Para proteger el teletrabajo y el acceso remoto, la receta básica combina cinco piezas: equipos corporativos gestionados, identidad protegida con autenticación multifactor (MFA), conexiones cifradas (VPN o acceso por aplicación), políticas de acceso mínimo y formación de las personas. Ninguna de ellas resuelve el problema por sí sola; la seguridad real surge de aplicarlas juntas y mantenerlas en el tiempo. A continuación lo desarrollamos punto por punto, con un enfoque honesto sobre qué hace falta y dónde están los límites.
Por qué el teletrabajo cambia el riesgo
Cuando todo el mundo trabajaba dentro de la oficina, el perímetro era sencillo de imaginar: una red, un cortafuegos y los equipos controlados detrás. Con el teletrabajo ese perímetro se difumina. Las personas se conectan desde sus casas, desde el portátil del salón o desde una red wifi compartida, y acceden a los mismos datos que antes vivían "puertas adentro". El riesgo no es que el teletrabajo sea malo, sino que amplía la superficie expuesta: más dispositivos, más redes y más sitios desde los que algo puede salir mal.
La buena noticia es que cada uno de esos riesgos tiene una contramedida conocida. No hace falta reinventar nada: hay que aplicar de forma ordenada medidas que ya están probadas.
VPN: conexión cifrada a lo que está dentro
Una VPN (red privada virtual) crea un túnel cifrado entre el equipo de la persona y la red de la empresa. Sirve para que, aunque la conexión viaje por internet o por una wifi ajena, nadie pueda leer lo que circula por ella. Es especialmente útil cuando necesitas acceder a recursos internos: un servidor de archivos, una aplicación instalada en la oficina o una base de datos local.
Ahora bien, conviene ser honestos sobre sus límites. La VPN protege el transporte, pero no convierte por arte de magia en seguro un equipo que ya está infectado: si el portátil tiene malware, ese malware entra por el túnel igual que la persona. Por eso la VPN se combina siempre con equipos sanos y con accesos limitados. Si tu operativa está cada vez más en la nube, puede que necesites menos VPN y más control de identidad. Para diseñar el modelo adecuado a tu caso, en 3L Systems trabajamos las conexiones seguras según lo que realmente tengas que proteger.
MFA: la barrera que detiene la mayoría de los ataques
La autenticación multifactor (MFA) exige, además de la contraseña, un segundo factor: una notificación en el móvil, un código temporal o una llave física. Es, probablemente, la medida con mejor relación entre esfuerzo y protección que existe hoy. La mayoría de los ataques de robo de credenciales fracasan en cuanto hay un segundo factor por medio, porque tener la contraseña deja de ser suficiente para entrar.
En un escenario de teletrabajo, donde las contraseñas viajan, se reutilizan y caen en campañas de phishing, el MFA pasa de ser recomendable a imprescindible. Si quieres entender cómo funciona en detalle, lo explicamos en qué es el MFA. La gestión de quién accede a qué, y con qué garantías, es parte de nuestro servicio de identidades y accesos.
Si solo pudieras hacer una cosa hoy: activa el MFA en el correo y en el acceso a tus aplicaciones de empresa. Es la medida que más ataques detiene con menos esfuerzo, y se puede poner en marcha en poco tiempo.
Equipos gestionados: el dispositivo importa tanto como la conexión
De poco sirve una conexión cifrada si el equipo desde el que se trabaja no está bajo control. Un equipo gestionado es aquel que la empresa administra de forma centralizada: tiene el sistema y el antivirus actualizados, el disco cifrado, una contraseña robusta y políticas que se aplican solas. Si se pierde o lo roban, se puede bloquear o borrar en remoto; si aparece una amenaza, se ve desde la administración.
Frente a esto, dejar que cada persona use su ordenador personal "como pueda" introduce incertidumbre: no sabes si está parcheado, si comparte el equipo con la familia o si tiene un disco sin cifrar. Si se permite el dispositivo personal, debe ser bajo políticas que garanticen un mínimo y que separen los datos de la empresa de los personales. Toda esta capa es lo que cubrimos con la protección de equipos dentro de nuestro enfoque de ciberseguridad.
Redes domésticas: el eslabón que no se ve
La red de casa es terreno que la empresa no controla, y eso pide unas precauciones razonables sin caer en la paranoia:
- Router con la contraseña cambiada: muchos routers domésticos siguen con la clave de fábrica. Cambiar la contraseña de administración y la del wifi es lo primero.
- Wifi con cifrado moderno: usar WPA2 o WPA3 y una contraseña larga, no la pegatina del router.
- Firmware actualizado: un router sin actualizar es una puerta conocida. Conviene revisarlo de vez en cuando.
- Evitar las redes wifi públicas para tareas sensibles: y, si no hay más remedio, hacerlo siempre a través de la conexión cifrada de la empresa.
No se trata de auditar la casa de cada empleado, sino de dar pautas claras y de que el acceso a la empresa esté protegido independientemente de cómo de buena o mala sea la red desde la que se conecta.
Buenas prácticas para el día a día
La tecnología pone la red de seguridad; las personas marcan la diferencia. Estas costumbres reducen muchísimo el riesgo:
- Contraseñas únicas y un gestor de contraseñas para no reutilizarlas ni apuntarlas en un papel.
- Bloquear la pantalla al levantarse, también en casa.
- Desconfiar de correos y mensajes con urgencias raras, enlaces o adjuntos inesperados.
- Actualizar sistema y aplicaciones cuando lo pidan, sin posponerlo indefinidamente.
- No instalar software de dudosa procedencia en el equipo de trabajo.
- Guardar el trabajo en los sistemas de la empresa (no en el escritorio local) para que entre en las copias de seguridad.
Estas prácticas se sostienen con formación periódica. Un equipo que sabe reconocer un intento de fraude vale más que cualquier herramienta, porque es la última barrera cuando algo se cuela.
Errores comunes que conviene evitar
Por experiencia en proyectos reales, estos son los tropiezos que más se repiten:
- Pensar que la VPN lo arregla todo: protege la conexión, no el equipo ni la cuenta. Sin MFA y sin equipos sanos, se queda corta.
- Dejar el MFA "para más adelante": es justo la medida que no debería esperar.
- Dar a cada persona más acceso del necesario: el acceso mínimo limita el daño si una cuenta se ve comprometida. Es la base del enfoque de confianza cero.
- No tener copias de seguridad: el teletrabajo dispersa los datos; si no se centralizan y se copian, un incidente puede ser irreversible.
- Olvidarse de las cuentas que salen: cuando alguien deja la empresa, hay que revocar sus accesos remotos sin demora.
Una palabra sobre normativa
El teletrabajo no exime de cumplir con la protección de datos ni con las obligaciones de seguridad que apliquen a tu sector. En términos generales, marcos como el RGPD y, según el caso, otras normativas de ciberseguridad esperan que se apliquen medidas técnicas y organizativas adecuadas: accesos identificados y mínimos, cifrado, trazabilidad y formación. La forma concreta de cumplir y los plazos dependen de cada empresa y de su actividad, así que esto es orientativo: para tener certeza conviene revisarlo con asesoramiento especializado y no darlo por hecho.
En resumen
Proteger el teletrabajo no consiste en una herramienta milagrosa, sino en encajar bien varias piezas: equipos gestionados, MFA, conexiones cifradas, acceso mínimo, copias y personas formadas. Hecho con criterio, trabajar en remoto puede ser tan seguro como hacerlo en la oficina. En 3L Systems ayudamos a empresas a diseñar y poner en marcha ese conjunto de medidas de forma proporcionada a su tamaño y a su riesgo, sin vender humo y sin complicarlo más de lo necesario.
Preguntas frecuentes
¿Es seguro teletrabajar desde casa?
Puede serlo si se hace bien. El teletrabajo no es inseguro por naturaleza: el riesgo aparece cuando se conecta un equipo sin proteger a recursos de la empresa desde una red que no se controla. Con equipos gestionados, MFA, conexiones cifradas y unas buenas prácticas básicas, trabajar en remoto puede ser tan seguro como hacerlo en la oficina. La clave está en aplicar las medidas, no en prohibir el teletrabajo.
¿Necesito una VPN para teletrabajar?
Depende de a qué necesites acceder. Si tus aplicaciones están en la nube, muchas veces basta con identidad protegida con MFA y políticas de acceso. La VPN sigue siendo útil para acceder a recursos internos (servidores, carpetas de red, aplicaciones locales) mediante un túnel cifrado. Hoy también existen enfoques de acceso por aplicación, dentro de un modelo de confianza cero, que limitan el acceso a lo estrictamente necesario.
¿Puedo usar mi ordenador personal para trabajar?
Es desaconsejable salvo que esté controlado. Un equipo personal no gestionado mezcla uso particular y laboral, puede no tener el antivirus al día ni el disco cifrado y la empresa no tiene visibilidad sobre él. Lo recomendable es trabajar con equipos corporativos gestionados o, si se permite el dispositivo personal, hacerlo bajo políticas que garanticen un mínimo de seguridad y separación de los datos.
¿Qué hago si me roban el portátil de trabajo?
Avisar de inmediato al responsable de IT o a tu proveedor de soporte. Si el equipo está gestionado y tiene el disco cifrado, los datos quedan protegidos aunque alguien intente acceder, y desde la administración se pueden bloquear las sesiones y revocar accesos. Por eso el cifrado de disco, las contraseñas robustas y la gestión centralizada convierten un robo físico en un susto y no en una fuga de datos.
¿El acceso remoto cumple con el RGPD?
Puede cumplir si se aplican medidas técnicas y organizativas adecuadas. El RGPD no prohíbe el teletrabajo, pero obliga a proteger los datos personales que se tratan en remoto. En términos generales eso se traduce en accesos identificados y mínimos, cifrado, registro de la actividad y formación. La forma concreta de cumplir depende de cada empresa, por lo que conviene revisarlo con asesoramiento especializado.