Cómo proteger tu negocio desde las personas
El 90% de los incidentes en despachos y gestorías empiezan con una persona, no con un fallo técnico. Checklist de 10 minutos para proteger tu negocio.

Son las 9:47 de la mañana. Alguien de tu equipo acaba de abrir un correo que parece ser de un proveedor habitual. Adjunto viene una factura pendiente. Clic. En menos de tres segundos, algo que no debería estar en tu red ya está dentro.
No porque tus sistemas sean malos. No porque esa persona sea descuidada. Sino porque nadie le había enseñado a reconocer un correo fraudulento.
En ciberseguridad, eso tiene nombre: «el factor humano». Y en negocios que manejan datos sensibles como despachos de abogados y gestorías, es el punto de entrada más frecuente en los incidentes registrados en España.
La buena noticia es que el mejor refuerzo con el que puedes contar ya lo tienes en nómina. No necesitas un equipo técnico ni una inversión en tecnología compleja. Sin complicaciones. Tu primera línea de defensa empieza por las personas que ya trabajan contigo.
Los tres errores que la mayoría de los equipos cometen sin saberlo
El factor humano en ciberseguridad es cualquier acción o inacción de una persona que abre la puerta a un incidente de seguridad. No hace falta que sea algo grave. Basta con abrir un adjunto sin mirar el remitente, usar la misma contraseña en varios sitios, o compartir un documento por WhatsApp porque el email tardaba.
Según el Balance de Ciberseguridad de INCIBE 2025, el phishing, o correo fraudulento, fue el método de entrada más frecuente en España, con más de 25.000 casos registrados. 4 de cada 10 incidentes empezaron con alguien haciendo clic en algo que le parecía completamente normal.
Son errores por desconocimiento, no por descuido. Y esa diferencia importa porque el desconocimiento tiene solución inmediata.
1. Abrir adjuntos o enlaces sin verificar el remitente
El phishing es la técnica más usada en PYMEs, notarías, despachos y gestorías porque funciona. Un correo bien redactado, con el logo del banco o de Hacienda, que llega en un momento de trabajo intenso es difícil de detectar si nadie te ha enseñado a mirarlo con calma.
La señal más sencilla que cualquier persona puede aprender en dos minutos es esta. Antes de hacer clic, pasa el cursor por encima del enlace sin pulsarlo. La dirección real aparece en la parte inferior del navegador. Si no coincide con el remitente o parece extraña, no entres y llama directamente a quien supuestamente te lo envió.
2. Contraseñas débiles o compartidas
«La contraseña del Drive es 1234, que así nos acordamos todos.» Esta frase, dicha con la mejor intención del mundo, es uno de los accesos más frecuentes que aprovechan los atacantes en gestorías y despachos.
Una contraseña robusta tiene al menos 12 caracteres, mezcla letras, números y símbolos, y no se repite en otros servicios. Y no hace falta memorizarla: los gestores de contraseñas como Bitwarden (gratuito en su versión básica) lo hacen por ti.
3. Usar herramientas personales para trabajo profesional
Hay una pregunta que vale la pena hacerse: ¿por dónde viajan los documentos de tus clientes cuando alguien trabaja desde casa o tiene prisa?
Si la respuesta incluye WhatsApp, el correo personal o un móvil sin bloqueo de pantalla, la información está circulando por canales que nadie en tu despacho controla ni protege. No porque el equipo tenga mala intención, sino porque nadie ha establecido una alternativa clara.
Un canal profesional acordado, conocido por todos y fácil de usar ayuda a cerrar esa puerta.
El checklist accionable para cualquier pyme, despacho o gestoría
Sin cursos. Sin departamento técnico. Abre esta lista con tu equipo, marcad lo que ya tenéis y convertid lo que falta en vuestro primer paso.
1. Accesos revisados
Revisa quién tiene acceso activo al email, al Drive y al gestor de expedientes. Si alguien ya no trabaja contigo y todavía puede entrar, ese acceso sigue abierto hasta que alguien lo cierre manualmente.
2. Una regla clara para correos sospechosos
Acordad una regla sencilla en el equipo. Cualquier correo que pida dinero, datos o contraseñas no se responde sin consultarlo directamente con el responsable. Un paso, diez segundos, y evitáis el error más caro que existe.
3. Verificación en dos pasos activada
¿La tenéis activada? Es el cambio más pequeño con el impacto más grande. Con la verificación de dos pasos, aunque alguien consiga tu contraseña, sin tu móvil no puede entrar. Se activa en menos de 5 minutos en Gmail o Microsoft 365.
4. El equipo sabe qué mirar antes de abrir algo
El nombre que aparece en un correo no siempre corresponde a quien lo envía. Antes de abrir cualquier adjunto o hacer clic en un enlace, mirad la dirección completa. Si algo no cuadra, borradlo sin abrir y avisad al responsable. Es el hábito más fácil de incorporar y uno de los más efectivos.
5. Los documentos viajan por canales profesionales
La información de vuestros clientes merece viajar por canales que controláis. Acordad qué herramienta usáis para compartir documentos y usadla siempre. El email del despacho, el gestor de expedientes, la plataforma que tengáis. Lo que no entra en ese acuerdo, no debería usarse.
Ya sabes lo que falta. Ahora es fácil.
El factor humano no es una debilidad de tu equipo. Es una oportunidad. Porque las personas, a diferencia de los sistemas, aprenden. Se adaptan. Y cuando entienden por qué algo importa, lo aplican sin que nadie tenga que recordárselo cada semana.
En Cydoo ayudamos a despachos, gestorías y pymes a proteger sus datos, cumplir con el RGPD y construir una cultura de ciberseguridad sin tecnicismos ni complicaciones, desde las personas hacia afuera.
¿Quieres proteger tu empresa?
Descubre qué plan se adapta a tus necesidades y empieza a trabajar tranquilo.
Ver planes


