Internet es en 2026 la herramienta de trabajo principal de cualquier empleado de oficina. Esto también significa que la seguridad de la empresa depende en gran parte del comportamiento de cada persona ante su pantalla. Las mejores medidas técnicas (firewall, EDR, seguridad de email) fallan si un empleado hace clic en un enlace de phishing e introduce sus credenciales.

Este artículo es una guía práctica para empleados y responsables de IT en pymes europeas. Sin jerga técnica, solo reglas concretas y situaciones reales. Para el contexto más amplio, consulte el artículo pilar Ciberseguridad de los datos empresariales.

Las amenazas más frecuentes al navegar por internet

Las estadísticas de ENISA para 2025 en la UE señalan:

  • Phishing (el 60 % de todos los incidentes empieza con un clic en un email o SMS)
  • Drive-by malware (visitar una página infectada instala malware sin acción explícita del usuario)
  • Credential stuffing (contraseñas filtradas de otros servicios se prueban en el email corporativo)
  • Abuso de extensiones del navegador (una extensión con acceso a todas las páginas visitadas exfiltra datos)
  • Malvertising (anuncios maliciosos en páginas legítimas)

Seis reglas de comportamiento seguro

1. Gestor de contraseñas + contraseña única para cada servicio

La causa más frecuente de incidentes corporativos en 2026 no es un ataque sofisticado — es la reutilización de contraseñas. Un empleado usa la misma contraseña en el Outlook corporativo, en Spotify personal y en un foro de aficionados. El foro se hackea, la contraseña se filtra, el atacante la prueba en la cuenta corporativa — bingo.

Solución: gestor de contraseñas corporativo como 1Password, Bitwarden o Dashlane. Genera contraseñas únicas de 20+ caracteres para cada servicio. El empleado recuerda una contraseña maestra, el gestor hace el resto.

Coste: 4-8 EUR/empleado/mes. El retorno se obtiene con el primer incidente evitado.

2. 2FA / Passkey en todas las cuentas críticas

Incluso con una contraseña única, un atacante puede obtener acceso mediante phishing. La autenticación de segundo factor lo detiene. En orden de preferencia:

  1. Passkey (FIDO2/WebAuthn) — la defensa más fuerte, resistente al phishing
  2. Token de hardware (YubiKey, Titan Key)
  3. TOTP mediante aplicación (Google Authenticator, Microsoft Authenticator, 1Password)
  4. Notificación push (Microsoft Authenticator, Duo)
  5. OTP por SMS — el más débil, pero mejor que nada

Consulte el artículo detallado sobre Autenticación de dos factores.

3. Verificar el remitente ante cualquier solicitud de información confidencial

En 2026, el phishing generado por IA es prácticamente indistinguible de un email legítimo a primera vista. La regla “confirma por otro canal”:

  • Solicitud de pago/transferencia por email → llame a la persona por un número conocido y confirme
  • Solicitud de contraseña/acceso → nunca por email, siempre en persona o por chat interno
  • Añadir nueva cuenta bancaria/proveedor → procedimiento de aprobación físico (responsable, doble control)

Para protegerse de Business Email Compromise (BEC), esta regla puede evitar 10.000-50.000 EUR en el incidente promedio.

4. Wi-Fi pública siempre con VPN

Las redes Wi-Fi públicas (aeropuerto, cafetería, hotel) son arriesgadas por tres motivos:

  • Interceptación — el proveedor de Wi-Fi u otro usuario de la red puede interceptar el tráfico. El cifrado HTTPS mitiga, pero no todo.
  • Evil twin — el atacante crea una Wi-Fi con el mismo nombre (ej., “Hotel Free Wi-Fi”) que la legítima y captura las comunicaciones.
  • Infección drive-by — un router comprometido puede inyectar malware en páginas no cifradas.

Solución:

  • VPN corporativa (o ZTNA) — obligatoria en cualquier conexión externa.
  • Punto de acceso móvil (4G/5G del teléfono corporativo) — alternativa más segura que la Wi-Fi pública.
  • Regla “no sistemas corporativos sin VPN” — incluido email, ERP, banca.

5. Navegador actualizado + auditoría de extensiones

El navegador es el software más expuesto de la empresa — interactúa con miles de webs diariamente. Tres medidas:

  • Actualizaciones automáticas activadas — Chrome, Edge, Firefox, Safari se actualizan solos. Desactivar esto es un anti-patrón de seguridad.
  • Auditoría de extensiones instaladas — cada extensión tiene acceso a las páginas que visita. Una extensión comprometida = exfiltración de datos. Regla: máximo 5 extensiones de confianza, ningún “convertidor de PDF gratuito” de origen dudoso.
  • Perfil separado para trabajo — perfil del navegador corporativo separado del personal. Cookies, contraseñas e historial no se mezclan.

6. Reportar emails sospechosos / incidentes internamente

Si un empleado recibe un email sospechoso o hace clic en algo, el peor escenario es que lo oculte. En ese caso, el atacante tiene horas o días antes de que el monitoreo lo detecte.

Cree un canal interno para reportes:

  • Canal #incidentes-seguridad en Slack/Teams
  • Dirección security@empresa.com
  • Línea telefónica para casos urgentes

Política: sin sanciones por reportar, incluso si fue un error propio. Reconocimiento por reporte rápido. Sin esta cultura, los incidentes permanecen ocultos.

Redes sociales y presencia profesional

LinkedIn, Twitter (X), Facebook e Instagram son herramientas de trabajo legítimas, pero también fuente de riesgo:

  • Datos de LinkedIn son un tesoro para los atacantes que preparan spear-phishing — nombre del responsable, compañeros, tecnologías usadas, proyectos.
  • Fotos geoetiquetadas de vacaciones = señal de que está fuera de la empresa y responde más lentamente a incidentes.
  • Compartir información corporativa (capturas de pantalla, vídeos de pantalla compartida) puede filtrar datos confidenciales sin darse cuenta.

La política de redes sociales debe definir:

  • Qué no se puede compartir públicamente (clientes, proyectos bajo NDA, datos financieros)
  • Cómo separar la cuenta personal de la profesional
  • Respuesta ante crisis de reputación (sin reacciones improvisadas de empleados en nombre de la empresa)

Dispositivos móviles y BYOD

Los datos corporativos en 2026 viven en gran medida en los móviles — email, Slack, app móvil del ERP. Mínimos de seguridad:

  • Pantalla de bloqueo con biometría o PIN de mínimo 6 dígitos
  • Cifrado del disco (por defecto en iOS y Android moderno)
  • MDM (Mobile Device Management) — Microsoft Intune, Jamf — permite el borrado remoto en caso de pérdida
  • Perfiles de trabajo separados en dispositivos personales (BYOD)
  • Sin tiendas de aplicaciones no oficiales (sideloading) — fuente del 90 % del malware móvil

Resumen y lista de verificación para el empleado

ÁreaAcciónFrecuencia
Gestor de contraseñasInstalado y activoSiempre
2FA / PasskeyActivado en email, ERP, bancaSiempre
PhishingVerificar por otro canal ante solicitudes confidencialesEn cada solicitud
Wi-FiPública solo con VPNEn cada acceso externo
NavegadorActualización automática activadaSiempre
ExtensionesAuditoría + eliminación de las innecesariasTrimestralmente
Reporte de incidentesCanal interno de inmediatoEn cada anomalía
Teléfono móvilPantalla de bloqueo + MDM enrolladoSiempre
FormaciónSimulación de phishing + e-learning4 veces al año

La combinación de estos hábitos con una inversión de 20-50 EUR/empleado/año en formación y gestor de contraseñas reduce los ataques exitosos en un 80 % o más. Es el mejor ROI en toda la seguridad informática corporativa.

Cómo Modulario apoya el comportamiento seguro

En Modulario hay medidas técnicas integradas que reducen la responsabilidad del empleado:

  • 2FA / Passkey obligatorio para administradores, opcional para todos
  • SSO vía Azure AD / Google Workspace — un único punto de acceso, fácilmente revocable
  • Audit log de cada acción — las anomalías se detectan rápidamente
  • IP whitelisting para funciones críticas
  • Session timeout con plazo configurable
  • Detección de accesos anómalos (nuevo dispositivo, nueva geolocalización)

Consulte la documentación de seguridad para más detalles. Para la agenda más amplia de ciberseguridad corporativa, consulte el artículo pilar Ciberseguridad de los datos empresariales.

Preguntas frecuentes

¿Cuáles son los errores más frecuentes de los empleados al trabajar en internet? Tres errores dominantes en 2026: (1) hacer clic en un enlace de phishing sin verificar el remitente, (2) reutilizar contraseñas en múltiples servicios, (3) conectarse a Wi-Fi pública sin VPN. La formación y un gestor de contraseñas resuelven el 80 % de los incidentes.

¿Cómo reconocer un email de phishing? Siete señales: remitente inesperado, urgencia en el asunto, gramática extraña, URL diferente al texto del enlace, adjuntos inusuales, solicitud de datos confidenciales por email, dirección de respuesta que no pertenece a la empresa. Con 2 o más señales, es muy probablemente phishing.

¿Es segura la Wi-Fi pública para trabajar? Sin VPN, no. El problema real es el ‘evil twin’ — un atacante crea una red con el mismo nombre y captura el tráfico. Solución: VPN corporativa siempre activada, nunca acceder a sistemas corporativos desde Wi-Fi pública sin VPN.