Security · Enterprise|11 min de lectura|

Ciberseguridad para Empresas en República Dominicana: Guía Práctica

La ciberseguridad dejó de ser un tema exclusivo de bancos y multinacionales. Las empresas dominicanas de todos los tamaños operan hoy sobre sistemas conectados — nube, correo, ERP, pasarelas de pago — y cada uno de esos puntos es una superficie de ataque. La mayoría de los incidentes que vemos no vienen de atacantes sofisticados: vienen de controles básicos ausentes, configuraciones por defecto y falta de un plan de respuesta. Esta guía documenta las amenazas reales para empresas en RD, qué exige la Ley 172-13, y los controles concretos que dan la mayor protección por el menor costo — sin vender miedo y sin listas genéricas copiadas de otro mercado.

El panorama de amenazas para empresas dominicanas

El atacante promedio no está interesado en tu empresa específicamente — está ejecutando ataques automatizados a escala buscando el objetivo más fácil. La pregunta relevante no es '¿por qué me atacarían a mí?' sino '¿qué tan fácil es comprometer mi operación?'. Estos son los vectores que concentran la mayoría de los incidentes reales en la región:

  • Compromiso de correo empresarial (BEC): un atacante obtiene acceso a una cuenta de correo — típicamente por una contraseña reutilizada o un phishing — y desde ahí intercepta facturas, cambia números de cuenta y solicita transferencias. Es el fraude de mayor impacto económico y no requiere malware.
  • Ransomware: cifrado de los sistemas de la empresa con exigencia de rescate. Entra por un adjunto malicioso, un RDP expuesto a internet o una credencial filtrada. Sin backups desconectados, la empresa queda entre pagar o perder la operación.
  • Credenciales filtradas y reutilizadas: contraseñas expuestas en brechas de terceros que los empleados reutilizan en los sistemas de la empresa. Un atacante prueba esas combinaciones de forma automatizada (credential stuffing).
  • Bases de datos y servicios expuestos: un servidor, un bucket de almacenamiento o una base de datos accesible desde internet sin autenticación. La mayoría se descubren con escaneos automáticos en horas, no días.
  • Phishing dirigido: correos que suplantan a un proveedor, un banco o la gerencia para capturar credenciales o autorizar pagos. El eslabón más explotado sigue siendo el humano, no el técnico.

Ley 172-13: qué exige la protección de datos en RD

La Ley 172-13 sobre Protección de Datos de Carácter Personal es el marco dominicano que regula cómo las empresas recolectan, almacenan y tratan datos personales de clientes, empleados y terceros. No es opcional y su incumplimiento tiene consecuencias legales y reputacionales. Lo esencial para una empresa:

  • Consentimiento y finalidad: los datos personales se recolectan con consentimiento y para un fin específico y legítimo. No puedes usar datos recolectados para una cosa con un propósito distinto sin base legal.
  • Deber de seguridad: la empresa que trata datos personales está obligada a adoptar medidas técnicas y organizativas que garanticen su seguridad y eviten alteración, pérdida o acceso no autorizado.
  • Derechos del titular: las personas tienen derecho a acceder, rectificar y suprimir sus datos. La empresa debe tener un mecanismo para atender esas solicitudes.
  • Cadena de responsabilidad con proveedores: si usas un tercero (nube, SaaS, procesador de pagos) para tratar datos, la responsabilidad sobre esos datos sigue siendo tuya. La debida diligencia sobre tus proveedores es parte del cumplimiento.
Si tu empresa procesa pagos con tarjeta, además de la Ley 172-13 aplica el estándar PCI-DSS, exigido por las marcas y adquirentes. Y si manejas datos de residentes de la Unión Europea, el GDPR aplica sin importar que operes desde RD. El cumplimiento no es una sola casilla: depende de qué datos manejas y de dónde son sus titulares.

Los controles que dan el 80% de la protección

La seguridad perfecta no existe, pero la mayoría de los incidentes se previenen con un conjunto reducido de controles fundamentales bien implementados. Priorízalos en este orden:

  1. 1Autenticación multifactor (MFA) en todo: correo, VPN, accesos administrativos, banca en línea y paneles de nube. El MFA por sí solo neutraliza la gran mayoría de los ataques basados en credenciales robadas. Es el control de mayor impacto por menor costo.
  2. 2Backups con la regla 3-2-1: tres copias, en dos medios distintos, una de ellas fuera de línea o inmutable. Un backup conectado a la red que el ransomware también cifra no es un backup. Prueba la restauración periódicamente — un backup que nunca se restauró es una suposición, no una garantía.
  3. 3Actualizaciones y parches: la mayoría de las intrusiones explotan vulnerabilidades conocidas para las que ya existe parche. Un proceso mínimo de actualización de sistemas operativos, aplicaciones y dependencias cierra la puerta más usada.
  4. 4Privilegio mínimo: cada usuario y cada sistema tiene solo los permisos que necesita. Cuando una cuenta se compromete, el daño se limita a lo que esa cuenta podía tocar. Elimina los accesos de administrador que nadie usa.
  5. 5Protección del correo: filtrado antiphishing, SPF/DKIM/DMARC configurados y alertas ante reglas de reenvío sospechosas. El correo es la puerta de entrada número uno.
  6. 6Registro y monitoreo (logging): sin registros no hay forma de saber qué pasó durante un incidente. Centraliza los logs de accesos y sistemas críticos y define alertas para eventos anómalos.

Seguridad en la nube: el modelo de responsabilidad compartida

Mover la operación a AWS, GCP o Azure no delega la seguridad al proveedor. Existe un modelo de responsabilidad compartida: el proveedor asegura la infraestructura física y la plataforma; tú eres responsable de la configuración, los accesos y los datos. La causa número uno de brechas en la nube no es un fallo del proveedor — es una configuración incorrecta del cliente.

  • Almacenamiento expuesto: buckets o discos con permisos públicos que exponen datos sensibles. Revisa que nada esté accesible sin autenticación explícita.
  • Identidades y permisos (IAM) demasiado amplios: cuentas de servicio con permisos de administrador que deberían tener acceso mínimo. Un IAM bien diseñado es la base de la seguridad en la nube.
  • Secretos en el código: llaves de API, contraseñas y tokens hardcodeados en repositorios. Deben vivir en un gestor de secretos, nunca en el código ni en variables sin cifrar.
  • Falta de cifrado y de MFA en la cuenta raíz: el cifrado en reposo y en tránsito debe ser el estándar, y la cuenta con mayores privilegios debe tener MFA obligatorio.
El error más costoso es asumir que 'estamos en la nube, entonces estamos seguros'. La nube te da mejores herramientas de seguridad que un servidor propio, pero solo si las configuras. Una migración a la nube sin una revisión de configuración de seguridad traslada el riesgo, no lo elimina.

Respuesta a incidentes: no es si ocurre, es cuándo

Las empresas que manejan bien un incidente no son las que nunca lo tienen — son las que tenían un plan antes de necesitarlo. Un plan de respuesta mínimo define, por adelantado, quién hace qué cuando algo pasa:

  1. 1Detección y contención: cómo se identifica el incidente y qué acciones inmediatas se toman para limitar el daño (aislar sistemas, revocar accesos, cortar conexiones).
  2. 2Roles y contactos: quién lidera la respuesta, quién decide, a qué proveedor externo se llama y cómo se contacta a cada uno fuera de horario. Un directorio de emergencia impreso, porque los sistemas pueden estar caídos.
  3. 3Comunicación: qué se comunica, a quién y cuándo — clientes, empleados, autoridades. La Ley 172-13 y otros marcos pueden exigir notificación en ciertos casos.
  4. 4Recuperación: cómo se restauran los sistemas desde backups verificados y cómo se confirma que el atacante ya no tiene acceso antes de volver a producción.
  5. 5Lecciones aprendidas: después del incidente, qué control faltó y qué se cambia para que no se repita. Un incidente sin post-mortem es un incidente que volverá a pasar.
Haz un simulacro de una hora al año: 'el ransomware cifró el servidor principal, ¿qué hacemos?'. Los huecos que descubres en un simulacro tranquilo son infinitamente más baratos que los que descubres durante un incidente real a las 3 de la madrugada.

Cómo priorizar la inversión en seguridad

No se trata de comprar todas las herramientas del mercado, sino de invertir donde el riesgo real es mayor. Un enfoque práctico y honesto para una empresa que empieza a tomarse la seguridad en serio:

  • Empieza por los controles fundamentales (MFA, backups, parches, privilegio mínimo): dan la mayor reducción de riesgo y muchos tienen costo cercano a cero más allá del tiempo de implementación.
  • Haz un inventario de qué datos tienes y dónde: no puedes proteger lo que no sabes que existe. El inventario de datos y sistemas es el punto de partida de cualquier estrategia seria.
  • Evalúa a tus proveedores críticos: tu seguridad es tan fuerte como la del eslabón más débil de tu cadena, incluyendo el SaaS y la nube que usas.
  • Considera un seguro cibernético una vez que los controles básicos estén: el seguro cubre el impacto residual, no reemplaza los controles — la mayoría de las pólizas exigen MFA y backups para pagar.
  • Formación del equipo: la mayoría de los ataques exitosos explotan a una persona, no a un sistema. Una capacitación breve y periódica sobre phishing y manejo de credenciales tiene un retorno altísimo.

Preguntas frecuentes

¿Cuánto debería invertir una empresa mediana en ciberseguridad?
No hay un número universal, pero un punto de partida razonable es 5-10% del presupuesto de TI para una empresa mediana. Más importante que el monto es la asignación: los controles fundamentales (MFA, backups, parches, formación) dan la mayor reducción de riesgo y muchos tienen costo cercano a cero. La inversión debe crecer con la criticidad de los datos que manejas, no con el tamaño de la empresa por sí solo.
¿Tengo que cumplir con la Ley 172-13 si soy una empresa pequeña?
Sí. La Ley 172-13 aplica a cualquier persona física o jurídica que trate datos personales en RD, sin un umbral de tamaño de empresa. Si guardas datos de clientes, empleados o proveedores, estás obligado al deber de seguridad y a respetar los derechos de los titulares. El nivel de formalización puede ser proporcional a tu operación, pero la obligación existe desde el primer dato personal que manejas.
¿Es suficiente con tener un buen antivirus?
No. El antivirus es un control necesario pero cubre solo una parte del riesgo. No detiene un compromiso de correo por credenciales robadas, una configuración expuesta en la nube, un fraude de transferencia por BEC ni un empleado que autoriza un pago fraudulento. La seguridad efectiva es una combinación de controles en capas — el antivirus es una de esas capas, no la estrategia completa.
¿Qué es lo más urgente si nunca hemos hecho nada de seguridad?
En este orden: activar MFA en el correo y los accesos administrativos, verificar que tienes backups desconectados y probados, y confirmar que no hay servicios ni bases de datos expuestos a internet sin autenticación. Estos tres controles, solos, cierran los vectores de mayor impacto y se pueden implementar en días, no meses.
¿Vale la pena contratar un seguro cibernético?
Es útil como cobertura del riesgo residual una vez que los controles básicos están implementados, no como sustituto de ellos. La mayoría de las pólizas exigen requisitos mínimos (MFA, backups, gestión de parches) para que la cobertura sea válida, y una empresa sin esos controles puede ver rechazada una reclamación. Primero los controles, después el seguro.

¿Quieres saber qué tan expuesta está realmente tu operación? Hacemos una evaluación de seguridad honesta — sin vender miedo — que identifica tus riesgos reales y te da un plan priorizado por impacto.

Habla con el equipo

Artículos relacionados

Camilo José María Castillo
Camilo José María Castillo

Cofundador y Líder Técnico

Jairo Gabriel Melo Jiménez
Jairo Gabriel Melo Jiménez

Cofundador · Cloud, DevOps e Infraestructura

IQS | Ciberseguridad para Empresas en RD: Guía Práctica | IQS