No te atacan porque seas famoso: te atacan porque eres accesible. Y normalmente no entran “hackeando”, entran convenciendo a alguien para que haga clic, meta una contraseña o apruebe un acceso.

La solución no es dar una charla técnica. Es cambiar 5 hábitos y fijar 3 reglas internas.

1) Objetivo real de la hora

Al terminar, tu equipo debe:

  • Detectar phishing sin ponerse a “investigar”.
  • Dejar de reutilizar contraseñas y empezar a gestionarlas bien.
  • Tener MFA activado en cuentas críticas.
  • Trabajar con accesos por persona y permisos mínimos.
  • Saber qué hacer si alguien cae.

2) Agenda de 60 minutos

2.1) 0–5 min: contexto (1 idea)

La seguridad es continuidad del negocio.
Un acceso robado no es “un susto”: es pérdida de control (correo, Ads, redes, facturación, clientes).

2.2) 5–25 min: phishing que os va a llegar (de verdad)

– Cómo funciona el phishing hoy

No buscan “técnicos”. Buscan gente ocupada.

Patrones que se repiten:

  • Te meten prisa: “en 12 horas se bloquea”.
  • Te imponen autoridad: “banco / CEO / asesoría / Microsoft”.
  • Te dan una tarea sencilla: “revisar documento”, “confirmar pago”, “actualizar contraseña”.
  • Te llevan a una pantalla de login clonada.

– Ejemplo 1: “Microsoft 365: sesión caducada”

Qué pasa: alguien inicia sesión en una web falsa.
Consecuencia típica: el atacante entra al correo real y crea reglas para ocultar respuestas (“filtros invisibles”). Luego ataca a proveedores o pide cambios de cuenta bancaria.

Respuesta correcta:

  • Nunca iniciar sesión desde el enlace.
  • Entrar por la vía habitual (marcador / URL conocida).
  • Si ya has metido contraseña: cambiarla y revisar sesiones y reglas.

– Ejemplo 2: “factura pendiente” con adjunto

Truco común: adjunto con nombre normal, pero formato raro: .zip, .html, .iso, “documento protegido”.
Objetivo: instalar malware o robar credenciales.

Respuesta correcta:

  • Verificar con el proveedor por el canal habitual (no el del correo).
  • Si es pago, doble validación interna.

– Ejemplo 3: fraude del CEO (“estoy reunido, haz la transferencia”)

Funciona en pymes porque la cadena es corta y la confianza es alta.

Regla interna que lo mata:

  • Ningún pago urgente sin verificación por llamada (y punto).

2.3) 25–45 min: contraseñas (lo que sí funciona en empresa)

– Lo que está causando incidentes ahora mismo

  • Reutilización.
  • Contraseñas cortas.
  • Credenciales compartidas en WhatsApp.
  • “Un usuario para todos” en redes/Ads/ecommerce.

– Estándar mínimo para empresa

  • Contraseñas únicas y largas.
  • Guardadas en un gestor.
  • Nada de “cuentas compartidas” si se puede evitar.

– Ejemplo

Mal hábito:

  • “Usamos la misma contraseña para varias cosas porque si no, nadie se acuerda”.

Solución realista:

  • Un gestor de contraseñas.
  • Cada persona con su usuario.
  • Accesos compartidos solo a través del gestor (no por mensajes).

– Frase que vale oro

La contraseña no es una cosa para memorizar; es una cosa para gestionar.

2.4) 45–55 min: accesos seguros (MFA + permisos + control)

– MFA (doble factor): prioridad absoluta

Si solo haces una cosa este mes, haz esta.

Orden recomendado:

  1. Correo corporativo (Microsoft 365 / Google Workspace)
  2. Google Ads / Meta Business / redes sociales
  3. Facturación / banca / ERP
  4. Ecommerce / CRM
  5. Gestor de contraseñas

– Permisos mínimos (sin bloquear el trabajo)

  • Admin: 1–2 personas.
  • Resto: lo justo para su función.

Esto reduce:

  • Daño accidental.
  • Daño si se roba una cuenta.
  • Problemas cuando alguien se va.

– Alta y baja: el agujero típico en pymes

Define un proceso simple:

Alta

  • Cuenta personal
  • Rol correcto
  • MFA activado
  • Accesos por gestor

Baja

  • Revocar accesos
  • Cerrar sesiones
  • Rotar accesos compartidos
  • Revisar Ads/redes/CRM

2.5) 55–60 min: 5 reglas internas (cortas) para que esto se cumpla

  1. No se inicia sesión desde enlaces de correos.
  2. Pagos urgentes: verificación por llamada obligatoria.
  3. MFA activo en correo y plataformas críticas.
  4. Cada persona con su usuario; nada de cuentas compartidas.
  5. Contraseñas únicas en gestor; prohibido pasarlas por mensajes.

3) Caso real (muy habitual): “me han robado el correo y ahora piden pagos”

Secuencia típica:

  1. Robo de contraseña (phishing).
  2. Acceso al correo.
  3. Regla para ocultar mails (“si llega del proveedor X, archivar”).
  4. Suplantación: envían “nuevo IBAN”.
  5. Transferencia a cuenta fraudulenta.

Lección para equipo:

  • El correo es la llave maestra de todo.
  • MFA en correo reduce muchísimo este escenario.

4) Qué revisar en tu empresa (sin hacer auditorías eternas)

  • ¿Correo con MFA?
  • ¿Google Ads / Meta con MFA?
  • ¿Hay cuentas compartidas?
  • ¿Se reutilizan contraseñas?
  • ¿Hay proceso de baja de accesos?

Cuando toca revisar exposición externa (web y configuración visible), una auditoría externa rápida ayuda a priorizar. En ese punto puede encajar usar BlackboxRadar para detectar señales visibles y puntos de mejora desde fuera (sin entrar en la infraestructura). Solo como apoyo para ordenar prioridades.

5) FAQs

¿Esto sirve para marketing y perfiles no técnicos?

Sí, porque el 80% del riesgo entra por hábitos: correo, enlaces, contraseñas y permisos.

¿Qué hago si alguien cae en phishing?

  • Cambiar contraseña desde el acceso real.
  • Cerrar sesiones activas.
  • Activar MFA si no estaba.
  • Revisar reglas/filtros de correo.
  • Avisar internamente para evitar que el ataque se propague.

¿Compartir usuario en Ads o redes es tan grave?

Sí. Pierdes trazabilidad, control de permisos y la salida de una persona se convierte en crisis.

¿MFA por SMS vale?

Mejor que nada. Preferible app de autenticación o llave física si procede. Para pymes, con app suele ser suficiente.

¿Cuál es el mínimo viable si tengo 15 minutos?

MFA en correo + Ads y prohibir pagos urgentes sin llamada.