El panorama de amenazas para empresas dominicanas
El atacante promedio no está interesado en tu empresa específicamente — está ejecutando ataques automatizados a escala buscando el objetivo más fácil. La pregunta relevante no es '¿por qué me atacarían a mí?' sino '¿qué tan fácil es comprometer mi operación?'. Estos son los vectores que concentran la mayoría de los incidentes reales en la región:
- Compromiso de correo empresarial (BEC): un atacante obtiene acceso a una cuenta de correo — típicamente por una contraseña reutilizada o un phishing — y desde ahí intercepta facturas, cambia números de cuenta y solicita transferencias. Es el fraude de mayor impacto económico y no requiere malware.
- Ransomware: cifrado de los sistemas de la empresa con exigencia de rescate. Entra por un adjunto malicioso, un RDP expuesto a internet o una credencial filtrada. Sin backups desconectados, la empresa queda entre pagar o perder la operación.
- Credenciales filtradas y reutilizadas: contraseñas expuestas en brechas de terceros que los empleados reutilizan en los sistemas de la empresa. Un atacante prueba esas combinaciones de forma automatizada (credential stuffing).
- Bases de datos y servicios expuestos: un servidor, un bucket de almacenamiento o una base de datos accesible desde internet sin autenticación. La mayoría se descubren con escaneos automáticos en horas, no días.
- Phishing dirigido: correos que suplantan a un proveedor, un banco o la gerencia para capturar credenciales o autorizar pagos. El eslabón más explotado sigue siendo el humano, no el técnico.
Ley 172-13: qué exige la protección de datos en RD
La Ley 172-13 sobre Protección de Datos de Carácter Personal es el marco dominicano que regula cómo las empresas recolectan, almacenan y tratan datos personales de clientes, empleados y terceros. No es opcional y su incumplimiento tiene consecuencias legales y reputacionales. Lo esencial para una empresa:
- Consentimiento y finalidad: los datos personales se recolectan con consentimiento y para un fin específico y legítimo. No puedes usar datos recolectados para una cosa con un propósito distinto sin base legal.
- Deber de seguridad: la empresa que trata datos personales está obligada a adoptar medidas técnicas y organizativas que garanticen su seguridad y eviten alteración, pérdida o acceso no autorizado.
- Derechos del titular: las personas tienen derecho a acceder, rectificar y suprimir sus datos. La empresa debe tener un mecanismo para atender esas solicitudes.
- Cadena de responsabilidad con proveedores: si usas un tercero (nube, SaaS, procesador de pagos) para tratar datos, la responsabilidad sobre esos datos sigue siendo tuya. La debida diligencia sobre tus proveedores es parte del cumplimiento.
Los controles que dan el 80% de la protección
La seguridad perfecta no existe, pero la mayoría de los incidentes se previenen con un conjunto reducido de controles fundamentales bien implementados. Priorízalos en este orden:
- 1Autenticación multifactor (MFA) en todo: correo, VPN, accesos administrativos, banca en línea y paneles de nube. El MFA por sí solo neutraliza la gran mayoría de los ataques basados en credenciales robadas. Es el control de mayor impacto por menor costo.
- 2Backups con la regla 3-2-1: tres copias, en dos medios distintos, una de ellas fuera de línea o inmutable. Un backup conectado a la red que el ransomware también cifra no es un backup. Prueba la restauración periódicamente — un backup que nunca se restauró es una suposición, no una garantía.
- 3Actualizaciones y parches: la mayoría de las intrusiones explotan vulnerabilidades conocidas para las que ya existe parche. Un proceso mínimo de actualización de sistemas operativos, aplicaciones y dependencias cierra la puerta más usada.
- 4Privilegio mínimo: cada usuario y cada sistema tiene solo los permisos que necesita. Cuando una cuenta se compromete, el daño se limita a lo que esa cuenta podía tocar. Elimina los accesos de administrador que nadie usa.
- 5Protección del correo: filtrado antiphishing, SPF/DKIM/DMARC configurados y alertas ante reglas de reenvío sospechosas. El correo es la puerta de entrada número uno.
- 6Registro y monitoreo (logging): sin registros no hay forma de saber qué pasó durante un incidente. Centraliza los logs de accesos y sistemas críticos y define alertas para eventos anómalos.
Seguridad en la nube: el modelo de responsabilidad compartida
Mover la operación a AWS, GCP o Azure no delega la seguridad al proveedor. Existe un modelo de responsabilidad compartida: el proveedor asegura la infraestructura física y la plataforma; tú eres responsable de la configuración, los accesos y los datos. La causa número uno de brechas en la nube no es un fallo del proveedor — es una configuración incorrecta del cliente.
- Almacenamiento expuesto: buckets o discos con permisos públicos que exponen datos sensibles. Revisa que nada esté accesible sin autenticación explícita.
- Identidades y permisos (IAM) demasiado amplios: cuentas de servicio con permisos de administrador que deberían tener acceso mínimo. Un IAM bien diseñado es la base de la seguridad en la nube.
- Secretos en el código: llaves de API, contraseñas y tokens hardcodeados en repositorios. Deben vivir en un gestor de secretos, nunca en el código ni en variables sin cifrar.
- Falta de cifrado y de MFA en la cuenta raíz: el cifrado en reposo y en tránsito debe ser el estándar, y la cuenta con mayores privilegios debe tener MFA obligatorio.
Respuesta a incidentes: no es si ocurre, es cuándo
Las empresas que manejan bien un incidente no son las que nunca lo tienen — son las que tenían un plan antes de necesitarlo. Un plan de respuesta mínimo define, por adelantado, quién hace qué cuando algo pasa:
- 1Detección y contención: cómo se identifica el incidente y qué acciones inmediatas se toman para limitar el daño (aislar sistemas, revocar accesos, cortar conexiones).
- 2Roles y contactos: quién lidera la respuesta, quién decide, a qué proveedor externo se llama y cómo se contacta a cada uno fuera de horario. Un directorio de emergencia impreso, porque los sistemas pueden estar caídos.
- 3Comunicación: qué se comunica, a quién y cuándo — clientes, empleados, autoridades. La Ley 172-13 y otros marcos pueden exigir notificación en ciertos casos.
- 4Recuperación: cómo se restauran los sistemas desde backups verificados y cómo se confirma que el atacante ya no tiene acceso antes de volver a producción.
- 5Lecciones aprendidas: después del incidente, qué control faltó y qué se cambia para que no se repita. Un incidente sin post-mortem es un incidente que volverá a pasar.
Cómo priorizar la inversión en seguridad
No se trata de comprar todas las herramientas del mercado, sino de invertir donde el riesgo real es mayor. Un enfoque práctico y honesto para una empresa que empieza a tomarse la seguridad en serio:
- Empieza por los controles fundamentales (MFA, backups, parches, privilegio mínimo): dan la mayor reducción de riesgo y muchos tienen costo cercano a cero más allá del tiempo de implementación.
- Haz un inventario de qué datos tienes y dónde: no puedes proteger lo que no sabes que existe. El inventario de datos y sistemas es el punto de partida de cualquier estrategia seria.
- Evalúa a tus proveedores críticos: tu seguridad es tan fuerte como la del eslabón más débil de tu cadena, incluyendo el SaaS y la nube que usas.
- Considera un seguro cibernético una vez que los controles básicos estén: el seguro cubre el impacto residual, no reemplaza los controles — la mayoría de las pólizas exigen MFA y backups para pagar.
- Formación del equipo: la mayoría de los ataques exitosos explotan a una persona, no a un sistema. Una capacitación breve y periódica sobre phishing y manejo de credenciales tiene un retorno altísimo.
Preguntas frecuentes
¿Cuánto debería invertir una empresa mediana en ciberseguridad?
¿Tengo que cumplir con la Ley 172-13 si soy una empresa pequeña?
¿Es suficiente con tener un buen antivirus?
¿Qué es lo más urgente si nunca hemos hecho nada de seguridad?
¿Vale la pena contratar un seguro cibernético?
¿Quieres saber qué tan expuesta está realmente tu operación? Hacemos una evaluación de seguridad honesta — sin vender miedo — que identifica tus riesgos reales y te da un plan priorizado por impacto.
Habla con el equipo