Laptop o teléfono perdido: ¿qué haces en las primeras dos horas?

¿Has perdido un portátil o el teléfono? Lo que hagas en las primeras dos horas decide si esto se queda en un susto o se convierte en una brecha de datos. Una checklist práctica para pymes sin departamento de IT.

Tu portátil ha desaparecido. O tu teléfono. Quizás alguien lo robó del coche, quizás sigue en ese tren a Utrecht. Lo que hagas en las próximas dos horas determinará si esto se queda en un incidente molesto o se convierte en una brecha de datos con obligación de notificación.

La mayoría de las pymes no tienen un protocolo para esto. Es una lástima, porque ocurre más a menudo de lo que parece y no hace falta tener un departamento de IT para gestionarlo bien. En este post repasamos una checklist práctica que puedes imprimir hoy mismo y guardar en un cajón.

Por qué cuentan las primeras dos horas

Un dispositivo robado es, en sí mismo, principalmente una cuestión de seguros. El problema real aparece cuando alguien consigue acceso a tu correo, tu contabilidad, tu base de clientes o tu almacenamiento en la nube. Cuanto antes desvinculés cuentas y revoques sesiones, menor es la probabilidad de que alguien pueda sacar partido del dispositivo.

Siendo realistas: la mayoría de los ladrones están interesados en el hardware, no en tus hojas de cálculo. Pero no puedes saberlo, y el GDPR te exige demostrar que has tomado las medidas adecuadas. "Esperamos que no pase nada" no es una medida.

La checklist: qué hacer y en qué orden

Paso 1 — Notifícalo internamente de inmediato (en los primeros 15 minutos)

Acordad de antemano a quién se reportan los dispositivos perdidos o robados. En la mayoría de las pymes será el office manager o el propietario. Un único punto de contacto evita que tres personas intenten actuar a la vez o que nadie haga nada porque todos asumen que otro se encargará.

Paso 2 — Revoca las sesiones activas (en los primeros 30 minutos)

Este es el paso más importante y el que más se olvida. Cambiar una contraseña no es suficiente: las sesiones iniciadas previamente siguen funcionando con normalidad. En Microsoft 365 y Google Workspace puedes forzar el cierre de sesión en todos los dispositivos activos por usuario ("sign out everywhere"). Hazlo para:

• Microsoft 365 / Entra ID (o Google Workspace)
• El gestor de contraseñas
• El software de contabilidad
• Cualquier otra herramienta en la nube donde el empleado tuviera sesión abierta

Paso 3 — Restablece la contraseña y replantéate el dispositivo de 2FA

Restablece la contraseña principal de la cuenta de Microsoft o Google. ¿La app de 2FA también estaba en el dispositivo robado? Entonces tendrás que configurar el 2FA de nuevo en otro dispositivo; de lo contrario, el empleado quedará bloqueado fuera de su propia cuenta.

Paso 4 — Borra el dispositivo de forma remota (si es posible)

En un portátil con BitLocker o FileVault, los datos están cifrados siempre que nadie conozca la contraseña. En un teléfono puedes borrarlo de forma remota mediante "Buscar mi iPhone" o "Find My Device". Hazlo después de haber revocado las sesiones; de lo contrario, perderás el dispositivo antes de haber cerrado todo lo que estaba abierto en él.

Paso 5 — Documenta lo ocurrido

Anota: cuándo desapareció el dispositivo, cuándo se notificó, qué acciones se tomaron y a qué hora. Esto no es papeleo para guardar las apariencias. Si resulta que había datos personales sensibles en el dispositivo y debes notificarlo a la Autoridad de Protección de Datos, necesitarás esta línea temporal.

Paso 6 — Evalúa si se trata de una brecha de datos

¿Había datos de clientes en el dispositivo que no estaban cifrados? ¿Acceso a un buzón de correo con datos personales? En ese caso, es posible que se trate de una brecha de datos que debe notificarse en un plazo de 72 horas. En caso de duda: llama a tu responsable de GDPR o a un asesor legal. No notificar cuando debías haberlo hecho sale más caro que notificar de más.

Paso 7 — Denuncia y seguro

En caso de robo: presenta una denuncia ante la policía. Tu aseguradora lo requerirá, y puede ser útil si el dispositivo aparece. Guarda el número de denuncia junto con la documentación del incidente.

Preparación: lo que debes organizar ahora, no después

La checklist anterior solo funciona si la base técnica está en orden. Algunas cosas que debes tener configuradas antes de que ocurra el incidente:

• Cifrado de disco activado en todos los portátiles (BitLocker en Windows, FileVault en Mac). Por defecto, esto no siempre está habilitado.
• Bloqueo de pantalla con PIN o biometría en los teléfonos, activado automáticamente tras 1-2 minutos de inactividad.
• 2FA mediante una app o llave de seguridad, no por SMS. El SMS es más vulnerable y, además, inútil si el teléfono ha desaparecido.
• Una lista actualizada de dispositivos por empleado. ¿Quién tiene qué portátil y qué teléfono? Sin ese inventario, ni siquiera sabes qué debes borrar.
• La función "Buscar mi dispositivo" activada en todos los teléfonos y portátiles donde sea posible.

El papel del gestor de contraseñas

Si un empleado tenía sus contraseñas guardadas en el navegador y el portátil no estaba cifrado, todas esas contraseñas están comprometidas. Eso supone un trabajo enorme para resolver. Con un buen gestor de contraseñas, todo queda protegido tras una única contraseña maestra más 2FA, y esa contraseña maestra no está almacenada en el propio dispositivo. En un incidente, eso puede ahorrarte días de trabajo.

Practica el protocolo

Imprime la checklist, pégala en el interior de la puerta de un armario y haz un simulacro una vez al año: "imagina que el portátil de Marieke ha desaparecido, ¿quién hace qué?" Verás que hay algunas cosas que faltan en tu preparación. Mejor descubrirlo ahora que un viernes por la tarde a las cinco.

¿Necesitas ayuda?

Ayudamos a pymes regularmente a establecer un procedimiento de incidentes sencillo, a activar el 2FA y a configurar los accesos para poder actuar con rapidez en una situación así. Echa un vistazo a nuestro servicio Implementación de 2FA o solicita una revisión de accesos para ver en qué punto te encuentras ahora.