Lista de verificación de verano para pymes: entra en vacaciones sin sustos

El verano es el momento favorito de los estafadores: confían en que la oficina esté semivacía. Con esta lista práctica, tu pyme entra en el período vacacional sin sobresaltos.

El verano es época de vacaciones, y precisamente entonces es cuando ocurren los problemas. No porque los hackers trabajen más duro (aunque también lo hacen), sino porque las personas que normalmente ponen freno no están. El contable está en Creta, el director en una montaña de Austria, y el becario tiene permiso para "echar un ojo al correo". Antes de que te des cuenta, llega una factura urgente con un nuevo IBAN, y no hay nadie para "llamar y verificar si es correcto".

Unas pocas reglas sencillas antes de dejar la oficina semivacía en julio y agosto te ahorran muchos dolores de cabeza. A continuación, una lista práctica — no un manual extenso, solo las cosas que marcan la diferencia de verdad.

1. Acuerda de antemano quién puede autorizar qué

El clásico: el responsable de pagos está de vacaciones, llega una factura que "hay que pagar hoy mismo", y alguien más la transfiere "porque no puede esperar". Nueve de cada diez veces es normal. La décima es un fraude.

Antes del período vacacional, define por escrito:

• ¿Quién puede aprobar hasta qué importe cuando la persona habitual no está?
• ¿Quién hace de segunda revisión en pagos que superen un determinado importe?
• ¿Qué pagos esperan simplemente hasta después de las vacaciones? (Spoiler: más de los que crees.)

Ante cualquier IBAN nuevo o modificado: llama usando un número de tu propio registro, no el que aparece en el correo. Siempre. También en agosto.

2. Activa el mensaje de ausencia — pero no reveles demasiado

Un mensaje de ausencia es útil para los clientes, pero una mina de oro para los estafadores. "Estoy fuera hasta el 14 de agosto; para asuntos urgentes, contacta con Jan (jan@empresa.es, 06-12345678)" le dice a un defraudador exactamente cuánto tiempo tiene y a quién puede escribir haciéndose pasar por ti.

Mantenlo breve: "Estoy con disponibilidad limitada hasta mediados de agosto. Para asuntos urgentes: info@empresa.es." Sin fechas exactas, sin números de móvil personal, sin nombres de sustitutos que sean fáciles de suplantar.

3. Haz una revisión rápida de accesos antes de las vacaciones

Lo último que quieres es que un exempleado — o una cuenta de becario olvidada — acceda a algún sistema mientras nadie lo ve. Media hora de trabajo evita muchos problemas:

• Repasa los usuarios de tu entorno de correo (por ejemplo, Microsoft 365). ¿Aparece alguien que ya no debería estar?
• Comprueba quién tiene permisos de administrador. ¿Sigue siendo correcta esa lista?
• Revisa qué terceros externos (contable, agencia de marketing, freelancer) tienen acceso a qué sistemas.

¿Encuentras algo que ya no tiene sentido? Desactívalo. Reactivar una cuenta en septiembre lleva cinco minutos; gestionar una cuenta hackeada cuesta una semana entera.

4. Activa la verificación en dos pasos en todas las cuentas importantes

Esto ya lo tenías hecho, claro. Pero compruébalo igualmente. Correo, software de contabilidad, banco, registrador de dominios, el CMS de tu web. Una sola cuenta sin 2FA es suficiente para arruinar todo el verano.

No olvides los códigos de recuperación. Si el teléfono del director cae al mar en Ibiza, no querrás descubrir que los códigos para volver a iniciar sesión también estaban en ese teléfono. Imprímelos o guárdalos en tu gestor de contraseñas bajo una categoría aparte.

5. ¿Quién vigila el correo?

No para responderlo todo — sino para detectar si ocurre algo sospechoso. Un intento de inicio de sesión extraño, una solicitud de restablecimiento de contraseña, un proveedor que "de paso" facilita un nuevo número de cuenta. Acuerda que una persona revise semanalmente los buzones principales en busca de anomalías.

Revisa también los informes de SPF/DKIM/DMARC si los recibes. El verano es un período popular para hacer phishing en nombre de tu dominio, precisamente porque la probabilidad de ser detectado es menor.

6. Copias de seguridad: no solo que se ejecuten, sino que funcionen

Una copia de seguridad que se ejecuta cada noche correctamente pero que nunca se ha restaurado no es una copia de seguridad — es un archivo. Comprueba antes de las vacaciones si realmente puedes recuperar un fichero. Cinco minutos de trabajo, y sabrás con certeza que en la primera semana de agosto no te enfrentarás a un incidente de ransomware junto con una copia de seguridad inutilizable.

7. Elabora una lista de "a quién llamar" en papel

Suena anticuado, y lo es. Pero si todo falla — correo, sistema telefónico, portátil — un folio impreso con los números de teléfono de tu proveedor de TI, tu empresa de hosting, tu contable y tu banco vale su peso en oro. Cuélgalo en la oficina y deja una copia a quienes se queden en agosto.

En resumen

El verano no es en sí mismo un evento de seguridad, pero sí un período en el que los controles habituales no están. Cuatro puntos que marcan la mayor diferencia:

1. Segunda revisión en los pagos, especialmente ante nuevos IBAN.
2. Un mensaje de ausencia que no revele información sensible.
3. Una revisión rápida de quién tiene acceso a qué.
4. 2FA y códigos de recuperación para las cuentas importantes.

¿Quieres verificar antes del período vacacional si vuestro registro de accesos es correcto — quién tiene aún permisos sobre qué, y si realmente debería ser así? Nuestra revisión de accesos hace exactamente eso. Y si aparece un nuevo proveedor con un número de cuenta distinto: pásalo primero por el verificador IBAN antes de realizar cualquier transferencia.