Por Pablo Esteban 
Hay algo curioso en el mundo de la ciberseguridad empresarial: la mayoría de los problemas no vienen de ataques extremadamente sofisticados ni de hackers con recursos ilimitados, sino de errores básicos que se repiten constantemente en empresas de todos los tamaños.
Errores que no se ven como errores.
Errores que forman parte del día a día.
Errores que, precisamente por ser tan comunes, se normalizan.
Y ahí está el verdadero problema.
Porque cuando algo se vuelve habitual, deja de cuestionarse. Y cuando deja de cuestionarse, deja de corregirse.
El error de base: pensar que la ciberseguridad es algo “extra”
Muchas empresas siguen tratando la seguridad como una capa adicional, algo que se añade cuando todo lo demás ya está funcionando.
Primero se monta la infraestructura. Luego se eligen las herramientas. Después se organiza el trabajo. Y solo al final, si hay tiempo o presupuesto, se piensa en seguridad.
Esto es exactamente al revés de cómo debería hacerse.
La seguridad no es un añadido. Es una condición.
Si construyes un sistema sin tener en cuenta la seguridad desde el principio, lo que tienes no es una empresa eficiente. Es una estructura frágil que funciona… hasta que deja de hacerlo.
Error 1: dar más acceso del necesario “por comodidad”
Este es, probablemente, el fallo más extendido.
Para evitar problemas, se da acceso completo a sistemas, carpetas o herramientas a empleados que no lo necesitan realmente. La lógica es simple: mejor que tengan de más que de menos.
A corto plazo, parece práctico. Nadie pierde tiempo pidiendo permisos.
A largo plazo, es un desastre.
Cuantas más personas tienen acceso a información crítica, más puntos de entrada existen. Y lo más importante: más difícil es controlar qué ocurre con esos datos.
El principio básico debería ser el contrario: cada usuario solo debería poder acceder a lo estrictamente necesario para su trabajo.
Todo lo demás es riesgo acumulado.
Error 2: no saber quién tiene acceso a qué
Relacionado con lo anterior, pero aún más grave.
En muchas empresas, si preguntas quién tiene acceso a determinados sistemas, la respuesta no es clara. Hay suposiciones, aproximaciones, pero no una certeza real.
Usuarios antiguos que siguen teniendo permisos, cuentas que no se han eliminado, accesos compartidos que nadie revisa.
Esto genera un entorno completamente opaco.
Y en seguridad, lo que no se controla, no existe… hasta que explota.
Error 3: confiar en que “el antivirus lo cubre todo”
Este es un clásico que sigue muy vivo.
Se instala un antivirus (muchas veces el que viene por defecto) y se asume que con eso la empresa está protegida.
Pero la realidad es que la mayoría de ataques actuales no dependen de ejecutar un virus tradicional. Utilizan credenciales robadas, ingeniería social, accesos legítimos mal utilizados.
Es decir, no necesitan romper la puerta si alguien se la abre.
El antivirus es una herramienta más, no una solución completa. Pensar lo contrario es quedarse en una visión de seguridad que ya no es suficiente.
Error 4: no actualizar por miedo a que “algo deje de funcionar”
Este error es especialmente común en entornos donde hay software crítico o equipos antiguos.
Se posponen actualizaciones porque “todo va bien” y nadie quiere arriesgarse a que algo falle.
Pero lo que se está haciendo en realidad es mantener abiertas vulnerabilidades conocidas.
Es como dejar una cerradura rota porque cambiarla puede ser incómodo.
Y el problema es que esas vulnerabilidades no son secretas. Son públicas. Están documentadas. Y son utilizadas activamente.
Error 5: no tener una estrategia real de copias de seguridad
No basta con tener copias. Esto es clave entenderlo.
Muchas empresas hacen backups automáticos y dan por hecho que están protegidas. Pero no verifican si esas copias son completas, si se pueden restaurar correctamente o cuánto tiempo tardarían en hacerlo.
Cuando ocurre un problema, descubren que:
- Las copias no incluyen todos los datos
- Están corruptas
- No hay versiones recientes
- Restaurar lleva demasiado tiempo
Y ahí ya no hay margen de maniobra.
Una copia de seguridad no es un archivo guardado. Es un sistema que tiene que funcionar cuando todo lo demás falla.
Error 6: no formar a los empleados porque “eso es cosa de IT”
Este es uno de los errores más peligrosos, porque afecta directamente al punto más atacado: las personas.
Los empleados son el primer filtro de seguridad, aunque muchas empresas no lo vean así.
Son quienes reciben correos sospechosos, quienes introducen contraseñas, quienes descargan archivos y quienes toman decisiones rápidas bajo presión.
Si no saben identificar riesgos básicos, no hay tecnología que lo compense.
Y lo más curioso es que muchas empresas invierten en herramientas caras, pero no dedican tiempo a algo tan básico como formar a su equipo.
Error 7: reutilizar contraseñas y no usar autenticación adicional
Aunque parezca repetido, sigue siendo un problema masivo.
Mismas contraseñas en múltiples servicios, claves compartidas entre usuarios, ausencia de autenticación en dos factores.
Cuando una credencial se filtra —y ocurre constantemente— el acceso no autorizado es inmediato.
No hace falta atacar el sistema. Solo hay que usar una llave que ya existe.
Error 8: no revisar nada… hasta que pasa algo
Este es el error silencioso.
No se revisan accesos, no se analizan registros, no se monitorizan comportamientos anómalos.
Todo se da por hecho.
Hasta que ocurre un incidente.
Y entonces empieza la investigación… cuando ya es demasiado tarde.
La seguridad no es solo protección. Es también observación.
Error 9: usar software sin control ni criterio
En muchas empresas, cada usuario instala lo que necesita sin ningún tipo de validación.
Herramientas gratuitas, programas descargados de cualquier sitio, extensiones de navegador desconocidas.
Cada una de esas decisiones puede introducir vulnerabilidades.
Y lo peor es que no hay visibilidad sobre ello.
No se sabe qué hay instalado, ni cómo se comporta, ni qué acceso tiene.
Error 10: pensar que “somos pequeños, no somos objetivo”
Este pensamiento sigue siendo increíblemente común.
Pero los ataques actuales no funcionan por interés personal. Funcionan por oportunidad.
Sistemas vulnerables, configuraciones débiles, accesos expuestos.
Si cumples esas condiciones, eres un objetivo. Da igual el tamaño de tu empresa.
Por qué estos errores siguen ocurriendo
Aquí está la parte importante.
No es falta de información. No es desconocimiento absoluto.
Es una mezcla de factores:
- Prioridad en el corto plazo sobre el largo
- Falta de estructura interna
- Crecimiento desordenado
- Exceso de confianza
- Subestimación del riesgo
Y, sobre todo, una idea equivocada: pensar que mientras no haya problemas visibles, no hay nada que corregir.
Cómo romper este ciclo sin complicarlo todo
No hace falta hacer cambios radicales de un día para otro.
Pero sí hace falta empezar por lo básico, bien hecho:
- Controlar quién accede a qué
- Revisar accesos periódicamente
- Mantener sistemas actualizados
- Tener copias de seguridad verificadas
- Formar al equipo
- Establecer normas claras
No es complejo. Pero requiere constancia.
Conclusión: el problema no es cometer errores, es repetirlos sin saberlo
Todas las empresas cometen errores.
Eso es inevitable.
Pero hay una diferencia enorme entre cometerlos una vez… o convertirlos en parte del funcionamiento habitual.
La ciberseguridad no va de hacerlo perfecto.
Va de ser consciente, corregir, mejorar y no dar por hecho que todo está bien solo porque no ha pasado nada todavía.
Porque cuando pasa, ya no estás aprendiendo.
Estás reaccionando.