2 junio 2026 · 7 min de lectura · Diagnóstico

Las 5 brechas más comunes en PyMEs mexicanas

Hemos hecho diagnóstico de seguridad a más de 60 empresas en México en los últimos dos años. Manufactureras, distribuidoras, agencias, constructoras, fintechs pequeñas. Y hay cinco agujeros que se repiten sin importar el giro, el tamaño o el presupuesto de TI. Acá van, en orden de frecuencia.

1. RDP expuesto a internet Crítico

Lo encontramos en 8 de cada 10 diagnósticos iniciales.

Escritorio remoto de Windows abierto al mundo en el puerto 3389. Sin VPN. Sin MFA. A veces sin siquiera un intento de cambiar el puerto por default. El problema no es solo que exista — es que suele estar en un Windows Server 2016 sin parches, con una contraseña que es el nombre de la empresa más el año de fundación.

Un atacante con Shodan y una lista de contraseñas comunes puede encontrar ese RDP en minutos. Y cuando entra, no encuentra segmentación: desde ese servidor saltó a las estaciones de trabajo, al controlador de dominio, y en dos horas es domain admin. Lo hemos replicado en ejercicios controlados más veces de las que quisiéramos.

Cómo cerrarlo esta semana

  • RDP jamás debe estar expuesto directamente a internet. Punto
  • Métalo detrás de una VPN. Si no tiene presupuesto para una appliance, WireGuard es gratuito, liviano y funciona
  • Active MFA para todo acceso remoto. Sin excepción. Duo, Microsoft Authenticator, lo que sea. Pero actívelo
  • Si absolutamente necesita exponer RDP (no debería), use RD Gateway con TLS y MFA, y límite el acceso por IP

2. Una sola cuenta de administrador compartida Alto

«Es que solo el ingeniero y yo la usamos.» También la usó el practicante que se fue en enero y nunca le revocaron el acceso.

La cuenta Administrador o [email protected] compartida entre tres, cuatro, a veces ocho personas. Sin registro de quién hizo qué. Sin trazabilidad. Cuando algo se rompe — o cuando alguien se va molesto — no hay forma de saber qué pasó ni quién.

Esto es particularmente grave en PyMEs donde el "departamento de TI" es una persona y medio. Esa persona usa la cuenta de domain admin para todo: desbloquear impresoras, instalar actualizaciones, navegar por internet. Una estación comprometida y el atacante ya tiene las llaves del reino.

Cómo cerrarlo esta semana

  • Cada persona que administra sistemas debe tener su propia cuenta con privilegios. Nombres reales, no genéricos
  • La cuenta de administrador built-in se deshabilita después de crear las cuentas individuales
  • Las tareas diarias (correo, navegación, ofimática) se hacen desde una cuenta sin privilegios. La cuenta admin solo se usa para administrar. Sí, es más tedioso. También es más seguro
  • ActiveDirectory: implementar tiered admin model (Tier 0, Tier 1, Tier 2). Suena a cosas de enterprise, pero se configura en una tarde

3. Backups que nadie ha probado restaurar Alto

«Claro que tenemos backups, mira, el Veeam dice Success todos los días.» La última vez que intentaron restaurar algo fue en 2023. Falló.

Esto es trágicamente común. La empresa tiene backups configurados, el software reporta éxito, el disco externo o el NAS tienen archivos. Pero cuando llega el ransomware y necesitan restaurar 2 TB de datos corporativos, descubren que:

  • El backup incremental lleva tres meses corrupto y nadie lo notó
  • El NAS de backups estaba en el mismo dominio y también se cifró
  • La cuenta de servicio del Veeam era domain admin — el atacante la usó para borrar los repositorios antes de cifrar
  • Nunca hicieron un restore completo de prueba porque "tarda mucho y afecta la operación"

Cómo cerrarlo esta semana

  • Regla 3-2-1: tres copias, en dos medios distintos, una fuera de sitio y offline. El offline es la palabra clave
  • Prueba de restauración trimestral de al menos un servidor y 10 archivos aleatorios. Mida el tiempo que toma
  • La cuenta que hace backups no debe ser domain admin. Debe tener solo los permisos necesarios para leer lo que respalda y escribir en el destino
  • El destino de backups no debe estar unido al mismo dominio que respalda. Un NAS Linux simple, una VM aislada, incluso discos rotados físicamente

4. El firewall está en default Medio

«Tenemos Fortinet.» Sí, pero con las reglas de fábrica, la interfaz de administración expuesta en la WAN, y el firmware de 2022.

El firewall lo instaló un proveedor hace tres años. Funciona. Internet jala. Nadie lo ha tocado desde entonces. Mientras tanto, el fabricante publicó seis CVEs críticos para ese modelo y firmware. Las reglas permiten tráfico any-any en varios segmentos. Los logs los están mandando a la nada porque el disco de logging se llenó en 2024 y nadie configuró rotación.

Esto no es un problema de presupuesto. Es un problema de atención. Un firewall mal administrado da falsa seguridad: la empresa cree que está protegida porque "tenemos firewall", pero en la práctica es una puerta con candado y la llave puesta.

Cómo cerrarlo esta semana

  • Actualice el firmware a la última versión estable. Ya. Hoy
  • Deshabilite administración por WAN. Solo se administra desde la red interna o una VLAN de gestión
  • Revise las reglas una por una. Si hay alguna any-any, justifíquela o elimínela
  • Configure logging a un syslog externo o al menos active alertas por correo para eventos críticos
  • Si el firewall es un ISP-provided genérico (Huawei, Telmex, Izzi), reemplácelo. No están hechos para seguridad empresarial

5. Nadie sabe qué equipos hay en la red Medio

Preguntamos cuántos endpoints tienen. Dicen 30. Escaneamos: son 47. Doce son cámaras IP con firmware de 2017. Tres son impresoras con el password de fábrica. Dos son servidores que «ya no se usan» pero siguen encendidos. Uno es un router doméstico que alguien conectó para tener WiFi en su oficina.

Sin inventario de activos no hay seguridad posible. No podés proteger lo que no sabés que existe. Y en las PyMEs esto es endémico: dispositivos que entran y salen sin control, IoT que nadie parchea, switches no administrados en rincones olvidados.

El caso más absurdo que encontramos: una cámara IP Hikvision con el firmware vulnerable a CVE-2021-36260 (ejecución remota de código) en la misma VLAN que el servidor de nóminas. La cámara la instaló un proveedor externo. Nadie en la empresa sabía la IP, el modelo ni que existía ese CVE. La cámara tenía acceso irrestricto a todo el segmento de servidores.

Cómo cerrarlo esta semana

  • Escaneo de red completo. Nmap es gratuito. Lansweeper tiene versión gratuita para hasta 100 activos
  • Todo dispositivo sin dueño ni propósito se aísla en una VLAN separada o se apaga
  • Cámaras, impresoras, IoT: VLAN propia, sin acceso a internet más que el estrictamente necesario, sin acceso al segmento de servidores
  • Inventario documentado. Una planilla de Excel alcanza al principio. Columnas: IP, hostname, función, firmware, responsable, fecha de último parche

El patrón

Ninguna de estas cinco brechas requiere un presupuesto millonario. Se cierran con atención, disciplina y alguien que sepa qué buscar. El problema real no es la falta de dinero — es que nadie las está revisando. Y los atacantes lo saben.

Por dónde empezar

No intente cerrar las cinco al mismo tiempo. Priorice así:

  1. Semana 1: cierre el RDP expuesto y active MFA en todo acceso externo. Es lo que más reduce su riesgo inmediato
  2. Semana 2: revise el firewall y corra un escaneo de red para saber qué tiene
  3. Semana 3: elimine cuentas compartidas, implemente cuentas individuales con privilegios mínimos
  4. Semana 4: pruebe la restauración de backups y corrija lo que falle. Si no restaura, no tiene backup

Esto no reemplaza un diagnóstico profesional ni monitoreo continuo. Pero si hace estas cuatro semanas de trabajo, pasó del 90% de las PyMEs mexicanas en madurez de ciberseguridad. Y dejó de ser el blanco más fácil del vecindario.

← Volver al blog