El espacio de trabajo en casa parece tranquilo: una taza, una manta, un gato en el alféizar y «cinco minutos — y me uno a la llamada». Pero para el equipo de seguridad de la información, «trabajar con datos corporativos desde casa» significa expandir el perímetro de la empresa hasta la cocina, la habitación de los niños y, perdón, el sofá. No es necesario que un atacante comprometa el centro de datos corporativo si puede entrar a través de un empleado: mediante un correo de phishing, una contraseña robada, una vulnerabilidad sin parchear o simplemente porque en el ordenador familiar todo es compartido y nadie recuerda quién instaló ese «acelerador de Internet» tan útil.
La situación empeora por pequeños detalles cotidianos. Los miembros de la casa pueden abrir por accidente archivos de trabajo, los niños pueden instalar un juego «inofensivo» con módulos publicitarios, los invitados pueden conectarse al Wi‑Fi doméstico y las mascotas pueden pulsar justo la combinación de teclas que envía el borrador del informe al lugar equivocado. La ironía es que gran parte de los incidentes no empieza con un cineasta ataque informático, sino con un muy humano «me fui un momento».
A continuación hay un conjunto práctico de medidas para la seguridad en el trabajo remoto sin paranoia ni magia. El objetivo es simple: que, incluso ante un error, el daño sea mínimo y la empresa no quede rehén de la distracción ajena.
Dispositivo: separar lo personal de lo laboral y tapar las brechas básicas
La opción más segura es un portátil corporativo separado, gestionado por la empresa. Pero la realidad suele ser más complicada: muchas personas usan «un ordenador compartido», un portátil familiar o un PC doméstico en el que conviven documentos de trabajo, un archivo de fotos de diez años y un navegador con cientos de extensiones. En esas condiciones el principio clave es la separación: el equipo de trabajo debe tener su propio espacio, sus propias cuentas de usuario y el conjunto mínimo de permisos.
El primer paso es crear un usuario distinto en el sistema solo para el trabajo. Sin permisos de administrador, sin «instalar lo que quiera», sin acceso a las carpetas familiares «por si acaso». Si la empresa usa perfiles laborales (por ejemplo, un perfil separado del navegador o MDM/Intune), conviene activarlos y no mezclarlos con las cuentas personales.
Después —actualizaciones. Una recomendación aburrida que salva más veces de las que gustaría: hay que activar las actualizaciones automáticas del sistema operativo, del navegador y de las aplicaciones de oficina. Conviene comprobar por separado que no se hayan desactivado las actualizaciones «porque molestaban para jugar/trabajar». A los programas maliciosos les encanta cuando una vulnerabilidad es más antigua que las plantas de casa.
Contraseñas y acceso. Nada de «una contraseña para todo» ni de «la recuerdo porque es corta». Hacen falta contraseñas largas y únicas y un gestor de contraseñas. Entre opciones razonables: Bitwarden o 1Password. También es útil guardar ahí los códigos de recuperación de la autenticación de dos factores, pero no en notas del teléfono sin bloqueo.
La autenticación de dos factores (2FA) debe estar activada en todos los servicios que lo permitan: correo, portales corporativos, nube, mensajería, VPN. Es preferible usar una aplicación autenticadora (por ejemplo, Microsoft Authenticator) o una llave física, si la empresa la proporciona. Los códigos por SMS son mejor que nada, pero peores que otras opciones.
Y sí, antivirus/protección de endpoints. Si la empresa instala EDR —bien, es su responsabilidad. Si no, al menos no desactivar la protección integrada del sistema operativo y no instalar «aceleradores», «limpiadores» y asistentes dudosos. Para comprobar archivos adjuntos sospechosos puede ser útil VirusTotal (pero no se deben subir archivos corporativos sin la autorización de la empresa: solo lo que no contenga datos confidenciales).
Wi‑Fi doméstico: el router también forma parte de la seguridad corporativa
El Wi‑Fi doméstico a menudo se percibe como «sin cables — ya es práctico». Pero para un atacante el router es un trampolín excelente: contraseña débil, firmware desactualizado, acceso remoto activado, y el tráfico puede ser interceptado o manipulado. Por eso «el Wi‑Fi doméstico» en el contexto del trabajo remoto no es un servicio doméstico, sino una pequeña infraestructura.
El conjunto mínimo de ajustes debería ser: WPA3 (o WPA2‑AES si no hay WPA3), una contraseña larga para la red, WPS desactivado y el firmware del router actualizado. La contraseña de administrador del router debe ser única y distinta (sí, «admin/admin» todavía existe y hace feliz a los atacantes).
Una buena práctica es usar una red de invitados. Los miembros del hogar, visitantes, televisores, consolas, bombillas «inteligentes» y otros dispositivos IoT deberían estar separados del equipo de trabajo. Si el router soporta aislamiento de clientes o VLAN —mejor aún. La idea es simple: el portátil de trabajo no necesita comunicarse con el comedero inteligente, por muy inteligente que sea.
Si la empresa exige una VPN, debe estar activada para las tareas laborales siempre, y no «solo cuando me acuerde». Y a la inversa: no conviene instalar VPN gratuitas dudosas para sortear algo personal en el mismo dispositivo donde se accede a sistemas corporativos. Es como echar un líquido desconocido al depósito de un coche de empresa y esperar que todo vaya bien.
Datos y correspondencia: por qué usar correo personal para asuntos de trabajo es mala idea
Una de las fuentes más comunes de problemas es usar «correo personal para cuestiones laborales». Parece una tontería enviarse un documento al Gmail «para imprimir». En la práctica eso convierte la gestión de datos en un caos: los archivos quedan fuera de las políticas corporativas, fuera del registro, fuera de DLP y a menudo sin protección adecuada. Además, es un canal cómodo para una fuga.
La regla suena dura, pero funciona: los datos corporativos deben permanecer en canales corporativos. Correo empresarial, mensajería corporativa, nube corporativa/gestión documental. Si hace falta pasar un archivo entre dispositivos, use las herramientas aprobadas (SharePoint/OneDrive/Google Workspace/Nextcloud corporativo — según lo tenga la organización), y no enviarse nada al correo personal.
Por separado —adjuntos y enlaces. El phishing dejó de ser «la carta del príncipe». Hoy son mensajes elaborados «de contabilidad», «del mensajero», «del soporte técnico», a menudo con estilo perfecto y logos correctos. La costumbre de verificar el dominio del remitente, no abrir adjuntos «automáticamente» y no introducir la contraseña tras un enlace del correo no es paranoia, sino seguridad de la información en el trabajo remoto.
Para documentos sensibles convienen medidas simples: cifrado del disco (BitLocker/FileVault), bloqueo de pantalla tras 1–2 minutos de inactividad, prohibir el autoguardado de contraseñas en extensiones no fiables, desactivar la autocompletación si el dispositivo lo usan varias personas. Y copias de seguridad: mejor tener un respaldo seguro que luego escribir por qué un ransomware «accidentalmente» cifró la carpeta del proyecto.
Finalmente, impresión y papel. Si se imprimen documentos en casa, deben guardarse con la misma diligencia que los digitales: no sobre la mesa de la cocina, no junto a dibujos infantiles y no al alcance de los invitados. El papel es un sorprendente canal de fuga offline.
Familiares, invitados y mascotas: seguridad física sin dramatismos
La amenaza doméstica no siempre es malintencionada. Con más frecuencia es curiosidad, prisa y el hábito de «solo voy a mirar». Si el puesto de trabajo está en una zona común, el riesgo aumenta: alguien puede pasar, fotografiar la pantalla «por diversión», un niño puede pulsar «permitir» porque apareció una ventana y el gato… porque es un gato.
La regla de trabajo es no dejar la pantalla desbloqueada sin supervisión. Ni siquiera 30 segundos. El bloqueo automático, una combinación rápida para bloquear y el hábito de cerrar el portátil al levantarse aportan mucha seguridad con muy poco esfuerzo.
Si se usa un equipo familiar, conviene pactar límites sencillos: no tocar el perfil de trabajo, instalar juegos solo desde una cuenta separada, no conectar unidades USB o discos externos «solo para comprobar». En el ideal no se trabaja con datos corporativos en un dispositivo compartido, pero si no hay alternativa, al menos minimizar las intersecciones.
Los detalles físicos también importan: mantener los vasos de agua lejos del portátil, fijar los cables, no dejar tokens/claves de trabajo a la vista, no apuntar la cámara web hacia documentos. Para las llamadas —usar auriculares, para que en casa no se oigan conversaciones confidenciales. Y un sitio propio para el portátil, donde la mascota no pueda «ayudar» a cerrar una ventana importante… llevándose por delante el trabajo no guardado.
Si algo sale mal: plan de acción en caso de incidente
Los errores ocurren incluso entre las personas cuidadosas. Por eso importa no solo la prevención, sino un plan claro de «qué hacer». Cuanto antes una persona comunique el problema, mayores las posibilidades de limitar el daño. El silencio tipo «lo soluciono yo» casi siempre empeora las cosas.
Plan básico: si llega un correo sospechoso y ya se hizo clic, informar inmediatamente a seguridad/IT, cambiar la contraseña (desde un dispositivo seguro) y comprobar que no se haya activado el reenvío automático o añadido «reglas» en la bandeja. Si el dispositivo se comporta de forma extraña —desconectarlo de la red (Wi‑Fi/cable) y escalar también de inmediato. Si se pierde un portátil o un teléfono —comunicarlo para que la empresa pueda bloquear el acceso remotamente, revocar sesiones y claves.
Es útil saber de antemano adónde escribir o llamar: dirección del Service Desk, canal de seguridad, teléfono de guardia. Y guardar esos contactos fuera del mismo portátil que podría «dejar de arrancar de repente».
Conclusión
Asegurar el trabajo remoto no es imaginar un mundo perfecto con una oficina separada para cada uno y un portátil corporativo bajo llave. Es crear hábitos realistas: separar lo personal y lo laboral, ordenar contraseñas y 2FA, poner en condiciones el Wi‑Fi doméstico, no llevar archivos corporativos al correo personal y no dejar la pantalla de trabajo abierta para todos, incluido el gato.
La buena noticia es que la mayoría de las medidas no requieren conocimientos especializados: son más disciplina que «magia técnica». Y también son una muestra de respeto hacia las colegas: un ordenador doméstico desprotegido puede crear problemas para toda la empresa. Por eso hay que ver la oficina en casa como parte de la infraestructura corporativa. Pequeña, pero infraestructura al fin y al cabo.
