Un consultor en Bogotá. Diez años de relaciones con clientes, propuestas, contratos y datos financieros almacenados en su Gmail. Un correo que parece de Google le pide verificar su cuenta. Un clic. En 48 horas, su bandeja de entrada completa está en manos de un desconocido, sus clientes reciben correos fraudulentos en su nombre y su reputación tarda meses en recuperarse.
No era una gran empresa. No tenía nada que «valiera la pena robar». Eso es exactamente por qué fue el objetivo.
El blanco favorito no eres la gran empresa
Durante nueve semanas hemos construido un stack de productividad completo: investigar mercados con Perplexity, atender clientes con agentes de IA, organizar operaciones con Notion, producir texto con Wispr Flow, cerrar ventas con Lemlist, centralizar la operación en Odoo, automatizar WhatsApp y construir apps sin código. Todo ese trabajo vive en herramientas digitales: correos, cuentas en la nube, WhatsApp Business, bases de datos de clientes. Y ninguna de esas herramientas vale nada si alguien más tiene acceso a ellas.
Los números son incómodos: el 68% de las empresas latinoamericanas sufrieron al menos un incidente de ciberseguridad significativo en 2025, según datos de CERTs regionales. Los ataques cibernéticos en América Latina crecieron un 43% interanual, superando el promedio global. Y el detalle que más duele: hasta el 60% de las pymes latinoamericanas afectadas terminaron cerrando. No porque el ataque fuera técnicamente sofisticado, sino porque no tenían ninguna capa de protección básica.
Las pymes y los freelancers son el blanco precisamente porque no tienen equipo de IT, ni protocolos, y asumen que no hay nada que robar. Los atacantes saben que una cuenta de Gmail de un consultor con diez clientes tiene más valor que el sistema de una corporación con firewall dedicado.
Las tres puertas que dejas abiertas todos los días
La contraseña reutilizada. El 60% de las violaciones de datos involucra contraseñas comprometidas o reutilizadas, según el reporte Verizon DBIR 2025. La lógica del atacante es simple: consigue tu contraseña de un servicio hackeado (una base de datos que se filtró hace años), la prueban en tu Gmail, en tu Notion, en tu cuenta de Payoneer. Si usas la misma en dos sitios, entran. La solución existe desde hace años y sigue siendo ignorada: un gestor de contraseñas.
El phishing que ya no parece phishing. Los correos de estafa de 2026 no tienen errores ortográficos ni logos pixelados. La IA permite generar correos perfectos que imitan exactamente a Google, a tu banco, o incluso a un cliente conocido. Kaspersky advierte que los infostealers —programas que roban silenciosamente credenciales de tu navegador— se distribuyen hoy principalmente por WhatsApp y Telegram, los mismos canales donde vive tu operación comercial.
La cuenta sin verificación en dos pasos. Es el equivalente digital de tener una cerradura de calidad en la puerta y dejar la ventana abierta. Si alguien consigue tu contraseña (y estadísticamente, alguna de tus contraseñas ya está en alguna base de datos filtrada), la verificación en dos pasos es lo único que detiene el acceso inmediato. No requiere inversión. Requiere un minuto de configuración.
El protocolo mínimo que protege el 80% de los riesgos reales
No necesitas un experto en ciberseguridad ni un presupuesto corporativo. Necesitas hacer cuatro cosas que la mayoría de los emprendedores latinoamericanos no hace:
- Gestor de contraseñas: Bitwarden es gratuito, de código abierto y funciona en todos tus dispositivos. Genera y recuerda contraseñas únicas de 20 caracteres para cada servicio. Una sola contraseña maestra lo protege todo. Tiempo de configuración: 20 minutos.
- Verificación en dos pasos en todo lo crítico: Gmail, Google Workspace, WhatsApp Business, Notion, Payoneer, y cualquier plataforma donde vivan datos de clientes o dinero. Usa Google Authenticator o Authy, no SMS (el SMS puede interceptarse). Tiempo: 5 minutos por cuenta.
- Backup automático semanal: Google Drive, Dropbox o cualquier nube ya lo hace. El problema es que la mayoría no lo tiene configurado. Un ransomware que cifra tus archivos pierde todo su poder si tienes una copia limpia de hace 7 días. Actívalo hoy.
- Revisión de accesos cada 90 días: ¿Quién tiene acceso a tu Google Workspace? ¿A tu Notion? ¿A tu WhatsApp Business? Las cuentas de ex colaboradores que nunca se retiraron son una de las principales vías de entrada. Dedica 15 minutos cada trimestre a revisar quién tiene acceso a qué.
La conexión con todo lo que hemos construido
Hemos dedicado semanas a construir una arquitectura de productividad para que un profesional solo o con equipo pequeño pueda operar como uno de cinco. Perplexity, agentes de IA, Notion, Wispr Flow, Lemlist, Odoo, WhatsApp automatizado, apps sin código. Ninguna de esas herramientas sirve si alguien más tiene las llaves. La ciberseguridad no es una capa adicional: es el cimiento sobre el que vive todo lo que construiste. Y a diferencia de la mayoría de lo que hemos visto, las medidas básicas no cuestan dinero. Cuestan atención.
Tu reto de esta semana (10 minutos)
Entra a bitwarden.com y crea una cuenta gratuita.
Instala la extensión en tu navegador. Agrega las credenciales de tus tres cuentas más críticas: Gmail o Google Workspace, WhatsApp Business y la plataforma de pagos que uses (Payoneer, Wise, o la que tengas).
Activa la verificación en dos pasos en esas mismas tres cuentas usando Google Authenticator o Authy — no SMS.
En diez minutos cerraste las dos puertas que el 80% de los ataques usa.
Cuéntame en mis redes sociales @fjochoa ¿cuántas de tus cuentas clave tenían verificación en dos pasos activa antes de leer esto?
Caraota Digital no se hace responsable por las opiniones, calificaciones y conceptos emitidos en las columnas de opinión publicadas en este medio.