Cómo

Tres riesgos de ciberseguridad que las pequeñas empresas suelen pasar por alto

por Malwarebytes Labs | 3 de mayo de 2026
Un hombre caucásico en una tienda de bicicletas escribiendo en un portapapeles

Hay muchos aspectos de la seguridad que no tienen por qué ser «cibernéticos». No todo se reduce a hackers a los ataques complejos a las redes.

Además de los ciberataques tradicionales que utilizan malware o aprovechan vulnerabilidades conocidas del software, también existen formas de robo menos técnicas, pero igualmente devastadoras.

Esto no significa que no se deban aplicar las prácticas recomendadas de ciberseguridad más conocidas. Los propietarios de pequeñas empresas deben seguir utilizando contraseñas únicas para cada cuenta, activar la autenticación multifactorial, mantener actualizados sus programas y sistemas operativos, y ejecutar software de ciberseguridad de forma permanente.

Pero si eres el propietario de una pequeña empresa que tiene que hacer malabarismos a diario con decenas de cuentas, redes, dispositivos y la gran cantidad de datos que se crean, almacenan y comparten a través de mensajes de texto, correos electrónicos y portales en línea, este consejo va dirigido a ti.

Con motivo de la Semana Nacional de la Pequeña Empresa en EE. UU., aquí tienes tres formas de proteger tu negocio que no requieren grandes conocimientos técnicos.

No utilices tu número de la Seguridad Social como número de identificación fiscal

En Estados Unidos, el Servicio de Impuestos Internos (IRS) permite a los propietarios de pequeñas empresas utilizar su número de la Seguridad Social (SSN) personal como número de identificación fiscal federal. Se trata de una pequeña facilidad destinada a simplificar la contabilidad anual de los autónomos y los propietarios-empleados, pero para los ciberdelincuentes es un descuido básico que les gustaría que cometieran todas las pequeñas empresas.

Utilizar tu número de la Seguridad Social como número de identificación fiscal federal implica que cada vez más personas tendrán acceso a él. Esto se debe a que los impuestos de las pequeñas empresas son diferentes de los que se aplican a los empleados asalariados.

Cada vez que una pequeña empresa contrata a un nuevo cliente o a un proveedor que paga por servicios cuyo importe es de al menos 600 dólares, dicha empresa debe facilitar y recibir el denominado formulario W-9. Este formulario no se presenta ante el IRS, pero se utiliza para llevar un registro de los pagos de cara a futuras declaraciones.

Sin embargo, lo más importante es que en este formulario se solicita el nombre, la dirección y el número de identificación fiscal del propietario.

Esto significa que, a medida que una pequeña empresa crece, su vulnerabilidad ante el robo de identidad aumenta proporcionalmente. Cada formulario W-9 presentado en el que se utilice el número de la Seguridad Social del propietario como número de identificación fiscal supone una oportunidad más para que ese número sea robado. Tras solo un año de actividad, el número de la Seguridad Social del propietario de una pequeña empresa podría acabar en las bandejas de entrada, los archivadores y las unidades de almacenamiento en la nube de una docena de personas y empresas diferentes.

Esto es exactamente lo que buscan los ciberdelincuentes.

Si un ciberdelincuente se hace con el formulario W-9 de tu empresa, podría suplantar tu identidad o la de tu negocio. Podría abrir una línea de crédito empresarial, presentar declaraciones fraudulentas en las que reclame los ingresos de tu pequeña empresa o estafar a tus clientes.

Cómo mantenerse a salvo:

Solicita un número de identificación del empleador (EIN) gratuito en IRS.gov. Es un trámite rápido que permite separar la identidad fiscal de tu empresa de tu identidad fiscal personal. A continuación, indica el EIN en los formularios W-9, 1099 y en toda la demás documentación empresarial, en lugar de tu número de la Seguridad Social (SSN).

Mantén tu almacenamiento en la nube privado

El servicio de almacenamiento en la nube más popular entre la mayoría de los propietarios de pequeñas empresas es el que ya tienen: su cuenta personal de Google Drive o iCloud.

Diseñadas para facilitar al máximo el archivo de recuerdos, estas herramientas pueden hacer copias de seguridad y proteger automáticamente casi todos los momentos que se registran en tu dispositivo, desde las fotos de las vacaciones que hiciste el verano pasado hasta los primeros pasos de tu hijo grabados en vídeo, pasando por los mensajes que enviaste, las notas que tomaste y las citas del calendario que gestionaste.

Sin embargo, este tipo de archivado automático supone un riesgo para cualquier información no personal que consultes, envíes, marques o firmes cuando utilizas tu teléfono inteligente personal. De repente, y a menudo sin darte cuenta, tu almacenamiento en la nube contiene copias de seguridad de contratos firmados, declaraciones de impuestos, formularios de registro de clientes, facturas, estados financieros de la empresa y fotos de documentos físicos.

Anteriormente, advertimos sobre el uso de tu número de la Seguridad Social como número de identificación fiscal, ya que supone un riesgo si alguien de tu red empresarial sufre una filtración de datos. Sin embargo, almacenar la información de los clientes en tu espacio de almacenamiento en la nube personal plantea un problema diferente: ese riesgo recae directamente sobre ti.

A esta amenaza se suma el hecho de que muchas cuentas de almacenamiento en la nube personal se comparten con familiares. Cuanta más gente acceda a la misma cuenta, mayor es el riesgo de exposición y más posibilidades hay de que se cometan errores, aunque todos tengan buenas intenciones.

Cómo mantenerse a salvo:

Revisa la configuración de la copia de seguridad en la nube tanto en tu teléfono como en tu ordenador y gestiona qué datos se sincronizan. Traslada los archivos confidenciales de la empresa a una cuenta de almacenamiento empresarial específica que cuente con controles de acceso adecuados, permisos de uso compartido y registros de auditoría, es decir, algo que te permita saber quién ha abierto un archivo y cuándo.

Si tienes que guardar cualquier dato relacionado con tu trabajo en una cuenta de la nube personal, asigna a esa cuenta una contraseña segura y única, activa la autenticación multifactorial y no compartas el acceso con nadie más que tú.

Protege el acceso a los dispositivos y a las cuentas en el hogar

Los dispositivos tienen una curiosa forma de ir de un sitio a otro. Tu smartphone acaba en manos de tu pareja, que decide qué música poner en el coche. Tu tableta termina casi todas las noches en la habitación de tus hijos mientras ven la tele. Y tu portátil va de un lado a otro, del sofá a la encimera y a la mesa de la cocina, siempre completamente abierto y con la sesión iniciada, como una puerta de acceso a Internet.

Confías en que todos los que viven en tu casa se comportan de forma segura en Internet, pero el camino hacia la seguridad en la red está plagado de errores.

Hoy en día, basta con un solo clic erróneo en un anuncio falso, un resultado de búsqueda malicioso o una descarga camuflada para poner en peligro tu dispositivo, junto con todos los datos de tu pequeña empresa.

Además de la amenaza que supone el malware, alguien que utilice tu dispositivo podría realizar compras, borrar archivos sin querer y sobrescribir documentos importantes.

Recuerda que una «amenaza interna» no tiene por qué ser maliciosa para causar daños: basta con que se encuentre dentro de tu red (que, en este caso, es tu hogar).

Cómo mantenerse a salvo:

Trata los dispositivos que utilizas para el trabajo como si fueran dispositivos de trabajo. Esto implica exigir un código de acceso o una contraseña para acceder al dispositivo, además de una autenticación multifactorial para las cuentas profesionales importantes.

Además, para asegurarte de que ningún clic erróneo provoque la descarga de un PDF malicioso o la instalación involuntaria de malware, utiliza un software de protección antimalware que esté siempre activo, como Malwarebytes Teams.

Asegúrate el éxito

Es fácil sentirse abrumado ante la gran cantidad de consejos sobre ciberseguridad que hay hoy en día. Cada semana surgen nuevas vulnerabilidades que hay que corregir, estafas emergentes que hay que evitar y nuevos virus y programas maliciosos que, aparentemente, pueden hacerse con el control de tu dispositivo, tus datos y tu negocio.

Afortunadamente, hay medidas importantes que puedes tomar hoy mismo sin necesidad de modificar la configuración interna ni de hacer un curso de ingeniería de redes. Algunas de las medidas de protección más eficaces son muy sencillas: limita el alcance de la divulgación de información confidencial, mantén separados los datos empresariales de los personales y controla quién puede acceder a tus dispositivos.

Para todo lo demás, prueba Malwarebytes Teams y disfruta de una protección antimalware permanente, las 24 horas del día, los 7 días de la semana, para bloquear virus y ataques de malware, y mantener hackers de tu empresa.

Acerca del autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTÍCULOS

Noticias
semana de la seguridad

Una semana en materia de seguridad (4-10 de mayo)

Mayo 11, 2026

Lista de temas que tratamos durante la semana del 4 al 10 de mayo de 2026

Noticias
recordar contraseñas

Microsoft afirma que el comportamiento Edgecon respecto a las contraseñas en texto plano es «intencionado»

Mayo 8, 2026

Un investigador descubrió que Edge las contraseñas guardadas en la memoria del ordenador al iniciarse, lo que facilita su robo si el dispositivo ya ha sido comprometido.

Filtraciones de datos
Logotipo en lienzo

ShinyHunters intensifica los ataques contra Canvas con desfiguraciones de las páginas de inicio de sesión de los centros educativos

Mayo 8, 2026

Pocos días después del primer ataque, ShinyHunters está ejerciendo presión mediante mensajes de rescate en los portales de acceso de los centros educativos.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas