Seguridad en el trabajo remoto para PYMEs
Riesgos reales del trabajo remoto y cómo mitigarlos: VPN, política BYOD, zero-trust explicado sin tecnicismos y checklist de onboarding y offboarding remoto seguro.
El trabajo remoto amplió la superficie de ataque
Antes de la pandemia, la seguridad corporativa tenía un modelo relativamente claro: había un perímetro físico (la oficina), una red controlada (la LAN corporativa), y dispositivos gestionados por TI. El modelo de seguridad podía asumir que todo lo que estaba dentro de ese perímetro era relativamente confiable.
El trabajo remoto eliminó ese perímetro. Hoy, los empleados de una PYME trabajan desde sus casas, desde cafeterías, desde el campo o desde el extranjero. Se conectan desde redes que la empresa no controla, usando dispositivos que pueden o no ser corporativos, y acceden a sistemas que antes solo estaban disponibles dentro de la oficina.
Esto no significa que el trabajo remoto sea inseguro por naturaleza: significa que requiere un enfoque de seguridad diferente. El objetivo de esta guía es darte ese enfoque de forma práctica.
Los riesgos específicos del trabajo remoto
Riesgo 1: Wi-Fi públicas y redes domésticas sin control
Una red Wi-Fi de cafetería, hotel o aeropuerto puede ser monitoreada por cualquier persona en la misma red. Alguien con herramientas básicas puede interceptar tráfico no cifrado, como formularios web sin HTTPS, credenciales transmitidas sin cifrado o datos de aplicaciones mal configuradas.
Las redes domésticas son más seguras que las redes públicas, pero tampoco están bajo el control de la empresa. Si un familiar descarga malware en la misma red, puede afectar el dispositivo del empleado. El router doméstico puede tener firmware desactualizado con vulnerabilidades conocidas.
Riesgo 2: Dispositivos personales (BYOD)
Cuando un empleado usa su computador personal para trabajar, la empresa pierde visibilidad y control sobre ese dispositivo:
- No sabe qué software está instalado (puede haber adware, software pirateado o malware)
- No puede aplicar políticas de seguridad corporativas
- No puede borrar datos corporativos de ese dispositivo si el empleado se va
- El dispositivo puede estar compartido con familiares que no tienen las mismas precauciones
Riesgo 3: Phishing dirigido a trabajadores remotos
Los trabajadores remotos son objetivos más atractivos para el phishing porque:
- Están aislados del equipo y no pueden verificar una solicitud de viva voz fácilmente
- Dependen más del correo y chat para comunicarse, aumentando su exposición
- Pueden tener la guardia baja en un ambiente relajado (en casa, en pijama)
- Los atacantes saben que las empresas con trabajo remoto tienen perímetros más porosos
Los ataques BEC (Business Email Compromise) son especialmente efectivos en contextos remotos: un atacante se hace pasar por el gerente y pide por correo una transferencia urgente. El empleado no puede levantar la vista para confirmar.
Riesgo 4: Shadow IT potenciado
Cuando los empleados trabajan de forma remota, tienen más autonomía y tendencia a usar las herramientas que les resultan más cómodas. Esto resulta en un proliferación de servicios no autorizados: herramientas de transferencia de archivos, aplicaciones de notas, plataformas de videoconferencia alternativas, servicios de almacenamiento personal.
Cada herramienta no autorizada es un canal de datos corporativos fuera del control de la empresa.
El eslabón más débil no es el firewall: es el humano
El 85% de los incidentes de seguridad involucran error humano. En el trabajo remoto, ese error humano ocurre en un entorno con menos controles técnicos y menos supervisión. La capacitación en seguridad no es opcional.
VPN: cuándo la necesitas y cuándo no
Qué hace una VPN
Una VPN (Red Privada Virtual) crea un túnel cifrado entre el dispositivo del empleado e internet (o la red corporativa). Todo el tráfico viaja por ese túnel, lo que hace que:
- El operador de la red Wi-Fi no pueda ver qué hace el empleado
- Los atacantes en la misma red no puedan interceptar el tráfico
- La empresa pueda controlar el acceso a recursos internos desde el exterior
Cuándo necesitas una VPN corporativa
Definitivamente sí necesitas VPN si:
- Tienes servidores físicos en la oficina que los empleados remotos deben acceder (ERP instalado localmente, NAS, servidor de archivos)
- Tienes sistemas críticos que solo deben ser accesibles desde la red corporativa por política
- Tu empresa trabaja en industrias reguladas (salud, finanzas) con requisitos de que el tráfico esté cifrado y controlado
- Los empleados se conectan regularmente desde redes públicas (cafeterías, hoteles)
Puede ser que no necesites VPN corporativa si:
- Toda tu infraestructura está en la nube (Microsoft 365, Google Workspace, SaaS) con MFA activado
- Los empleados trabajan principalmente desde casa (red propia, más segura que pública)
- Ya tienes acceso condicional (Conditional Access) configurado en tus sistemas cloud
Cómo elegir una VPN para empresas
No uses VPNs personales gratuitas para trabajo corporativo. Las VPNs gratuitas muchas veces monetizan vendiendo datos de tráfico o tienen seguridad deficiente.
| Solución | Para quién | Costo aproximado | Destacado |
|---|---|---|---|
| Tailscale | PYMEs con pocos usuarios técnicos | Gratis hasta 3 usuarios, ~$5 USD/mes/usuario después | Facilísimo de configurar, usa WireGuard |
| Cloudflare Zero Trust | PYMEs modernas con todo en la nube | Gratis hasta 50 usuarios | Incluye más que VPN tradicional |
| NordLayer (ex NordVPN Teams) | PYMEs que quieren solución llave en mano | ~$8-11 USD/usuario/mes | Fácil de administrar, buena reputación |
| Cisco AnyConnect | Empresas medianas/grandes | $35-50 USD/usuario/año | Estándar empresarial, robusto |
| WireGuard (self-hosted) | Con soporte TI interno | Costo del servidor | Máximo rendimiento y control |
Política BYOD vs dispositivos corporativos
El debate BYOD
BYOD (Bring Your Own Device, “trae tu propio dispositivo”) es la práctica de permitir que los empleados usen sus equipos personales para el trabajo. Es atractiva por el costo cero en hardware, pero tiene implicaciones de seguridad y legales.
Argumentos a favor del BYOD:
- Ahorro en hardware corporativo
- Los empleados conocen y están cómodos con sus propios dispositivos
- Menor fricción en empresas donde el trabajo remoto es parcial
Argumentos en contra del BYOD:
- Pérdida total de visibilidad y control sobre el dispositivo
- Dificultad para separar datos personales y corporativos
- Problemas legales si la empresa necesita borrar datos del dispositivo (que es propiedad personal)
- Resistencia del empleado a instalar software de gestión en su equipo personal
La política BYOD mínima que debes tener si lo permites
Si decides permitir BYOD, necesitas una política escrita que los empleados acepten antes de usar su dispositivo para trabajo. Esta política debe incluir:
- Requisitos técnicos mínimos: sistema operativo actualizado, antivirus activo, disco cifrado, pantalla con PIN/contraseña
- Software prohibido: aplicaciones de entretenimiento en dispositivos que acceden a sistemas corporativos durante el trabajo, software pirateado
- Derecho de la empresa a borrar datos corporativos: si el empleado sale o pierde el dispositivo, la empresa puede eliminar el contenido corporativo (usando MDM)
- Uso aceptable: qué sistemas y datos puede acceder el empleado desde su equipo personal
- Reporte de pérdida o robo: el empleado debe reportar inmediatamente si pierde el dispositivo
Solución intermedia: dispositivos corporativos sin opción BYOD
Para la mayoría de las PYMEs con trabajo remoto significativo, la recomendación es proporcionar dispositivos corporativos. El costo es real pero da control completo:
- La empresa instala el software que quiere
- Puede aplicar políticas de seguridad (BitLocker, gestión de actualizaciones)
- Puede borrar el equipo de forma remota si se pierde
- El empleado no tiene acceso a datos corporativos desde dispositivos no gestionados
- Al terminar la relación laboral, recuperas el equipo y con él todos los datos
MDM: gestión de dispositivos móviles
Si tienes dispositivos corporativos (o incluso si permites BYOD con condiciones), considera un sistema de MDM (Mobile Device Management). Permite:
- Instalar y actualizar software remotamente
- Aplicar configuraciones de seguridad en todos los dispositivos
- Ver qué dispositivos están en la red
- Borrar un dispositivo remotamente si se pierde o roba
- Separar el espacio de trabajo del personal en dispositivos BYOD
Opciones accesibles para PYMEs:
- Microsoft Intune (incluido en Microsoft 365 Business Premium)
- Jamf (especializado en Mac y iOS)
- Mosyle (alternativa a Jamf para Apple, más económica)
- Google Workspace incluye gestión básica de dispositivos Android y Chrome OS
Zero-trust: el concepto que necesitas entender
La idea central en términos simples
El modelo de seguridad tradicional funciona como un castillo: si estás dentro del perímetro (la red corporativa), se confía en ti automáticamente. El zero-trust invierte esa lógica: nunca confíes, siempre verifica, sin importar desde dónde te conectes.
En un entorno zero-trust, el hecho de que alguien esté en la oficina no le da acceso automático a nada. Cada solicitud de acceso se verifica contra criterios definidos: ¿quién eres? ¿desde qué dispositivo? ¿desde dónde? ¿a qué hora? ¿tienes razón para acceder a esto?
Por qué zero-trust tiene sentido para el trabajo remoto
En el modelo tradicional, un atacante que compromete un dispositivo de un empleado remoto (que ya está “dentro” gracias a la VPN) tiene acceso a todo lo que ese empleado puede acceder. En zero-trust, ese acceso está limitado exactamente a lo que el empleado necesita para su trabajo.
Zero-trust en la práctica para PYMEs
No necesitas implementar un sistema zero-trust completo de una vez. Estos tres pasos te dan la mayoría del beneficio:
1. MFA en todos los sistemas: la verificación de identidad es el primer pilar de zero-trust. Si ya implementaste MFA, ya estás en el camino.
2. Acceso de mínimo privilegio: cada usuario y cada sistema debe tener acceso solo a lo que necesita para su función, no más. El vendedor no necesita acceso a la nómina. El diseñador no necesita acceso a la base de datos de clientes completa.
3. Acceso Condicional (si tienes Microsoft 365 Business Premium o Google Workspace Enterprise): permite definir reglas como “solo acepta logins desde países donde opera la empresa”, “exige MFA adicional si el dispositivo no es corporativo” o “bloquea acceso desde dispositivos sin antivirus actualizado”.
Zero-trust no es un producto, es una filosofía
No necesitas comprar un sistema etiquetado como “zero-trust”. El concepto se implementa gradualmente combinando herramientas que probablemente ya tienes: MFA, gestión de accesos, registros de auditoría y segmentación de permisos.
Checklist de onboarding remoto seguro
Cuando integras a un nuevo empleado que trabajará de forma remota, usa esta lista para asegurar que el acceso está correctamente configurado desde el primer día:
Antes del primer día
- Dispositivo corporativo preparado con SO actualizado, antivirus y cifrado de disco activado
- Cuenta corporativa creada en el directorio (Microsoft AD o Google Workspace)
- MFA activado para la cuenta nueva antes de entregarla
- Accesos creados solo a los sistemas que necesita (mínimo privilegio)
- Contraseña inicial generada y en el gestor de contraseñas corporativo
- Política de seguridad de trabajo remoto enviada para firma
El primer día
- Sesión de onboarding con demostración de: VPN, gestor de contraseñas, herramientas de comunicación corporativas
- El empleado cambia su contraseña inicial en la primera sesión
- El empleado configura MFA en su cuenta
- El empleado lee y firma la política de uso aceptable / trabajo remoto
- El empleado queda registrado en el inventario de activos y accesos
Durante las primeras semanas
- Capacitación básica de phishing (cómo reconocerlo, qué hacer si sospechas)
- Confirmación de que el dispositivo está aplicando actualizaciones automáticamente
- Verificar que el backup de los archivos de trabajo está activo
Checklist de offboarding remoto seguro
Este es el proceso más crítico y el más frecuentemente incompleto. Cuando un empleado deja la empresa, debes revocar todos sus accesos de forma ordenada y rápida.
Actúa el mismo día que termina la relación laboral
La revocación de accesos debe ocurrir el mismo día en que termina la relación laboral, no después. Cada día de retraso es un riesgo real.
Inmediatamente (el mismo día)
- Deshabilitar la cuenta en el directorio corporativo (Microsoft AD / Google Workspace)
- Cerrar todas las sesiones activas de la cuenta (revocar tokens)
- Revocar acceso al gestor de contraseñas corporativo
- Cambiar contraseñas de las cuentas compartidas que el empleado conocía
- Revocar acceso a sistemas críticos: ERP, banca en línea, sistemas de facturación
- Revocar acceso a redes sociales corporativas si tenía
Dentro de las primeras 24 horas
- Revocar acceso al correo corporativo (y configurar respuesta automática si es necesario)
- Recuperar el dispositivo corporativo y limpiarlo (borrado seguro o reasignación)
- Revisar qué archivos compartió o exportó en los últimos días (señal de alerta si hubo descargas masivas)
- Revocar acceso VPN
- Eliminar certificados digitales emitidos a su nombre
Dentro de los primeros 7 días
- Revisar todas las herramientas SaaS y revocar acceso donde no se haya hecho automáticamente
- Verificar que no queden accesos activos en sistemas de terceros (cPanel, AWS, GCP, etc.)
- Reasignar la cuenta de correo o configurar reenvío según política de la empresa
- Actualizar el inventario de activos y accesos
Política de trabajo remoto: los elementos mínimos
Si permites trabajo remoto, debes tener una política escrita que los empleados conozcan y firmen. Los elementos mínimos:
- Dispositivos aprobados: qué dispositivos pueden usarse (corporativos, BYOD con condiciones, no BYOD)
- Redes aprobadas: se puede trabajar desde casa, desde redes públicas solo con VPN, etc.
- Software aprobado: qué herramientas pueden instalarse en dispositivos de trabajo
- Manejo de información confidencial: qué datos no deben almacenarse localmente, cómo compartir archivos sensibles
- Reporte de incidentes: qué hacer si se pierde el dispositivo, si se detecta acceso no autorizado, si cae en phishing
- Separación de vida personal y laboral: especialmente en BYOD, qué usos personales están permitidos o no en los dispositivos de trabajo
La política no necesita ser un documento de 50 páginas. Una página clara y directa que el empleado pueda leer en 5 minutos y que realmente entienda es mejor que un tratado legal que nadie lee.
Por dónde empezar si partes desde cero
Si tu empresa tiene trabajo remoto pero no tiene ninguna de las medidas descritas aquí, la prioridad es:
- MFA en todas las cuentas (la semana que viene, no el próximo mes)
- Gestor de contraseñas corporativo (para dejar de compartir claves por WhatsApp)
- Política de trabajo remoto escrita (aunque sea una página)
- VPN si tienes servidores locales o empleados que trabajan frecuentemente desde redes públicas
- MDM cuando tengas 10+ dispositivos que gestionar
El trabajo remoto seguro no es un proyecto de 6 meses: es una serie de mejoras que puedes implementar de forma gradual, comenzando esta semana con lo más impactante.