La mayoría de los ataques que vemos no son obra de un genio encapuchado rompiendo cifrado militar. Son mucho más aburridos: una contraseña reutilizada, un sistema sin actualizar, un usuario con más permisos de los que necesita, un respaldo que nadie probó. Lo básico sin hacer.
Por eso vale la pena celebrar una iniciativa concreta y bien enfocada: la Agencia Nacional de Ciberseguridad (ANCI) publicó “Los 9 básicos de ciberseguridad”, una lista corta de medidas que, en sus propias palabras, “no siempre necesitan invertir en programas caros” y protegen de “la gran mayoría de los ataques”. En Asentic queremos amplificar ese mensaje, porque coincide con lo que repetimos a diario: la seguridad empieza por los fundamentos, no por la herramienta de moda.
Acá te explicamos los nueve, en lenguaje claro, con el primer paso para aplicar cada uno, tanto si protegés tu equipo personal como si respondés por una organización.
Por qué los básicos ganan
Hay una asimetría a tu favor que es fácil de olvidar. El atacante promedio no invierte en vulnerabilidades caras y novedosas mientras exista la opción barata: probar credenciales filtradas, mandar un correo de phishing, buscar un servicio sin parchar. Si cierras esas puertas baratas, lo obligas a subir el costo de atacarte, y la mayoría simplemente se va a buscar un objetivo más fácil.
Los 9 básicos son exactamente esas puertas baratas. Ninguno requiere un presupuesto grande. Lo que requieren es constancia.
Los 9 básicos, uno por uno
1. Actualizar periódicamente
Buena parte de los ataques aprovecha fallas ya conocidas y ya corregidas por el fabricante, en equipos que nunca instalaron el parche. Actualizar es la defensa más barata que existe contra ese escenario.
Primer paso: activa las actualizaciones automáticas en tu teléfono, computador y navegador. En una organización, lleva un inventario de lo que tienes y define una ventana periódica para aplicar parches en servidores y aplicaciones.
2. Capacitar periódicamente
La tecnología frena muchos ataques, pero el phishing y la ingeniería social apuntan a las personas. Un equipo que reconoce un correo sospechoso vale más que cualquier filtro.
Primer paso: si eres una persona, aprende a desconfiar de la urgencia (“tu cuenta será bloqueada en 24 horas”) y a verificar el remitente real. En una organización, una capacitación breve y periódica rinde más que una charla anual que nadie recuerda.
3. Minimizar privilegios
Nadie debería tener más accesos de los que su tarea requiere. Si una cuenta con permisos de administrador se ve comprometida, el daño es total; si era una cuenta limitada, el daño se contiene.
Primer paso: no uses una cuenta de administrador para el día a día. En una organización, revisa quién tiene accesos elevados y quítalos donde ya no se justifiquen (sobre todo a quienes cambiaron de rol o se fueron).
4. Respaldar periódicamente la información
El respaldo es tu red de seguridad ante un ransomware, un borrado accidental o un equipo robado. Pero un respaldo que nunca se probó no es un respaldo: es una esperanza.
Primer paso: aplica la regla 3-2-1, que se lee así: tres copias de tu información, en dos medios distintos, con una guardada fuera del lugar. Y al menos una vez, restaura un respaldo para confirmar que funciona. La copia que importa es la que probaste.
5. Asegurar redes
La red es la puerta de entrada. Una wifi con la contraseña de fábrica o un servicio expuesto a internet sin necesidad son invitaciones abiertas.
Primer paso: cambia las contraseñas por defecto de tu router. En una organización, separa la red de invitados de la interna y revisa qué servicios están expuestos hacia afuera (muchas veces hay más de los que crees).
6. Asegurar equipos
Cada equipo (computador, teléfono, servidor) es una superficie de ataque. Cuanto más ordenado y mínimo, menos tiene que pueda fallar.
Primer paso: activa el cifrado de disco, el bloqueo de pantalla y un antimalware en tus dispositivos. En una organización, define una configuración base segura y desinstala lo que no se usa.
7. Monitorear en tiempo real
No puedes responder a lo que no ves. Detectar algo raro a tiempo es la diferencia entre un susto y una crisis.
Primer paso: activa las alertas de inicio de sesión sospechoso en tus cuentas. En una organización, centraliza los registros (logs) de tus sistemas y define qué eventos merecen una alerta, para no ahogarte en ruido.
8. Usar múltiple factor de autenticación (MFA)
Si una sola medida tuvieras que adoptar hoy, es esta. El múltiple factor de autenticación (MFA) significa que, además de la contraseña, hace falta un segundo elemento (un código en tu teléfono, una llave física). Aunque te roben la contraseña, no entran.
Primer paso: activa el MFA en tus cuentas más importantes (correo, banco, redes). Prefiere una aplicación de autenticación o una llave física por sobre el código por mensaje de texto, que es más débil.
9. Usar un gestor de contraseñas
Reutilizar la misma contraseña en todos lados es el regalo perfecto para un atacante: una filtración en un sitio cualquiera le abre todas tus cuentas. Un gestor genera y recuerda una contraseña distinta y robusta para cada servicio, y tú solo memorizas una.
Primer paso: elige un gestor de contraseñas con buena reputación, protégelo con una contraseña maestra larga y con MFA, y empieza a migrar tus cuentas más sensibles.
De la lista a tu mundo real
Los 9 básicos no viven en el aire: se aterrizan en cosas concretas. Si manejas un sitio web o servicios en internet, varios de estos fundamentos se traducen en medidas que en Asentic hemos ido explicando una por una:
- Actualizar es, en la práctica, gestionar parches y dependencias antes de que alguien explote una falla conocida. Lo vimos al hablar de la ventana entre que se publica una vulnerabilidad y se explota.
- Asegurar redes y equipos incluye endurecer la superficie pública de tu sitio: forzar siempre la conexión segura (HSTS), restringir qué se puede cargar en tus páginas con una política de seguridad de contenido, y proteger tu dominio de correo de la suplantación (DMARC).
- Minimizar privilegios y monitorear son la base de cualquier programa de seguridad serio, y conectan directamente con las obligaciones de la Ley 21.663 para quienes operan infraestructura crítica.
Esa es la idea de fondo: los básicos de la ANCI y las medidas técnicas que aplicamos sobre un sitio son la misma conversación, vista desde dos alturas distintas.
Por dónde empezar hoy
Si la lista completa abruma, no intentes hacer los nueve esta semana. Empieza por los cuatro de mayor retorno y casi cero costo:
- Activa el MFA en tu correo y tu banco.
- Instala un gestor de contraseñas y migra tus cuentas más sensibles.
- Pon todo en actualización automática.
- Haz un respaldo y pruébalo.
Esos cuatro, hechos de verdad, ya te dejan por delante de la mayoría.
Apoyamos la iniciativa de la ANCI
Que el organismo nacional de ciberseguridad ponga el foco en lo básico, en lenguaje simple y para todo público, es exactamente el tipo de trabajo que mueve la aguja. El material está disponible y vale la pena difundirlo:
- Los 9 básicos de ciberseguridad y su guía descargable.
- La consulta pública 2026 sobre una normativa de estándares básicos: una buena señal de que estos fundamentos van camino a volverse exigibles para más organizaciones, no solo recomendables.
Si tu organización participa de esa conversación o simplemente quiere adelantarse, empezar por los 9 básicos es el camino más sensato.
¿Quieres ver cómo está hoy la postura de seguridad de tu sitio web, varios de estos básicos incluidos? FreeScan te entrega un diagnóstico en minutos, sin registro y sin costo. Es un buen punto de partida para saber qué fundamentos ya tienes cubiertos y cuáles conviene reforzar.
