de desconocidos con diferentes puntos de vista y experiencias de vida. Es este equipo, es posible que los empleados comprendan de manera muy diferente qu\u00e9 informaci\u00f3n se considerara confidencial y c\u00f3mo protegerla.<\/p>\n

Por ejemplo, imag\u00ednate que un empleado decide escribir la contrase\u00f1a de un servicio online<\/em> en una pizarra, de manera que, cuando la necesite alguien, pueda encontrarla r\u00e1pida y f\u00e1cilmente. Despu\u00e9s, otro miembro de la plantilla publica en una red social una selfie<\/em> en la oficina con la descripci\u00f3n \u201c\u00bfQui\u00e9n escribir\u00eda algo confidencial en una pizarra donde todo el mundo puede verlo?\u201d. Este tipo de malentendido es uno de los motivos por los que las startups<\/em> pueden experimentar problemas de ciberseguridad. Algo que puede resolverse con tan solo desarrollar una cultura de ciberseguridad corporativa.<\/p>\n

A su vez, los empleados de las startups<\/em> suelen ser personas entusiastas y aventureras que se enamoran de la idea y que muchas veces cambian r\u00e1pido de inter\u00e9s y se van. Adem\u00e1s, es muy frecuente que dependan de especialistas inform\u00e1ticos que tienden a ir de empresa a empresa durante varios a\u00f1os.<\/p>\n

La combinaci\u00f3n de estos dos factores puede crear una alta tasa de rotaci\u00f3n de personal. En estas condiciones, es posible que se multipliquen f\u00e1cilmente varios errores, sobre todo los relacionados con la ciberseguridad. Por lo tanto, es f\u00e1cil pasar por alto una ciberamenaza que podr\u00eda evitarse f\u00e1cilmente.<\/p>\n

Errores t\u00edpicos de ciberseguridad<\/h2>\n

Imag\u00ednate que no te has dado cuenta de que tu peque\u00f1a startup<\/em> se ha convertido en una empresa hecha y derecha. \u00bfQu\u00e9 errores de ciberseguridad podr\u00edas haber cometido hasta ahora?<\/p>\n

Conceder derechos de acceso excesivos<\/h3>\n

Con frecuencia, cuando un empleado de una startup necesita acceso a recursos corporativos o servicios, inmediatamente obtiene derechos de administrador. La persona que comparte estos derechos de acceso suele pensar que es m\u00e1s f\u00e1cil conceder acceso a todo de una sola vez, sin entender las necesidades reales de un empleado espec\u00edfico y sus responsabilidades, que tener nuevas solicitudes cada semana. Pero, cuantos m\u00e1s derechos de acceso tenga un empleado, la probabilidad de error es m\u00e1s grande. Si quieres minimizar la cantidad de ciberincidentes, cada participante del flujo de trabajo debe contar exclusivamente con los derechos de acceso que resulten necesarios para sus tareas.<\/p>\n

No imponer reglas para los sistemas de almacenamiento de informaci\u00f3n<\/h3>\n

En general, esto no es nada bueno para cualquier empresa. Pero en una startup<\/em>, debido a la ya mencionada rotaci\u00f3n de personal, es posible que un d\u00eda ya no puedas encontrar archivos de trabajo importantes. Lo m\u00e1s probable es que est\u00e9n en alg\u00fan lado, pero es un misterio saber exactamente d\u00f3nde. Es posible que un becario de desarrollo o marketing sepa d\u00f3nde estaban, pero se ha ido de la empresa y no se lo ha dicho a nadie.<\/p>\n

Perder contrase\u00f1as<\/h3>\n

Otro problema com\u00fan resulta cuando se pierden las contrase\u00f1as de redes sociales corporativas u otros servicios con muy poco uso. Un nuevo empleado podr\u00eda abrir una cuenta en Facebook o LinkedIn para ayudar a promover la empresa sin compartir la informaci\u00f3n de inicio de sesi\u00f3n con otros miembros del personal; despu\u00e9s podr\u00eda cambiar de puesto, por lo que ya te puedes despedir de las credenciales y es muy probable que no llegues a recuperarlas.<\/p>\n

Compartir contrase\u00f1as<\/h3>\n

Hay quien podr\u00eda pensar que con una tasa de rotaci\u00f3n de personal alta ser\u00eda una buena idea utilizar cuentas compartidas. Pero, cuantas m\u00e1s personas conozcan una contrase\u00f1a, es mucho m\u00e1s probable que esta se acabe filtrando debido a phishing<\/em>, negligencia o malas intenciones. Adem\u00e1s, esto complica mucho m\u00e1s la investigaci\u00f3n de un incidente, siempre y cuando este llegue a suceder. Vamos a suponer que alguien ha obtenido acceso a una cuenta; los expertos sospechan que la contrase\u00f1a ha sido interceptada por malware<\/em> y quieren revisar el ordenador de un empleado que tuvo acceso, pero, claro, \u00a1todos tuvieron acceso!<\/p>\n

Compartir contrase\u00f1as mediante servicios en la nube<\/h3>\n

Otro error relacionado con las contrase\u00f1as es almacenarlas en alg\u00fan archivo de Documentos de Google, que normalmente est\u00e1n configurados de manera que queden accesibles para cualquiera que tenga el enlace. La ventaja obvia es que, para transferir la informaci\u00f3n necesaria a todos los empleados, basta con poner todas las contrase\u00f1as en un documento y enviar el enlace. Sin embargo, estos documentos de Google pueden indexarse por los motores de b\u00fasqueda<\/a>. En otras palabras, el archivo con todas tus contrase\u00f1as podr\u00eda caer en las manos equivocadas.<\/p>\n

No utilizar la autentificaci\u00f3n en dos pasos<\/h3>\n

Algunos de los problemas asociados con las contrase\u00f1as ser\u00edan menos peligrosos si las startups<\/em> no se olvidaran de la autentificaci\u00f3n en dos pasos<\/a> a la hora de configurar las cuentas corporativas, ya que esto te permite proteger datos importantes de varios tipos de robo, como por ejemplo del phishing<\/em>. En primer lugar, la protecci\u00f3n en dos pasos debe estar presente en todos los servicios financieros, como en Upwork.<\/p>\n

Consejos para evitar ciberamenazas universales<\/h2>\n

Para evitar los errores \u201ct\u00edpicos\u201d que muchas peque\u00f1as empresas y startups<\/em> cometen, intenta seguir estos pasos:<\/p>\n