Ciudadanía Digital Segura: El Escudo de la Información en la Empresa

Introducción: entendiendo nuestro escudo, más allá de los bits

Bienvenido a estas memorias. Si estás leyendo esto, es porque has decidido dar un paso fundamental: dejar de ser un usuario pasivo de la tecnología para convertirte en un agente activo de seguridad.

En Skina IT Solutions, estamos convencidos de que la ciberseguridad no es un asunto exclusivo de "los de sistemas". La seguridad es una construcción colectiva. A lo largo de estas 12 horas de formación, transformaremos conceptos técnicos complejos en herramientas cotidianas para proteger lo más valioso que tenemos: nuestra información y nuestra tranquilidad.

¿Qué vamos a aprender?

Este curso no busca enseñarte a programar, sino a observar. A través de cuatro sesiones, recorreremos desde la base de la norma ISO 27001 (nuestra "Constitución" de seguridad), pasando por la detección de engaños como el Phishing, hasta el uso de herramientas de protección como el cifrado y la inteligencia artificial. Aprenderás a identificar cuándo un correo es una trampa, cómo crear contraseñas que nadie olvide pero nadie adivine, y qué hacer cuando sientas que algo "anda mal" en tu equipo.

Ciberseguridad vs. Seguridad de la Información: Dos caras de la misma moneda

A menudo usamos estos términos como sinónimos, pero es vital entender su alcance:

1. Seguridad de la Información: Es el concepto macro. Protege los datos en cualquier formato. Si dejas una carpeta con la nómina sobre el escritorio o hablas de una estrategia confidencial en un ascensor, estás vulnerando la seguridad de la información. No importa si es papel, una conversación o un archivo Excel; el valor reside en el contenido, no en el envase.

2. Ciberseguridad: Es la disciplina que protege la información en el entorno digital. Se enfoca en los sistemas, las redes y los dispositivos que procesan esos datos. Es el muro de fuego que evita que un intruso entre a tu servidor desde el otro lado del mundo.

La vulnerabilidad de lo intangible: El caso de la Reputación

Solemos pensar que los hackers solo buscan dinero o contraseñas. Sin embargo, la seguridad moderna va mucho más allá de los activos físicos o digitales. Existe un activo crítico que no se puede "encriptar" en el sentido tradicional, pero que es extremadamente vulnerable a través de las Tecnologías de la Información y las Comunicaciones (TIC): la Reputación.

Hoy en día, un error de seguridad puede desencadenar un boicot en redes sociales o una crisis de relaciones públicas. Considera lo siguiente:

• Una foto "inocente" de una oficina donde se alcanza a ver un tablero con nombres de clientes o de un niño con el uniforme del colegio frente a la puerta de la casa donde se ve la dirección y con un automóvil en el fondo donde se puede ver la matrícula del vehículo.

• Un comentario malinterpretado en un chat que se filtra.

• La suplantación de la identidad de un directivo para publicar información falsa.

Un ataque a la reputación puede destruir en minutos la confianza que una empresa tardó décadas en construir. Por eso, este curso también trata sobre la prudencia digital. Aprenderemos que cuidar lo que publicamos en WhatsApp o redes sociales es tan importante como cerrar con llave la oficina, porque hoy, nuestra imagen pública vive (y puede morir) en la red.

El "Trípode" que sostiene tu trabajo

Todo lo que veremos se apoya en tres pilares que debes memorizar, pues son la brújula de cualquier decisión de seguridad:

• Confidencialidad: ¿Solo las personas autorizadas pueden ver esto? ¿Estoy seguro de que la información está siendo enviada a quien quiero que le llegue?

• Integridad: ¿La información es exacta, completa, precisa y no ha sido alterada por nadie?

• Disponibilidad: ¿Puedo acceder a la información cuando la necesito? ¿la podré recuperar si se me pierde o se me daña?

Si alguno de estos pilares falla, el escudo se rompe. En las siguientes páginas de estas memorias, exploraremos cómo fortalecer cada uno de ellos en tu día a día.

¡Comencemos el viaje hacia una cultura de seguridad soberana!

“En seguridad, el eslabón más débil no es el usuario; es el usuario que no ha sido capacitado.” – Equipo de Capacitación, Skina IT Solutions.

El Valor de lo Invisible y el Marco de Gestión

¿Por qué proteger lo que no se ve es nuestra mejor inversión?

Existe una frase peligrosa que escuchamos a diario en las oficinas: "Yo no manejo nada importante, a mí qué me van a hackear". Esta idea es el equivalente digital a dejar la puerta de la casa abierta porque "no tenemos joyas". En la era actual, la ciberseguridad no trata solo de proteger secretos de Estado; trata de proteger tu día a día, tu tranquilidad y tu identidad.

El inventario de tu vida digital: Eres más valioso de lo que crees

Cuando pensamos en activos, solemos pensar en dinero. Pero para un ciberdelincuente, tú eres un conjunto de herramientas y puertas:

• Tus dispositivos son "rehenes" potenciales: Tu celular, tu impresora, la cámara de tu portátil o incluso tu red Wi-Fi doméstica pueden ser utilizados por un tercero sin tu permiso. No siempre quieren tu información; a veces solo quieren "alquilar" tu procesador o tu conexión para atacar a otros, dejándote a ti con las consecuencias legales o el equipo bloqueado.

• Tus archivos son tu historia: Fotos familiares, documentos personales y datos bancarios tienen un valor sentimental y financiero incalculable. El secuestro de esta información (Ransomware) es hoy uno de los delitos más lucrativos del mundo.

• Tu activo más crítico: Tú mismo: Tu reputación profesional y tu bienestar mental son vulnerables. Un correo falso enviado desde tu cuenta puede destruir años de confianza con un cliente o un jefe en segundos.

Las tres reglas de oro (La Tríada CID)

Para gestionar profesionalmente esta seguridad, las organizaciones se basan en tres pilares que tú también puedes aplicar:

1. Confidencialidad: Que solo quien debe ver la información, la vea. Es el equivalente a un sobre sellado.

2. Integridad: Que la información no cambie por el camino. Si envías un reporte, que llegue exactamente como lo escribiste.

3. Disponibilidad: Que el dato esté ahí cuando lo necesites. De nada sirve tener la mejor base de datos si el sistema se cae justo el día de pago.

A esto se suma la Privacidad (protegida en Colombia por la Ley 1581), que nos obliga a tratar los datos de los demás con el mismo respeto con el que queremos que traten los nuestros.

¿Cómo lo hace la empresa? (El sistema de "candados")

Seguramente has escuchado el término SGSI. No es más que un "Manual de Reglas" (basado en la norma internacional ISO 27001) que nos dice cómo cuidar la información. Para llevarlo a la práctica, usamos la guía ISO 27002, que funciona como un catálogo de "candados":

• Candados físicos: Cámaras, llaves y guardias.

• Candados lógicos: Antivirus, muros de fuego y contraseñas.

¿Quién eres y qué puedes hacer?

En el mundo digital, no basta con decir quién eres. La Gestión de Identidad se divide en tres pasos que a veces confundimos:

1. Identificación: Es cuando das tu nombre de usuario (dices quién eres).

2. Autenticación: Es cuando lo demuestras (con tu clave, huella o rostro).

3. Autorización: Es el permiso final. Una vez que entras, ¿puedes solo leer el archivo o también puedes borrarlo?

El valor del "No Repudio": Es la capacidad de demostrar que una acción ocurrió. Es tu seguro de vida: permite probar que tú sí enviaste algo importante o, mejor aún, probar que no fuiste tú quien borró esa carpeta crítica.

El costo de un descuido

Un incidente de seguridad no es solo un "error de sistemas". A nivel personal, puede significar el robo de tus ahorros o la suplantación de tu identidad. A nivel organizacional, puede llevar a multas millonarias, despidos y la quiebra de la confianza de los clientes. La seguridad no es un estorbo en tu trabajo; es la garantía de que mañana podrás seguir haciéndolo.

Vulnerabilidades: El Factor Humano y el Entorno

En el marco de la gestión del riesgo humano, los incidentes de seguridad rara vez se originan por una falla técnica aislada; por el contrario, suelen ser el resultado de vulnerabilidades conductuales. Siguiendo la lógica de la "pelota de plastilina", estas características eliminan la elasticidad del sistema, permitiendo que la energía del ataque deforme permanentemente la integridad de la organización.

Al realizar una supervisión basada en riesgos, es vital entender que el "Castillo de Naipes" no solo cae por ataques externos, sino porque la base conductual de los usuarios es inestable. Una cultura organizacional resiliente debe trabajar en convertir estas vulnerabilidades en fortalezas de vigilancia, asegurando que el factor humano sea una zona de absorción de energía y no el punto de fractura del sistema.

A continuación, se enumeran y analizan las vulnerabilidades conductuales solicitadas, bajo una óptica de ciberresiliencia:

Desorden (Falta de Higiene Digital)

El desorden en la gestión de activos y datos crea "puntos ciegos" en la telemetría. Un usuario desordenado acumula información sensible en dispositivos no autorizados, mantiene sesiones abiertas innecesariamente o utiliza estructuras de archivos caóticas que impiden la detección de anomalías.

Riesgo:

Facilita la exfiltración silenciosa de datos, ya que la entidad no tiene claridad sobre qué información reside en qué lugar.

Expresión de la vulnerabilidad:

• No saber qué información manejamos ni en qué forma o dispositivos se encuentra.

• Deshacerse de documentos o dispositivos sin asegurarse de borrar la información confidencial. (Relacionado también con Descuido).

• No limpiar periódicamente los equipos.

• Tener las copias de seguridad en el mismo dispositivo de la información respaldada.

Complacencia (Efecto de "Falsa Seguridad")

Ocurre cuando el usuario, tras un periodo prolongado sin incidentes, asume que los controles son infalibles o que no es un objetivo atractivo para los atacantes. Es la creencia de que el "blindaje" es eterno.

Riesgo:

El usuario deja de validar la autenticidad de correos o enlaces, ignorando señales de alerta que en un estado de vigilancia normal serían evidentes. La complacencia es el habitáculo perfecto para el phishing.

Expresión de la vulnerabilidad:

• Pensar que la seguridad de la información es problema de los de IT.

• Creer que nuestros activos no le interesan al delincuente.

• No actualizar el software. (Relacionado también con Descuido).

• Mantener las claves sin cambiar durante mucho tiempo.

Descuido (Omisión de Protocolos)

A diferencia del desorden, el descuido es una falta de atención activa hacia las normas de seguridad establecidas (como el bloqueo de pantalla al levantarse del puesto o el uso de redes Wi-Fi públicas para acceder al Core bancario).

Riesgo:

Genera brechas de oportunidad que los atacantes aprovechan mediante ingeniería social o acceso físico no autorizado. Representa una fisura en el "muro" que no requiere una escalera costosa para ser saltada.

Expresión de la vulnerabilidad:

• Dejar documentos confidenciales a la vista o a la mano.

• Dejar pantallas con software activo desatendidas o post-it con las claves pegadas. (Relacionado también con Irreverencia).

• Digitar claves sin tapar el teclado o patrones sin tapar la pantalla.

• Comer o beber en la oficina exponiendo los dispositivos.

• Utilizar contraseñas débiles fáciles de adivinar.

• Descuidar las tarjetas al pagar o cargarlas sin protección física.

• No verificar por duplicado a quién le estamos enviando información.

Confianza (Exceso de Credulidad)

La confianza excesiva en terceros o en la apariencia de legitimidad de las herramientas tecnológicas es la base del éxito de la ingeniería social. El usuario asume que, si una comunicación parece provenir de una autoridad o de un sistema conocido, es intrínsecamente segura.

Riesgo:

El atacante utiliza esta vulnerabilidad para obtener credenciales o autorizar transacciones fraudulentas sin necesidad de vulnerar el sistema técnico, manipulando directamente el "eslabón" humano.

Expresión de la vulnerabilidad:

• Dejar entrar por la puerta a una persona con manos ocupadas para ayudarle. (Nota: Es la base del Tailgating).

• Conectarnos a redes Wi-Fi públicas para transacciones sensibles.

• Enchufar nuestros dispositivos en conectores USB públicos. (Relacionado también con Ingenuidad).

• No tener claves secretas con la familia o compañeros para validar identidad.

Irreverencia (Desprecio por la Norma)

Es la vulnerabilidad más peligrosa desde la perspectiva de control interno. Se presenta cuando el usuario, por comodidad o soberbia técnica, decide omitir deliberadamente los controles de seguridad (ej. desactivar el antivirus porque "pone lento el PC" o compartir contraseñas para "agilizar el proceso").

Riesgo:

Crea vulnerabilidades intencionales que invalidan cualquier inversión en resiliencia. La irreverencia transforma un sistema diseñado para ser una "pelota de tenis" en uno de plastilina, pues rompe la coherencia estructural de la defensa desde adentro.

Expresión de la vulnerabilidad:

• Utilizar software pirata (no se puede actualizar o trae malware).

• No seguir las recomendaciones de los expertos.

• Intercambiar información privada por canales no oficiales como WhatsApp o Discord. (Relacionado también con Descuido).

• No cifrar la información confidencial o sensible.

Ingenuidad (Falta de Malicia Tecnológica)

Se define como la incapacidad del usuario para reconocer el engaño o la intención maliciosa detrás de una interacción aparentemente normal. El usuario ingenuo no cuestiona por qué un proceso que habitualmente es automatizado requiere de repente su intervención manual o la entrega de un código de verificación.

Riesgo:

Facilita el éxito de ataques de Pretexting o Vishing, donde el atacante crea un escenario ficticio convincente. La ingenuidad hace que el usuario no vea la "escalera" del delincuente, sino que le abra la puerta del "habitáculo" voluntariamente.

Expresión de la vulnerabilidad:

• Abrir enlaces de correos o SMS sin conocer cómo validar las URLs.

• No conocer los conectores de los dispositivos y no advertir aparatos de spyware conectados.

• Creer toda la información digital sin corroborar por segundo canal (Deepfakes/Fake news).

• Pagar extorsiones, financiando al criminal sin garantías.

• No reportar un incidente por pensar que lo pudo solucionar por sí mismo.

Urgencia (Reactividad ante la Presión)

Esta vulnerabilidad ocurre cuando el usuario prioriza la rapidez de una tarea sobre los protocolos de validación, especialmente cuando percibe una presión jerárquica o una amenaza de bloqueo de servicio. Es el estado mental donde el razonamiento lógico es desplazado por la necesidad de resolver una crisis percibida.

Riesgo:

Es el catalizador principal en fraudes de "suplantación de directivos" (BEC - Business Email Compromise). Bajo la presión de la urgencia, el usuario ignora que está saltándose los controles de integridad, convirtiendo su comportamiento en una deformación plástica inmediata.

Expresión de la vulnerabilidad:

• Autorizar transferencias o pagos de alta cuantía sin verificar por un segundo canal ante una supuesta "emergencia" del supervisor. (Relacionado con Ingenuidad).

• Saltarse el protocolo de validación de identidad al recibir una llamada de un cliente o proveedor que suena "angustiado" o "furioso".

• Compartir credenciales de acceso temporal a un técnico externo porque "el sistema se cayó y hay que arreglarlo ya".

• Hacer clic en enlaces de correos que amenazan con el "cierre inmediato de la cuenta" o "multas inminentes" si no se actúa en menos de una hora.

• Omitir la revisión de firmas digitales en documentos legales para agilizar un cierre de negocio al final de la jornada.

Curiosidad (Atracción por lo Inusual)

La curiosidad impulsa al usuario a interactuar con contenidos, dispositivos o enlaces que prometen información exclusiva, novedosa o sorprendente. Se manifiesta al conectar memorias USB encontradas en lugares públicos o al abrir archivos adjuntos con asuntos llamativos pero fuera de contexto.

Riesgo:

Actúa como el vector de entrada para códigos maliciosos que evaden el perímetro. La curiosidad es el mecanismo que lleva al usuario a "perforar" su propio blindaje, introduciendo la amenaza directamente en el núcleo del sistema de información.

Expresión de la vulnerabilidad:

• Abrir documentos, fotos o conectar memorias sin verificar por virus. (Relacionado también con Descuido).

• Recoger y conectar dispositivos USB que nos encontramos.

Ignorancia (Falta de conocimiento o competencia técnica)

Se define como la carencia de las habilidades o conceptos básicos necesarios para operar de forma segura en el ecosistema digital. A diferencia de la ingenuidad, donde hay una manipulación del juicio, en la ignorancia existe un vacío técnico: el usuario desconoce cómo configurar sus dispositivos, qué indicadores señalan un compromiso o qué protocolos seguir ante una sospecha de incidente.

Riesgo:

Genera una parálisis operativa o respuestas erróneas que amplifican el impacto. Un usuario que ignora los procedimientos de escalamiento rompe la "memoria de forma" de la organización, impidiendo que la pelota de tenis rebote a tiempo y permitiendo que la energía del ataque se propague sin control hacia el núcleo.

Expresión de la vulnerabilidad:

• No configurar adecuadamente computadores, tablets o enrutadores.

• No saber qué hacer cuando sospechemos de un incidente. (Nota: Impacta directamente el RTO de la resiliencia).

• No monitorear el desempeño de los equipos ni el tráfico de red.

• Permitir a menores de edad utilizar tecnología sin supervisión.

Negligencia Estratégica (Estrategia del Avestruz)

Es la vulnerabilidad que surge de la negación deliberada del riesgo o la falta de previsión en la continuidad. Se manifiesta cuando el usuario o el líder de área asume que "si no conocemos el problema, el problema no nos afecta", omitiendo la creación de respaldos, la diversificación de suministros (luz/internet) o la planificación de contingencias.

Riesgo:

Elimina toda capacidad elástica del sistema. Al no tener alternativas de suministro o copias de seguridad íntegras y externas, la organización se comporta como una pelota de plastilina: ante el primer impacto sistémico, la deformación es total y permanente, resultando en una quiebra técnica o pérdida irremediable de la función social.

Expresión de la vulnerabilidad:

• Creer que somos inmunes si no conocemos el problema. (Negación del riesgo).

• No tener copias de seguridad de la información importante o no tenerla completa.

• No tener alternativas de suministro de electricidad o internet. (Falla de planificación de continuidad).

Imprudencia Física (Exposición a riesgos del entorno)

Se refiere a la interacción negligente con el entorno físico que rodea a los dispositivos tecnológicos. Incluye el uso de hardware de mala calidad, la exposición de equipos a condiciones ambientales peligrosas (altas temperaturas, combustibles) o la falta de ergonomía, lo que compromete la integridad del hardware y la salud del operador.

Riesgo:

Provoca fallas materiales que pueden desencadenar crisis de disponibilidad. Un cortocircuito por un conector de mala calidad o un daño físico accidental por líquidos destruye el "habitáculo" técnico desde fuera, obligando a una recuperación operativa costosa por causas que eran totalmente evitables mediante el respeto al entorno físico.

Expresión de la vulnerabilidad:

• Utilizar un celular en una estación de servicio con olor a combustible.

• Utilizar continuamente dispositivos sin ergonomía. (Riesgo para la salud del operador).

• Utilizar aparatos de mala calidad como conectores (Riesgo de incendio o corto).

Exhibicionismo Digital (Sobre-exposición de información)

Consiste en la publicación voluntaria e imprudente de datos que, de forma aislada o agregada, permiten a un tercero inferir información sensible sobre la entidad o la persona. Esto incluye compartir fotos en redes sociales donde se aprecian uniformes, carnets, direcciones, arquitectura interna de oficinas o rutinas de desplazamiento.

Riesgo:

Facilita al atacante la construcción de una "escalera" a medida. El exhibicionismo digital reduce drásticamente el costo de la ingeniería social, permitiendo ataques de spear-phishing (phishing dirigido) extremadamente precisos. Al exponer la periferia de su vida o trabajo, el usuario le entrega al delincuente los planos para saltar el muro y acceder directamente al núcleo de confianza.

Expresión de la vulnerabilidad:

• Publicar información que permita inferir datos (fotos con direcciones, uniformes, arquitectura).

• Descuidar la identidad digital.

Abandono Ambiental (Falta de mantenimiento del entorno)

Se refiere a la desatención del espacio físico donde reside la tecnología, permitiendo que factores externos biológicos o ambientales degraden el hardware.

Riesgo:

Genera fallas de hardware de difícil diagnóstico que comprometen la disponibilidad del servicio.

Expresión de la vulnerabilidad:

• Ignorar la acumulación de polvo en las rejillas de ventilación de servidores o estaciones de trabajo.

• No advertir ni reportar la presencia de insectos o rastros de plagas en las canaletas de cableado o cuartos técnicos.

• Mantener equipos críticos en zonas con humedad visible o cerca de fuentes de agua (aires acondicionados con goteo, tuberías).

• Permitir que los cables de red y energía se enreden en el piso, acumulando suciedad y facilitando daños mecánicos.

• No realizar limpieza periódica de periféricos (teclados, ratones, pantallas), degradando la sensibilidad de los componentes.

Ergonomía Deficiente (Riesgos a la salud del operador)

Vulnerabilidad derivada de la mala disposición del puesto de trabajo o hábitos posturales incorrectos durante el uso de las TIC.

Riesgo:

El "sistema biológico" (el humano) sufre una falla por fatiga o lesión, lo que reduce la capacidad de respuesta y supervisión, afectando indirectamente la resiliencia operativa.

Expresión de la vulnerabilidad:

• Utilizar computadores portátiles sobre las rodillas o en superficies que no permiten una postura neutral del cuello.

• Mantener el brillo de la pantalla al máximo en entornos oscuros o no utilizar filtros de luz azul, provocando fatiga visual.

• Ignorar los periodos de descanso y estiramiento (pausas activas) durante jornadas de monitoreo prolongadas.

• Utilizar sillas no regulables o sentarse en los bordes, comprometiendo la alineación de la columna vertebral. (Relacionado con Imprudencia Física).

• Configurar el teclado y el ratón en ángulos que obligan a una flexión constante de las muñecas

Vulnerabilidad Social-Digital (Riesgos de interacción humana mediada)

Relacionada con el comportamiento de individuos vulnerables (como menores o personas con baja alfabetización digital) en entornos sociales en línea.

Riesgo:

El compromiso de la integridad personal del usuario puede ser utilizado como palanca para extorsión o acceso a activos de información corporativos.

Expresión de la vulnerabilidad:

• Permitir que menores de edad utilicen dispositivos corporativos para juegos o redes sociales sin supervisión.

• Participar en retos virales (challenges) que implican grabarse dentro de las instalaciones de la entidad o revelando rutinas de seguridad.

• Aceptar solicitudes de amistad de perfiles desconocidos que comparten intereses comunes o apariencia profesional atractiva.

• Responder a provocaciones o insultos en redes sociales (ciberacoso), revelando información institucional en el calor de la discusión.

• Compartir ubicación en tiempo real en grupos de mensajería abiertos o redes sociales mientras se transportan activos de información.

• No reportar un incidente por vergüenza a ser juzgado.

Vulnerabilidad	Descripción Breve	Impacto en la Resiliencia
1. Desorden	Falta de higiene digital y caos en la gestión de activos, archivos y sesiones.	Crea "puntos ciegos" que facilitan la exfiltración silenciosa de datos.
2. Complacencia	Exceso de seguridad derivado de periodos sin incidentes; creencia de que el blindaje es infalible.	Relaja la vigilancia activa, permitiendo que el phishing penetre el habitáculo.
3. Descuido	Omisión involuntaria o falta de atención hacia protocolos básicos (bloqueo de terminales, redes seguras).	Genera fisuras de oportunidad que no requieren "escaleras" costosas para ser explotadas.
4. Confianza	Credulidad excesiva ante comunicaciones o sistemas que aparentan legitimidad o autoridad.	Es la base de la ingeniería social; el usuario entrega el acceso sin resistencia técnica.
5. Irreverencia	Omisión deliberada de controles por comodidad, soberbia técnica o búsqueda de agilidad.	Invalida los controles desde adentro, convirtiendo la "pelota de tenis" en plastilina.
6. Ingenuidad	Incapacidad para reconocer el engaño o la malicia en interacciones tecnológicas inusuales.	Permite que el atacante manipule al usuario para que vulnere su propio blindaje.
7. Urgencia	Priorización de la rapidez sobre la validación ante presiones jerárquicas o crisis percibidas.	Cataliza fraudes de suplantación (BEC), anulando la capacidad de razonamiento lógico.
8. Curiosidad	Atracción instintiva por lo inusual o exclusivo (enlaces llamativos, dispositivos hallados).	Actúa como vector de entrada para códigos maliciosos que evaden el perímetro institucional.
9. Ignorancia	Carencia de habilidades o conceptos técnicos básicos para operar con seguridad y reconocer incidentes.	Provoca respuestas erróneas que amplifican el impacto y rompen la "memoria de forma" organizacional.
10. Negligencia Estratégica	Negación deliberada del riesgo (Estrategia del Avestruz) y falta de previsión en respaldos o continuidad.	Elimina la capacidad elástica; ante un impacto, la entidad sufre una deformación plástica y quiebra técnica.
11. Imprudencia Física	Interacción negligente con el entorno (mala calidad de hardware, exposición a líquidos o calor).	Causa fallas materiales de disponibilidad que comprometen el "habitáculo" técnico desde el exterior.
12. Exhibicionismo Digital	Publicación voluntaria de datos personales o laborales que permiten inferir información sensible.	Facilita la construcción de una "escalera" a medida para ataques de ingeniería social altamente dirigidos.
13. Abandono Ambiental	Desatención del espacio físico, permitiendo que factores biológicos o ambientales degraden el hardware.	Genera fallas de hardware imprevistas que comprometen la disponibilidad del servicio.
14. Ergonomía Deficiente	Hábitos posturales incorrectos o mala disposición del puesto de trabajo.	Reduce la capacidad de respuesta y supervisión del operador debido a fatiga o lesiones.
15. Vulnerabilidad Social-Digital	Comportamiento desprotegido en redes sociales (común en menores o personal no alfabetizado).	Expone al usuario a extorsión o manipulación que sirve de puente hacia activos corporativos.

 

Vulnerabilidad	Amenazas Asociadas
1. Desorden	Fugas de datos (también relacionada con Descuido). Dumpster diving (rebusca en basura). Daños por acumulación de polvo.
2. Complacencia	Ransomware (por falta de vigilancia). Botnets. Criptojacking. Falta de control de acceso.
3. Descuido	Shoulder surfing (mirar sobre el hombro). Equipos en zonas de tránsito público. Robo de equipos. Picos de voltaje (por falta de protección).
4. Confianza	Tailgating (seguimiento físico para entrar). Juicejacking (carga en puertos USB públicos). Simswapping (también relacionada con Ingenuidad).
5. Irreverencia	Redes trampa (conectarse a Wi-Fi públicas prohibidas). Grooming (en contextos de saltarse reglas parentales/empresariales).
6. Ingenuidad	Phishing. Suplantación (Spoofing). Deep fakes. Desinformación / Fake news.
7. Urgencia	Simswapping (cuando el atacante presiona al operador). Phishing (mensajes de "cuenta bloqueada ahora").
8. Curiosidad	Retos virales. Ciberacoso (por búsqueda de perfiles). OSINT (cuando el usuario cede datos por dinámicas "divertidas").
9. Ignorancia Juicejacking.	OSINT (desconocimiento de la huella digital). Juicejacking. Botnets (dispositivos IoT mal configurados).
10. Negligencia Estratégica	Ransomware (por falta de backups). Fugas de datos. Falta de control de acceso.
11. Imprudencia Física	Daños por caída. Daños por líquidos. Daños por corrosión y sal marina. Atmósfera inflamable.
12. Exhibicionismo Digital	OSINT (fuente primaria de datos). Ciberacoso. Suplantación.
13. Abandono Ambiental	Daños por insectos anidando. Daños por corrosión y sal marina. Daños por acumulación de polvo.
14. Ergonomía Deficiente	Escoliosis vertebral. Cuello de texto. Túnel carpiano.
15. Vulnerabilidad Social-Digital	No reportar incidentes por vergüenza o por no delatar. Grooming. Ciberacoso. Retos virales.

Amenazas y el "Lado Oscuro" de la Red

Conociendo las herramientas del enemigo para no morder el anzuelo

En las sesiones anteriores de las memorias de Skina IT Solutions, aprendimos que nosotros somos el primer escudo. Sin embargo, para que ese escudo sea efectivo, debemos conocer las armas que utiliza el "lado oscuro" de la red. Los ciberdelincuentes no siempre son genios solitarios; a menudo son organizaciones que utilizan herramientas automáticas para encontrar cualquier grieta en nuestra rutina.

El software: ¿Puerta abierta o muralla?

El software que usamos a diario es como la cerradura de nuestra casa. Si está viejo o dañado, es fácil de forzar.

• Software desactualizado: Cada vez que tu equipo pide "actualizar", no es solo para añadir funciones; es para tapar huecos por donde entran los atacantes. Ignorar una actualización es dejar la puerta sin llave.

• El peligro de lo "pirata": Usar programas activados ilegalmente (cracks) es una de las mayores trampas. Casi siempre vienen con "regalos" ocultos: huecos de seguridad que permiten que alguien te espíe. Además, nos pone en problemas legales por falta de cumplimiento.

• Malware (Software malicioso): No todo es un "virus". Existe el Criptojacking, donde usan tu PC para generar monedas digitales sin que te des cuenta (poniéndolo lento y caliente), y el temido Ransomware, que secuestra tus archivos y te pide un rescate en dinero para devolvértelos.

• Spyware: Herramientas diseñadas para vigilarte. Puede ser un programa oculto o incluso un dispositivo físico (como un conector extraño en el teclado) que registra cada tecla que presionas.

Engaños digitales: El arte de la manipulación

Aquí el delincuente no ataca a la máquina, sino a tu curiosidad o a tu miedo.

• Phishing y Scareware: Es el "anzuelo". Recibes un correo que dice ser de tu banco o de un jefe. El Scareware intenta asustarte con mensajes como "¡Su cuenta ha sido bloqueada!".

• La Inteligencia Artificial (IA) en manos equivocadas: Los atacantes ahora usan IA para escribir correos perfectos, sin errores de ortografía, o incluso para suplantar la voz de un familiar o un jefe en una llamada.

¿Cómo defendernos con la misma moneda? Si sospechas de un correo, cópialo y pégalo en una IA (como Gemini o ChatGPT) y pregúntale: "¿Qué elementos de este texto parecen un fraude?". La IA es excelente detectando patrones de urgencia y manipulación que a veces nosotros pasamos por alto.

La anatomía de una trampa: URLs y Clics

Aprender a leer una dirección web (URL) es vital. Los delincuentes usan nombres parecidos como micuenta.bancolombia.seguridad-web.com en lugar del oficial. La regla es simple: mira lo que está justo antes del último punto. En el ejemplo, el sitio es seguridad-web.com, no el banco.

Ten cuidado con el Clickjacking: sitios que ocultan botones invisibles sobre los reales. Si una página te pide clics innecesarios para "cerrar un anuncio", podrías estar autorizando algo peligroso.

El caballo de Troya moderno: Dispositivos Huérfanos

Finalmente, recuerda que la curiosidad mató al gato... y al servidor de la empresa. Una USB encontrada en el pasillo o en el parqueadero nunca debe conectarse a tu equipo. Es el método más viejo y efectivo para saltarse todos los muros de fuego digitales. Si encuentras un dispositivo "huérfano", entrégalo a seguridad informática; podría ser un regalo envenenado diseñado para tomar el control de tu cámara y micrófono.

Redes sociales, engaños visuales y el rastro que dejamos atrás

Continuando con nuestro recorrido por el "lado oscuro" de la red en las memorias de Skina IT Solutions, hoy nos enfocamos en el terreno donde más tiempo pasamos: las redes sociales y los canales de comunicación. Aquí, la amenaza no siempre busca dañar tu computador; muchas veces busca dañar tu Identidad Digital.

Tu rostro digital: Reputación y OSINT

Tu identidad digital es el rastro de todo lo que dices, compartes o permites que otros publiquen sobre ti. Un error aquí puede causar un daño reputacional irreparable. Los delincuentes utilizan una técnica llamada OSINT (Investigación de Fuentes Abiertas), que no es más que armar un rompecabezas con la información que tú mismo regalas:

• Una foto con el carnet de la empresa permite clonar tu acceso.

• Una "selfie" en la oficina muestra de fondo contraseñas en tableros o el modelo de los equipos que usamos.

• Publicar tu ubicación en tiempo real les dice cuándo tu casa está sola.

La regla de oro es la prudencia. Si se llega a filtrar información inadecuada o fotos comprometedoras, la reacción debe ser técnica y legal: informar a la plataforma para dar de baja el contenido y nunca ceder a extorsiones, ya que el pago no garantiza que la información desaparezca.

Mensajería: El muro entre lo personal y lo laboral

Es común mezclar WhatsApp o Telegram para temas de la casa y de la oficina, pero esto es un riesgo. Lo ideal es separar el uso Institucional del Personal. En los chats personales solemos ser más relajados, lo que nos hace vulnerables a engaños. Además, el uso de medios no oficiales para datos de la empresa saca la información del control de seguridad de la organización, dejándola expuesta en nubes privadas de terceros.

Nuevas trampas: Del QR al Vishing

Los delincuentes han evolucionado sus métodos de pesca:

• Quishing: Es el fraude mediante códigos QR. Los atacantes pegan stickers falsos sobre los QR reales en menús de restaurantes o avisos de pago para redirigirte a sitios que roban tus datos bancarios.

• Vishing y Vales: El Vishing es el fraude por voz (llamadas falsas del "banco"). Los Dialers son programas que marcan números automáticamente para estafar.

• Skimming: El robo de datos de la banda magnética de tus tarjetas en cajeros o datáfonos.

• Ataques de broma o sabotaje: Como la Zip Bomb (un archivo comprimido que al abrirse se expande hasta llenar y bloquear tu disco duro) o el Defacing, donde un atacante cambia la cara de una página web para dejar un mensaje de burla o protesta.

Taller: El QR como aliado (No como trampa)

Para cerrar esta sesión con una nota positiva y práctica, vamos a aprender que la tecnología no es mala, sino que depende de quién la cree. En lugar de temerle a los códigos QR, construye el tuyo.

Usando herramientas gratuitas y seguras como goqr.me, puedes crear un código QR que contenga tu tarjeta de presentación (VCard). Así, en lugar de cargar tarjetas de papel, alguien puede escanear tu código y guardar tus datos de contacto directamente en su celular. Es profesional, moderno y, al ser creado por ti, tienes la certeza de que el destino es seguro.

Recuerda: La seguridad digital comienza con la malicia de no escanear cualquier código que veas en la calle y termina con la sabiduría de saber qué partes de tu vida decides hacer públicas.

Los controles y salvaguardas

Esta guía de controles para el usuario final ha sido diseñada bajo el paradigma de la Ciberresiliencia, un enfoque que trasciende la seguridad tradicional. Mientras que la seguridad clásica intenta evitar el golpe, la resiliencia se define por la capacidad de la organización para absorber un impacto, adaptarse y recuperarse rápidamente, manteniendo su función social. En la gestión del riesgo humano, es fundamental comprender que los incidentes rara vez son fallas técnicas aisladas; suelen ser el resultado de vulnerabilidades conductuales.

Marco Teórico: De la Rigidez a la Elasticidad

Para entender la lógica de esta guía, utilizaremos dos analogías fundamentales extraídas de la ingeniería de riesgos:

• La Pelota de Plastilina vs. la Pelota de Tenis: Un sistema no resiliente se comporta como una pelota de plastilina: ante un impacto, se deforma permanentemente, perdiendo su integridad (datos, reputación o continuidad). Por el contrario, una cultura resiliente dota al factor humano de una calidad de "pelota de tenis", permitiendo que el sistema se comprima para absorber la energía del ataque y luego recupere su forma original.

• El Castillo de Naipes: Muchos sistemas caen no solo por ataques externos, sino porque su base conductual es inestable. Si los usuarios presentan vulnerabilidades como el desorden, la complacencia o la irreverencia, el "muro" defensivo se vuelve frágil e interdependiente, provocando colapsos sistémicos ante el fallo de un solo componente.

Estructura de la Guía: El Modelo de Capas

Esta guía no es un simple listado de prohibiciones, sino un esquema de defensa en profundidad distribuido en cinco capas estratégicas que aseguran la "memoria de forma" del sistema:

• Capa 1: Higiene y Hábitos Preventivos: La base de la cultura de vigilancia, enfocada en la gestión de identidad, el entorno digital y la salud del operador.

• Capa 2: Blindaje de la Conectividad: Controles técnicos para elevar el "muro" y proteger el perímetro de las comunicaciones y periféricos.

• Capa 3: Conciencia ante la Ingeniería Social: Herramientas de análisis y validación para detectar engaños (como el phishing o la suplantación) antes de que afecten el núcleo.

• Capa 4: Resiliencia y Recuperación: Acciones para garantizar el "rebote" elástico, incluyendo backups, respuesta a incidentes y recuperación física.

• Capa 5: Políticas y Comportamientos: El marco normativo y ético que rige el actuar del usuario en entornos corporativos y domésticos.

Alineación Normativa e Internacional

Este documento se ha desarrollado en armonía con los estándares internacionales más robustos:

• ISO/IEC 27002: Los controles presentados (como la gestión de contraseñas, el cifrado y el escritorio limpio) son la traducción operativa de las directrices de seguridad de la información de esta norma, adaptadas para que el usuario de a pie pueda ejecutarlas sin ser un experto técnico.

• Guías de INCIBE (Políticas para la Pyme): Al igual que las herramientas del Instituto Nacional de Ciberseguridad de España, esta guía busca democratizar la seguridad. Se alinea con sus políticas de uso de dispositivos, redes sociales y respuesta ante incidentes, proporcionando un marco práctico que cualquier organización puede adoptar para sensibilizar a su personal.

Al implementar estos controles, el usuario deja de ser el "punto de fractura" para convertirse en una zona de absorción de energía, protegiendo el activo más valioso de cualquier sistema financiero: la confianza.

Capa 1: Higiene y Hábitos Preventivos (Cultura de Vigilancia)

Esta capa constituye la base de la "pelota de tenis", asegurando que el sistema mantenga su forma y capacidad de rebote ante el uso diario. Su objetivo es transformar el desorden y el descuido en una estructura de vigilancia constante.

Gestión de Identidad y Acceso

El acceso es el primer componente crítico de la estructura; su compromiso expone el núcleo de la organización.

• Fortaleza de Credenciales: Se deben usar contraseñas seguras y apoyarse en gestores de contraseñas para evitar la fatiga cognitiva.

• Seguridad Dinámica: Es necesario cambiar periódicamente las contraseñas para mitigar riesgos.

• Doble Blindaje: Se deben implementar Múltiples Factores de Autenticación (MFA) en todas las cuentas posibles.

• Privacidad Física: Se requiere ocultar la pantalla y el teclado al digitar PINes o contraseñas para evitar el Shoulder Surfing.

• Control de Sesión: Se debe activar el bloqueo automático de pantalla y realizar el bloqueo manual inmediatamente al retirarse del puesto de trabajo.

• Cero Evidencia: Nunca se deben escribir claves en post-its ni dejarlas en lugares visibles.

• Privilegio Mínimo: Se aplica el principio de "Usuario Estándar", evitando el uso de la cuenta de administrador para las tareas cotidianas.

• Perímetro Físico: No se debe permitir el acceso a personas desconocidas a zonas restringidas.

Higiene del Entorno Digital

Mantener la salud técnica del sistema evita que un incidente se convierta en una deformación permanente.

• Escritorio Limpio: Se debe mantener una política de orden físico y digital para proteger la información.

• Actualización Constante: Se requiere mantener siempre actualizado el sistema operativo y todas las aplicaciones.

• Vigilancia Activa: Se debe ejecutar periódicamente el antivirus y asegurarse de nunca desactivarlo.

• Integridad del Software: Se prohíbe terminantemente el uso de software pirata, obsoleto o que no cuente con soporte técnico.

• Destrucción Segura: La información se debe borrar y destruir de forma definitiva antes de desechar documentos físicos o equipos electrónicos.

• Auditoría Personal: Se deben realizar revisiones periódicas del inventario de activos a cargo y verificar que los controles funcionen correctamente.

• Monitoreo de Hardware: Se requiere verificar si los equipos presentan calentamiento excesivo o ruidos anormales.

• Renovación Tecnológica: Se deben reponer o actualizar los equipos viejos u obsoletos para mantener la seguridad.

Higiene Física y Ergonómica

La resiliencia depende de la integridad del hardware y del bienestar del operador.

• Protección contra Accidentes: No se deben ingerir alimentos o bebidas cerca de los dispositivos ni tener objetos que puedan caerle encima.

• Mantenimiento Preventivo: Se deben limpiar periódicamente los equipos, el cableado y las rejillas de ventilación para evitar el Abandono Ambiental.

• Orden de Infraestructura: El cableado debe mantenerse ordenado para prevenir accidentes.

• Salud del Operador: Se requiere utilizar mobiliario y dispositivos ergonómicos, además de ajustar el brillo de la pantalla para proteger la visión y la postura del usuario.

Capa 2: Blindaje de la Conectividad (Protección del Perímetro)

En esta capa se establecen controles diseñados para elevar el "muro tecnológico", dificultando el movimiento del atacante y protegiendo la integridad de los flujos de información.

Comunicaciones y Redes

La seguridad de las conexiones es fundamental para evitar que los datos sean interceptados o que el dispositivo sea vulnerado de forma remota.

• Firewall Activo: Se debe activar el firewall en todos los dispositivos, tanto personales como corporativos.

• Redes Inalámbricas: Se prohíbe compartir zonas Wi-Fi personales o utilizar redes públicas no protegidas para realizar transacciones sensibles.

• Canales Oficiales: Se requiere el uso exclusivo de canales oficiales y protegidos para las comunicaciones de la organización.

• Segmentación Doméstica: Se recomienda el uso de enrutadores que permitan separar la red de invitados y aplicar control parental para los dispositivos de menores de edad.

• Privacidad de Conversaciones: Las conversaciones privadas deben llevarse a cabo únicamente en sitios adecuados y a través de canales con cifrado de extremo a extremo.

• Supervisión de Menores: Es responsabilidad del usuario monitorear el uso que los menores de edad dan a sus dispositivos electrónicos.

Puertos y Periféricos

Los puntos de conexión física y lógica son vectores críticos que requieren una supervisión constante para evitar el espionaje o la infección por malware.

• Gestión de Permisos: Se deben desactivar los permisos innecesarios en las aplicaciones, como el acceso al micrófono, ubicación o contactos.

• Control de Cámara: Se requiere monitorear la actividad de periféricos como la cámara web, sugiriendo el uso de cobertores físicos.

• Carga Segura: No se deben conectar dispositivos a puertos de carga USB públicos con cables de datos; se recomienda el uso exclusivo de cables de carga o dispositivos aislantes conocidos como "condones USB".

• Inspección Física: Es necesario conocer y verificar físicamente los puertos de conexión para detectar hardware malicioso como spyware o keyloggers.

Protección de Datos en Tránsito

El blindaje de la información debe acompañar al dato dondequiera que este se desplace o resida.

• Cifrado de Información: Se debe cifrar la información clasificada o sensible mediante el uso de herramientas como Bitlocker, FileVault o el cifrado nativo de disco y archivos.

• Blindaje RFID: Se sugiere forrar con aluminio o utilizar protectores RFID para las tarjetas de crédito o débito que cuenten con CHIP.

• Vigilancia de Activos: No se deben desatender las tarjetas de crédito o débito durante la realización de transacciones financieras.

Capa 3: Conciencia ante la Ingeniería Social (Análisis y Desconfianza)

En esta capa, el usuario actúa como una zona de absorción de energía, detectando engaños antes de que afecten el núcleo del sistema de información. El objetivo es neutralizar vulnerabilidades como la ingenuidad, la confianza excesiva y la urgencia.

Validación y Vigilancia

La verificación de la identidad y de los canales de comunicación es la primera barrera contra la suplantación.

• Resguardo de Credenciales: Nunca se deben entregar códigos de verificación por teléfono o aplicaciones de mensajería.

• Protocolos Familiares y Sociales: Se recomienda establecer una "palabra clave" o código con familiares y amigos para validar la identidad en situaciones de supuesta emergencia.

• Alertas de Acceso: Se deben atender de inmediato las notificaciones de seguridad sobre accesos desde ubicaciones o dispositivos desconocidos.

• Monitoreo de Servicios: Es necesario verificar las causas de cualquier interrupción inesperada del servicio telefónico o de internet.

• Higiene de Hardware Ajeno: No se deben utilizar dispositivos desconocidos o que hayan sido encontrados sin supervisión.

• Identificación de Llamadas: Se sugiere el uso de identificadores de llamadas para filtrar posibles intentos de fraude.

• Vigilancia de Identidad: Se recomienda monitorear periódicamente los registros de fugas de información a través de herramientas como haveibeenpwned.

Análisis Avanzado de Amenazas

El uso de herramientas técnicas permite al usuario discernir entre comunicaciones legítimas y ataques sofisticados.

• Cautela con Enlaces y Archivos: No se debe hacer clic en enlaces ni abrir archivos de remitentes sospechosos o de contactos acostumbrados a retransmitir información sin verificar.

• Escaneo de Códigos QR: No se deben leer códigos QR sin antes verificar el origen y la URL de destino.

• Análisis en Entornos Aislados: Se recomienda la utilización de herramientas de Sandboxing, como Cuckoo, para analizar archivos sospechosos en entornos controlados y seguros.

• Análisis mediante IA: Se sugiere extraer las cabeceras y mensajes "en crudo" de los correos electrónicos para analizarlos mediante Inteligencia Artificial, facilitando la detección de patrones de phishing o inconsistencias técnicas.

Gestión de la Información

El control sobre los datos compartidos reduce la capacidad del atacante para construir ataques dirigidos.

• Contraste de Fuentes: Se debe verificar la información con varias fuentes antes de darla por cierta, combatiendo la desinformación y las noticias falsas.

• Responsabilidad en la Difusión: No se debe replicar información que no haya sido previamente verificada.

• Privacidad en Redes Sociales: Se prohíbe compartir o publicar información sensible en redes sociales para evitar el exhibicionismo digital.

• Confidencialidad de PINes: Nunca se deben compartir las claves o números PIN con otras personas.

• Limpieza de Metadatos: Se recomienda limpiar los datos de geolocalización (GPS) de las fotografías antes de proceder a su publicación en plataformas digitales.

Capa 4: Resiliencia y Recuperación (El "Rebote" Elástico)

Esta capa agrupa las acciones destinadas a asegurar la "memoria de forma" del sistema, permitiendo que la organización se comporte como una pelota de tenis que absorbe el impacto y recupera su estado operativo original.

Continuidad de los Datos

La integridad y disponibilidad de la información son los activos que permiten el reinicio de las operaciones tras un incidente catastrófico.

• Estrategia de Respaldo: Se deben realizar copias de seguridad (backups) frecuentes.

• Almacenamiento Seguro: Los respaldos deben almacenarse de forma remota o fuera de línea, asegurando que queden fuera del alcance de ataques de ransomware.

• Gestión de Extorsión: En caso de infección, se deben consultar fuentes oficiales como nomoreransom.org.

• Política de No Pago: Nunca se deben pagar extorsiones, ya que esto financia al criminal sin garantizar la recuperación de la información.

Respuesta a Incidentes

La resiliencia depende de la capacidad del usuario para actuar con calma y seguir los protocolos de contención establecidos.

• Responsabilidad Compartida: Es fundamental entender que la seguridad NO es solo un problema del área de TI.

• Control Emocional y Técnico: Se requiere mantener la calma, reconocer los síntomas de un incidente y aplicar los mecanismos de contención básicos.

• Cultura de Denuncia: Se deben reportar de inmediato los malos comportamientos de terceros o cualquier incidente de seguridad a través de los canales oficiales.

• Protocolo de Contacto: El usuario debe saber qué hacer y a quién contactar exactamente cuando sospeche de un compromiso de seguridad.

Recuperación Física y Técnica

El blindaje del hardware y la previsión de fallos en la infraestructura física garantizan la disponibilidad del servicio.

• Localización y Borrado: Se deben activar las funciones de "Encontrar mi dispositivo" y "Borrado remoto" en todos los equipos móviles.

• Suministro Alternativo: Se requiere contar con planes de contingencia físicos, tales como bancos de energía (powerbanks), plantas eléctricas y múltiples proveedores de internet.

• Calidad de Componentes: Se debe evitar el uso de equipos de mala calidad, especialmente en cargadores de dispositivos móviles.

• Protección Eléctrica: Es necesario utilizar estabilizadores de voltaje y supresores de picos para proteger el hardware contra fluctuaciones de energía.

• Defragmentar los discos: Algunos sistemas operativos requieren que se de mantenimiento a la organización de los datos periódicamente defragmentando los discos.

• Seguridad Física: Se deben utilizar guayas de seguridad para equipos portátiles cuando se operen en sitios públicos.

• Prevención de Daños Ambientales: Es imperativo reconocer fuentes de riesgo como inundación, vapor o goteo.

• Seguridad contra Incendios: Se debe conocer el funcionamiento y la ubicación exacta de los extintores.

• Control de Plagas: Se requiere realizar control de plagas y roedores en los espacios donde se encuentre el cableado o los equipos críticos.

• Operación Técnica: Se debe mantener el funcionamiento de los equipos estrictamente dentro de sus especificaciones técnicas.

• Vigilancia Climática: Es necesario atender las recomendaciones de uso ante días extremadamente calurosos o tormentas eléctricas.

• Hábitos de Seguridad: Se deben seguir las recomendaciones de uso en diversos espacios, evitando utilizar dispositivos en estaciones de gasolina o en condiciones que impidan la ventilación, como bajo almohadas o detrás de cortinas.

Capa 5: Políticas y comportamientos

Esta capa final se centra en la capacidad del usuario para comportarse de manera segura y profesional en diferentes contextos, ya sean corporativos, domésticos o en el transporte público. El objetivo es asegurar que el conocimiento técnico se traduzca en una conducta alineada con los objetivos de seguridad de la organización.

Comportamiento y Normatividad

El cumplimiento de las políticas institucionales y el respeto por las normas de convivencia digital son pilares que sostienen la integridad del sistema financiero.

• Marco Normativo Interno: Es imperativo conocer y adherirse al Sistema de Gestión de Seguridad de la Información (SGSI) o al Modelo de Seguridad y Privacidad de la Información (MSPI).

• Conciencia Legal: Se requiere que el usuario conozca la legislación vigente relacionada con el tratamiento y protección de la información.

• Responsabilidad sobre Activos: El usuario debe reconocer plenamente los activos de información que se encuentran bajo su cargo y custodia.

• Adopción de Estándares: Es necesario seguir las buenas prácticas de seguridad definidas por la organización en todo momento.

• Formación Continua: El usuario tiene la responsabilidad de capacitarse, entrenarse, actualizarse y sensibilizarse de manera constante en temas de ciberseguridad.

• Cultura de Netiqueta: Se deben conocer y aplicar las normas de comunicación y comportamiento en la red, conocidas como Netiquette.

Recomendaciones de protección

Tras el recorrido por las cinco capas de defensa, se concluye que la construcción de una cultura de ciberresiliencia no es un destino, sino un proceso continuo de adaptación. La seguridad de la información ha dejado de ser una barrera estática para convertirse en una capacidad dinámica que reside, principalmente, en el comportamiento conciente del usuario.

Integración al entorno organizacional

Este esquema de controles no debe interpretarse como un simple listado de prohibiciones o tareas aisladas; por el contrario, representa una estructura integrada directamente con el Sistema de Gestión de Seguridad de la Información (SGSI). Al interiorizar estas prácticas, el usuario se transforma de un "punto de fractura" en una zona activa de absorción de energía. El objetivo pedagógico es que cada funcionario de la organización se convierta en una parte esencial de la "pelota de tenis" institucional, permitiendo que el sistema absorba los impactos del entorno y recupere su forma operativa con total confianza y resiliencia.

Recomendaciones

Para garantizar que este marco teórico se traduzca en una protección real y efectiva, se sugieren las siguientes pautas de acción:

• Priorice la Formación: No limite su aprendizaje a esta guía; busque capacitarse, entrenarse y actualizarse de manera constante para anticiparse a nuevas amenazas.

• Asuma la Responsabilidad: Reconozca plenamente los activos de información bajo su cargo y entienda que la seguridad es una responsabilidad compartida, no exclusiva del área de TI.

• Adopte el Pensamiento Crítico: Ante cualquier interacción digital que genere duda o sentido de urgencia, deténgase y aplique los métodos de validación y análisis presentados, como el uso de herramientas de IA o Sandboxing.

• Mantenga la Higiene de su Entorno: El orden físico y la actualización técnica de sus dispositivos son la primera línea de defensa para evitar fallas materiales o exfiltraciones silenciosas.

• Reporte sin Miedo: Fortalezca la resiliencia organizacional informando de inmediato cualquier incidente o comportamiento sospechoso a través de los canales oficiales; el reporte temprano es la clave para una contención exitosa.

Anexo: Guía De Reacción Rápida Ante Incidentes De Seguridad

ACCIÓN: Desconexión Física de la Red (Aislamiento de Red)

Esta es la acción más crítica para detener la exfiltración de datos o la propagación de virus a otros compañeros.

Síntomas de alerta

• Aparición masiva de ventanas emergentes (pop-ups) con mensajes de error o publicidad.

• El puntero del ratón se mueve solo o se abren aplicaciones sin intervención del usuario.

• Notificaciones de accesos no autorizados desde ubicaciones desconocidas.

• El equipo realiza conexiones a internet o envía correos de forma masiva y automática.

Instrucciones paso a paso:

• Desconecte físicamente el cable de red (LAN) del equipo o del puerto en la pared.

• Desactive la conexión Wi-Fi desde el menú de configuración o mediante el interruptor físico del portátil.

• No apague el equipo aún; el objetivo es cortar la comunicación con el atacante.

ACCIÓN: Apagado del Sistema (Cese de Actividad)

Se ejecuta cuando existe un riesgo inminente de daño permanente a la integridad de los archivos.

Síntomas De Alerta

• Los archivos cambian de icono repentinamente o muestran extensiones extrañas (.crypted, .locked).

• Aparece un mensaje en pantalla exigiendo un pago para recuperar la información (Ransomware).

• El equipo se calienta de forma extrema o los ventiladores suenan anormalmente sin carga de trabajo.

Instrucciones paso a paso:

• Realice un apagado forzado manteniendo presionado el botón de encendido por 10 segundos.

• Si el equipo está conectado a una base (docking station), retírelo de inmediato.

• No intente reiniciar el equipo para verificar si el problema persiste.

ACCIÓN: Desconexión Eléctrica (Emergencia de Hardware)

Acción inmediata ante riesgos físicos que pueden derivar en pérdida total del activo.

Síntomas De Alerta

• Olor a quemado, presencia de humo o chispas provenientes del equipo o cables.

• Derrame de líquidos sobre el teclado o la torre.

• Presencia de inundación, vapor o goteo en el área donde se encuentra el hardware.

Instrucciones paso a paso:

• Desconecte el cable de poder directamente de la toma de corriente de la pared.

• Si es un portátil y es seguro hacerlo, retire la batería.

• Aléjese del equipo y notifique a brigadas de emergencia si hay fuego.

ACCIÓN: Persistencia y Observación (Preservación de Evidencia)

Se aplica cuando la anomalía es de bajo impacto aparente o puramente informativa.

Síntomas De Alerta

• Lentitud extrema del sistema que no se soluciona con procesos habituales.

• Errores recurrentes al intentar guardar archivos o acceder a aplicaciones corporativas.

• Recepción de correos sospechosos que requieren análisis mediante IA o Sandboxing.

Instrucciones paso a paso:

• Deje el equipo encendido. No cierre las aplicaciones que presentan el error.

• Evite realizar nuevas acciones que puedan sobreescribir la memoria RAM.

• Llame de inmediato a Soporte Técnico o a la línea de incidentes para que realicen una captura forense.

ACCIÓN: Escalación de Privilegios (Solo bajo instrucción)

Acción restringida para diagnósticos avanzados dirigidos por expertos.

Síntomas De Alerta

• Necesidad de ejecutar una herramienta de limpieza específica enviada por el área de seguridad.

• El sistema solicita permisos especiales para detener un proceso malicioso identificado.

Instrucciones paso a paso:

• Nunca cambie a modo administrador por iniciativa propia; esto puede facilitar la instalación de malware.

• Solo ejecute este cambio si un técnico identificado de la organización se lo solicita por canales oficiales.

• Siga estrictamente los pasos indicados por el soporte, manteniendo la supervisión de lo que ocurre en pantalla.

Nota De Cumplimiento:

Las acciones descritas en esta guía son de carácter general y orientativo. Su aplicación está estrictamente supeditada a la normativa, protocolos de seguridad y jerarquías definidas en el SGSI/MSPI de la organización. Antes de actuar, asegúrese de conocer los canales oficiales de denuncia y reporte de incidentes establecidos por su entidad.

Conclusiones y cierre

Hemos llegado al final de este recorrido por el mundo de la ciberseguridad. A lo largo de estas jornadas en Skina IT Solutions, hemos descubierto que la protección de la información no es un reto que se soluciona únicamente con software costoso o ingenieros encerrados en centros de datos. La verdadera seguridad se construye en el escritorio de cada uno de nosotros, en la malicia al abrir un correo y en la disciplina de bloquear nuestra pantalla.

Un vistazo a la realidad: Lo que más nos afecta

Al revisar los ciberincidentes más frecuentes en las empresas colombianas, el patrón es claro: la mayoría de los ataques exitosos no "rompen" las máquinas, sino que "engañan" a las personas. El Phishing (correos falsos), el Ransomware (secuestro de datos por clics imprudentes) y la Suplantación de identidad por redes sociales siguen siendo las armas favoritas de los delincuentes. No buscan la vulnerabilidad en el código, buscan el descuido en nuestra rutina.

Tú eres el "Firewall Humano"

En informática, un firewall es una barrera que decide qué entra y qué sale de una red. Al finalizar este curso, tú te conviertes en el Firewall Humano de la organización. Tus conocimientos son ahora el filtro más efectivo para detener amenazas que la tecnología, por sí sola, a veces no detecta.

La seguridad es un hábito, no un evento único. Al aplicar lo aprendido —desde el uso de contraseñas tipo storytelling hasta el reporte inmediato de anomalías— estás protegiendo no solo los activos de la empresa, sino tu propia estabilidad laboral, tu reputación y tu tranquilidad personal.

Gracias por ser parte de esta cultura de prevención. Recuerda: en la red, la mejor herramienta de defensa siempre será tu propio criterio.

¡La seguridad de la información empieza contigo!

Licencia

Ciudadanía Digital Segura: El Escudo de la Información en la Empresa está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.