Compartir archivos de forma segura en la pyme: sin que nadie tenga que aprender una nueva aplicación

La mayoría de las brechas de datos en las pymes no las causan hackers, sino un enlace compartido por error o una cuenta de invitado olvidada. Así organizas el intercambio seguro de archivos en una tarde.

Seguro que lo has visto alguna vez: un compañero comparte rápidamente un documento por WeTransfer, un proveedor envía por WhatsApp un archivo Excel con datos de clientes, o alguien abre una carpeta compartida "por si acaso, para todo el mundo". Funciona y nadie se queja. Hasta que un archivo acaba donde no debe.

Compartir archivos de forma segura suena a algo reservado para grandes empresas con departamento de IT. No lo es. Con unos pocos acuerdos sencillos lo tienes resuelto en una tarde, sin comprar software nuevo. A continuación, un enfoque práctico.

Por qué esto importa (aunque seáis pequeños)

La mayoría de las brechas de datos en las pymes no vienen de hackers, sino de un enlace enviado al destinatario equivocado o de un archivo adjunto que lleva demasiado tiempo disponible. Por ejemplo:

• Un presupuesto con datos de clientes que lleva meses accesible a través de un enlace público.
• Una carpeta compartida a la que el becario del año pasado todavía puede entrar.
• Un archivo ZIP con nóminas enviado por correo ordinario, sin contraseña.

El GDPR exige que adoptes "medidas apropiadas". Para las pymes eso se traduce en: asegúrate de que solo las personas adecuadas puedan acceder, y solo durante el tiempo necesario.

Tres tipos de archivos, tres enfoques

Antes de elegir herramientas, clasifica lo que compartes. No todo requiere el mismo tratamiento.

1. Archivos puntuales hacia el exterior

Un presupuesto para un cliente potencial, una factura para el contable, un borrador de contrato para un cliente. Algo puntual, con un destinatario concreto.

Qué funciona: el enlace de compartición de OneDrive, SharePoint o Google Drive, configurado en "personas específicas" o "cualquier persona con el enlace y una contraseña". Establece una fecha de caducidad (por ejemplo, 14 días). Para asuntos especialmente sensibles: pon el archivo en solo lectura y no concedas permisos de descarga al destinatario.

2. Colaboración continuada

Una carpeta de proyecto con un diseñador externo, una planificación compartida con tu asesor fiscal, o un expediente de cliente en el que trabajan dos equipos.

Qué funciona: invita a los externos como invitados en tu entorno de Microsoft 365 o Google Workspace y da acceso por carpeta. No archivo por archivo (se vuelve inmanejable) ni al nivel de carpeta raíz (verán más de lo que deben). Pon en tu calendario quince minutos cada tres meses para revisar la lista de invitados.

3. Archivos grandes o confidenciales

Archivos de vídeo, una exportación de base de datos, una carpeta llena de escaneos con datos personales. Demasiado grande para el correo, demasiado sensible para un enlace público.

Qué funciona: una carpeta compartida temporal con contraseña y fecha de caducidad, o un archivo ZIP cifrado en el que la contraseña se envía por un canal distinto (teléfono, SMS). No por el mismo canal donde está el archivo, porque entonces la contraseña no sirve de nada.

Cuatro reglas prácticas que marcan la diferencia

1. El correo electrónico es para archivos sin contenido sensible. Un folleto general puede ir como adjunto. Una lista de clientes, una nómina o una copia del DNI no. En esos casos, envía un enlace con control de acceso.
2. Nunca uses "cualquier persona con el enlace" sin fecha de caducidad. Ese enlace vive para siempre, aunque se reenvíe. Establece por defecto 7 o 14 días.
3. Trabaja con carpetas, no con archivos sueltos. Gestionar permisos archivo por archivo se convierte en un caos. Crea una estructura de carpetas donde el acceso sea lógico: una carpeta de clientes, una de proveedores, una interna.
4. Limpia al terminar. ¿Proyecto finalizado? ¿Relación externa concluida? Elimina el acceso esa misma semana. No "más adelante". Más adelante no llega.

Lo que es mejor evitar

• Compartir archivos de trabajo por WhatsApp. No tienes control sobre quién tiene qué, y los archivos quedan en teléfonos personales.
• Ir y venir con memorias USB. Ya lo escribimos antes: ese pendrive de feria es un riesgo en sí mismo.
• Usar cuentas personales de Dropbox o Google Drive para documentos de empresa. Si ese empleado se va, los archivos se van con él.
• Enviar la contraseña en el mismo correo que el archivo. Parece obvio; pasa todos los días.

Una mini-revisión para la semana que viene

No hace falta ningún despliegue a gran escala. Reserva media hora y haz estas cuatro cosas:

1. Abre SharePoint, OneDrive o Google Drive y revisa qué enlaces de compartición están activos. Muchos portales de administración lo muestran en "Compartido" o "Acceso externo".
2. Elimina o restringe todo lo que tenga más de tres meses y ya no sea necesario.
3. Configura como predeterminado que los nuevos enlaces de compartición caduquen a los 14 días.
4. Crea un lugar fijo (una nota interna o una página corta) donde quede recogido: así compartimos archivos nosotros. Con dos páginas es suficiente.

Parece poco, pero evitas el 80 % de las filtraciones habituales. El resto tiene que ver con buenos acuerdos, no con software más caro.

¿Quieres que echemos un vistazo?

¿Quieres saber quién tiene acceso en este momento a vuestras carpetas, buzones y sistemas compartidos? Para eso está exactamente nuestra revisión de accesos: un análisis estructurado con el que podrás seguir trabajando por tu cuenta. Y si además quieres mantener seguro tu correo en este tipo de intercambios, echa un vistazo a la protección del correo con SPF, DKIM y DMARC.