Checklist de seguridad para teletrabajo: 12 puntos que revisar
El home office masivo de 2020 llegó para quedarse. Lo que no llegó —en la mayoría de las PyMEs— fue la seguridad para sostenerlo. Tres de cada cinco empresas que auditamos tienen al menos un empleado remoto conectándose sin VPN, desde una laptop personal, con el mismo antivirus que vino de fábrica en 2022. Este checklist es para arreglar eso.
Los tres frentes: equipo, red y persona
La seguridad del teletrabajo no es un problema técnico. Son tres capas que fallan por separado. Si blindás una y dejás las otras dos igual, no hiciste nada. Veamos las 12 verificaciones, organizadas por capa.
Capa 1: el equipo (lo que tocás)
01 ¿Es equipo de la empresa o personal?
La laptop donde un empleado revisa el ERP corporativo también la usa su hijo para bajar mods de Minecraft. Si no puede darle un equipo corporativo a cada remoto, al menos exija una cuenta separada en la laptop personal. Sin acceso a los archivos corporativos desde la cuenta familiar.
→ Acción: equipo corporativo o user profile separado. Sin excepción.
02 ¿El antivirus está actualizado y es el mismo en todos?
Nos pasó con un cliente: tenían 14 remotos con 4 antivirus distintos, uno de ellos era la versión gratuita de Avast que no se actualizaba desde 2023. Sin consola central de gestión. Sin visibilidad de quién tenía detecciones y quién no. Estandarice: Windows Defender con políticas administradas desde Intune o un endpoint protection con consola central.
→ Acción: unificar endpoint protection, gestionado centralmente.
03 ¿El disco está cifrado?
Si le roban la mochila a un empleado en el metro, ¿el ladrón puede sacar el disco, conectarlo a otra máquina y leer todos los archivos? Si BitLocker no está activado, sí. Actívelo hoy. Es gratuito, viene con Windows Pro, y toma 10 minutos.
→ Acción: BitLocker activado en todos los equipos corporativos. Ya.
04 ¿El sistema operativo y las aplicaciones se actualizan solas?
Windows Update en pausa desde marzo «porque me apareció en un mal momento». Zoom versión de enero. Chrome sin actualizar. Cada software sin parche es una puerta. Configure actualizaciones automáticas forzosas. Si el empleado puede posponerlas indefinidamente, lo van a hacer.
→ Acción: actualizaciones automáticas obligatorias, máximo 7 días de margen.
Capa 2: la red (por dónde pasa la información)
05 ¿Está usando el WiFi de su casa con la contraseña de fábrica?
El router del proveedor de internet (Telmex, Izzi, Totalplay) viene con una contraseña impresa en una etiqueta. Nadie la cambia. El vecino, el delivery y cualquiera en la calle con suficiente señal pueden intentar entrar. Si el router doméstico está comprometido, todo el tráfico del empleado —incluyendo la VPN— es visible.
→ Acción: exigir cambio de contraseña del WiFi hogareño y del panel de administración del router.
06 ¿La VPN está siempre encendida?
VPN a demanda no sirve. El empleado se conecta, revisa el correo, y cuando va a bajar un archivo grande la desconecta «porque va muy lento». Configure VPN siempre activa (always-on). Si el túnel se cae, el acceso a internet se corta. Así de simple. WireGuard, OpenVPN, o la VPN que traiga su firewall.
→ Acción: VPN siempre activa para todo tráfico corporativo.
07 ¿Está usando WiFi público para trabajar?
Starbucks, aeropuerto, hotel, coworking. Redes abiertas donde cualquiera puede interceptar tráfico. Con VPN siempre activa, esto no es un problema. Sin VPN, es una emergencia. Prohíba explícitamente trabajar desde redes WiFi públicas sin VPN. Póngalo en la política de 5 líneas.
→ Acción: política escrita: sin VPN activa, nada de WiFi público.
08 ¿La red doméstica está segmentada?
Esto ya es nivel avanzado, pero si el empleado maneja datos sensibles, vale la pena. Una VLAN separada para el equipo corporativo, distinta de los dispositivos del hogar. Si un smart TV comprometido intenta escanear la red, no llega a la laptop corporativa. Con un router medianamente moderno se configura en 20 minutos.
→ Acción: segmentación de red hogareña para perfiles de alto riesgo.
Capa 3: la persona (el eslabón más débil y el más importante)
09 ¿Comparte información corporativa por WhatsApp o Telegram?
En México, los grupos de WhatsApp de la oficina son inevitables. Pero hay una diferencia entre «la junta se movió a las 4» y mandar el archivo de nómina o las credenciales del cliente por WhatsApp. Eso no debería pasar nunca. Nunca. Use el canal oficial: correo, carpeta compartida con acceso controlado, o el chat corporativo si tienen uno.
→ Acción: prohibir explícitamente compartir datos sensibles por mensajería no corporativa.
10 ¿Bloquea la pantalla cuando se levanta?
Windows + L. Menos de un segundo. Si trabaja desde casa con familia, visitas o roomies, una pantalla desbloqueada es una invitación. Configure bloqueo automático por inactividad a 5 minutos. Si le molesta, que lo baje a 10. Pero que exista.
→ Acción: bloqueo automático de pantalla a 5 minutos máximo.
11 ¿Sabe qué hacer si pierde la laptop o se la roban?
Si un empleado remoto no sabe a quién llamar cuando le roban la laptop un sábado a las 8pm, el equipo va a estar a la venta en Facebook Marketplace antes de que usted se entere. Todo empleado remoto debe saber: (a) a quién reportar inmediatamente, (b) que la empresa puede borrar el equipo remotamente, (c) que no va a tener problemas por reportarlo.
→ Acción: procedimiento de reporte de pérdida/robo documentado y conocido por todos.
12 ¿Está imprimiendo documentos confidenciales en su casa?
Suena menor. No lo es. Un empleado imprime estados financieros en la impresora familiar. El papel se queda en la bandeja. Lo lee cualquiera que pase. Peor: muchas impresoras domésticas guardan copia de todo lo impreso en un buffer interno sin cifrar. Si esa impresora se vende o se tira, los documentos van con ella.
→ Acción: prohibir impresión de documentos confidenciales fuera de la oficina. PDF con contraseña si es inevitable.
El checklist completo en una hoja
Imprima esto (en la oficina, no en su casa). Entrégueselo a cada empleado remoto. Revísenlo juntos. Que cada quien marque lo que ya cumple y lo que no. Lo que no se cumple en dos semanas se escala. Esto no es opcional. Es el equivalente digital de cerrar la oficina con llave. Si no lo hace, está dejando la puerta abierta. Todos los días.