Los 5 atajos de ciberseguridad que salen carísimos

Usas la misma contraseña para el banco, el correo y esa app de comida que descargaste hace dos años. No eres una excepción. Según un análisis de Cybernews sobre 19.000 millones de contraseñas expuestas, el 94% de las credenciales filtradas ya estaban comprometidas por la misma práctica: reutilizarse. Solo el 6% era realmente único. El resto seguía patrones previsibles y podía romperse en menos de un segundo.

Cada uno de estos hábitos parece ahorrar tiempo. Juntos, sin embargo, explican por qué una brecha impulsada por phishing cuesta en promedio alrededor de MXN 23 millones cuando se convierte el dato de US$ 1,29 millones al tipo de cambio reciente. En América Latina, donde el trabajo híbrido se expandió más rápido que muchos controles de seguridad, esa comodidad tiene un precio especialmente alto.

El problema no es técnico, es cotidiano

La mayoría de los errores no ocurre en un laboratorio ni en una sala de servidores. Ocurre en la rutina: una contraseña repetida, un enlace abierto sin pensar, una cuenta sin MFA porque “luego lo activo”. No es casualidad que la OEA haya puesto en 2024 el foco en contraseñas seguras, autenticación multifactor, actualizaciones y reconocimiento del phishing como ejes de su campaña de concientización para pymes y equipos.

Ese encuadre importa porque la ciberseguridad laboral ya no depende solo del departamento de TI. Depende de decisiones mínimas que toma cada empleado a diario. Y esas decisiones, aunque parezcan individuales, terminan afectando a toda la organización.

Repetir contraseñas convierte una falla en muchas

La persona promedio administra cerca de 191 cuentas en línea. Recordar una contraseña distinta para cada una parece imposible, así que mucha gente negocia consigo misma. La investigación de Bitwarden citada por CinchOps señala que el 85% de los usuarios reutiliza contraseñas entre sitios, y que más de la mitad incorpora datos fáciles de adivinar, como cumpleaños o nombres de mascotas.

El problema es que una sola fuga basta para abrir varias puertas. En la brecha de Dropbox, 60 millones de credenciales quedaron expuestas porque un empleado reutilizó su contraseña de trabajo. Los atacantes no necesitan vulnerar la red corporativa desde cero. Solo necesitan encontrar tu contraseña reciclada entre los miles de millones de credenciales que ya circulan. Y si aún piensas que un gestor de contraseñas basta por sí solo, conviene mirar lo que ya hacen los secuestros de sesión.

El clic llega antes que la reflexión

Phishing no gana por sofisticación técnica, sino por velocidad psicológica. Según investigación de Proofpoint citada por Bright Defense, la mediana entre recibir un correo de phishing y hacer clic en él es de 21 segundos. En ese margen cabe el impulso, no el análisis.

El benchmark 2025 de KnowBe4, basado en 14,5 millones de usuarios de 62.400 organizaciones, encontró que el 33,1% de los empleados es susceptible a phishing e ingeniería social. En salud, la cifra sube al 41,9%. Además, 82,6% de los correos de phishing ya incorpora contenido generado con IA, lo que vuelve más convincente el engaño. La buena noticia existe: la capacitación continua reduce la susceptibilidad en 86% en un año. La mala es que muchas empresas todavía la tratan como trámite anual.

Posponer MFA sigue siendo una invitación

La autenticación multifactor bloquea el 99% de los compromisos de cuenta ligados al phishing. Aun así, el 76% de las organizaciones afectadas por fraude de correo empresarial no había implementado MFA resistente al phishing. Es el típico caso en el que una molestia menor termina creando un riesgo mayor.

Ni siquiera la MFA básica basta en todos los casos. Los ataques adversary-in-the-middle, que roban cookies de sesión, crecieron 146% en 2024. Por eso los ataques impulsados por IA ya corren más rápido que tu equipo de seguridad y pueden escalar en menos de 30 minutos. Las llaves físicas de seguridad, bajo el estándar FIDO2, siguen siendo la opción más robusta frente a estas técnicas.

El trabajo remoto amplía la superficie de error

La expansión del trabajo remoto e híbrido convirtió cada laptop, teléfono y tableta en una posible puerta de entrada. Pero “usa tu propio dispositivo” suele significar también “usa tus propios puntos ciegos”. El 28% de los profesionales de ciberseguridad considera que el uso de contraseñas débiles en equipos personales es el peor hábito de seguridad en contextos remotos.

Estos dispositivos suelen carecer de detección de amenazas, cifrado sólido o actualizaciones automáticas consistentes. Se conectan a redes Wi-Fi públicas, mezclan cuentas personales con corporativas y normalizan atajos que nadie aprobaría dentro de la oficina. En una región donde el trabajo distribuido llegó para quedarse, el riesgo ya no está únicamente en el correo: también vive en el aparato desde el que se abre.

Compartir accesos destruye el control de origen

“Pásame el login” puede parecer eficiencia, pero suele ser lo contrario. Hasta el 30% de las brechas de datos en organizaciones se relaciona con compartir contraseñas, reutilizarlas o caer en phishing. Una credencial enviada por chat o correo deja de estar bajo control en el mismo instante en que circula.

La solución existe y no requiere heroísmo: accesos basados en roles, inicio de sesión único y permisos temporales eliminan la necesidad de compartir contraseñas. El cálculo final tampoco invita al autoengaño. El costo medio de una brecha de datos equivale hoy a unos MXN 79 millones cuando se convierte el valor global de US$ 4,44 millones. Las organizaciones que simulan phishing cada mes, exigen MFA en hardware y avanzan hacia autenticación con passkeys logran bajar la susceptibilidad del 33% al 4,1% en doce meses. La pregunta, entonces, no es si tus empleados toman estos atajos. La toman. La pregunta real es cuánto tiempo más puedes darte el lujo de llamarlos costumbre.