Los emprendedores y freelancers que trabajan 100% online enfrentan un paradoja de riesgo: son objetivos perfectos para atacantes pero con defensas mínimas. A diferencia de grandes corporaciones con departamentos de TI dedicados, el emprendedor típico acumula roles: es desarrollador, contador, vendedor, y también gestor de seguridad informática. Esta sobrecarga genera vulnerabilidades críticas.
Las estadísticas pintan un cuadro sombrío:
- El 72% de sanciones por incumplimiento de protección de datos en 2024 se impusieron a autónomos y pymes
- Una brecha de seguridad en una PYME cuesta entre $5,000 y $50,000 USD en recuperación
- Una hora de downtime representa pérdida operativa de 1-5% del ingreso mensual
- El 89% de brechas de datos en pymes se hubiera prevenido con controles básicos
Este checklist proporciona un protocolo estructurado, actualizado a 2026, basado en estándares NIST, ISO 27001, y regulaciones actuales (GDPR, LGPD, Ley Peruana 29733 modificada 2025). Está diseñado para ser implementable por un solo individuo con conocimientos técnicos básicos, escalable conforme crezca el negocio, y alineado con cumplimiento legal real.
FASE 1: FUNDAMENTOS (SEMANA 1-2) – Implementación Inmediata
Dimensión 1: Infraestructura de Dispositivos
✅ 1.1 Auditoría Básica de Dispositivos
Acción: Documenta todos los dispositivos que usas para trabajo online.
Checklist:
- Laptop/PC principal (marca, modelo, SO)
- Smartphone/tablet (marca, versión iOS/Android)
- Router WiFi (marca, modelo)
- Cualquier otro dispositivo con acceso a datos de negocio (disco externo, cámara con WiFi, etc.)
Evaluación de estado actual:
Para cada dispositivo, responde:
- ¿Sistema operativo actualizado? (Verificar: Configuración > Acerca de)
- ¿Versión soportada aún? (Ejemplo: Windows 7 = NO SOPORTADO)
- ¿Antivirus activo? (Verificar: Centro de Seguridad de Windows)
- ¿Firewall habilitado? (Verificar: Configuración > Firewall)
Acción correctiva inmediata:
Si tienes dispositivos con Windows 7, Windows 8, o versiones de Android/iOS de hace 5+ años: planifica actualización o remplazo (prioridad alta). Son objetivos fáciles para exploits.
✅ 1.2 Actualizaciones de Sistema Operativo
Acción: Actualiza todos los sistemas operativos a la versión más reciente.
Windows (10 o 11):
- Abre Configuración > Sistema > Acerca de
- Haz clic en “Búsqueda de actualizaciones”
- Instala todas las actualizaciones disponibles
- Reinicia dispositivo
- Verifica que no hay actualizaciones pendientes (repite hasta ver “Estás actualizado”)
macOS (Monterey, Ventura, Sonoma o posterior):
- Abre Preferencias del Sistema > General > Actualización de Software
- Haz clic en “Actualizar ahora” si hay disponibles
- Reinicia y repite hasta estar actualizado
Linux (Ubuntu/Debian):
sudo apt update && sudo apt upgrade -y
sudo apt autoremove -y
sudo reboot
Smartphone (iOS/Android):
- iOS: Configuración > General > Actualización de Software
- Android: Configuración > Sistema > Actualización del sistema
Frecuencia: Revisa actualizaciones cada martes (Microsoft libera Patch Tuesday) o cuando recibas notificación.
✅ 1.3 Antivirus y Protección Endpoint
Acción: Instala protección antivirus enterprise-grade (no gratuita).
Recomendación por sistema:
| SO | Opción Mínimo | Opción Intermedio | Opción Premium |
|---|---|---|---|
| Windows | Windows Defender (nativo) | Kaspersky Small Office | Norton Business |
| macOS | Xprotect (nativo) | Kaspersky Mac | Norton Mac |
| Android | Google Play Protect (nativo) | Kaspersky Mobile | Bitdefender Mobile |
| iOS | No es necesario (aislamiento SO) | N/A | N/A |
Instalación Windows (Kaspersky):
- Descarga desde kaspersky.com/business (no desde otros sitios)
- Instala en PC principal y cualquier PC de trabajo
- Configura escaneo automático (diario a las 2 AM)
- Habilita “Protección en tiempo real”
- Verifica que tenga licencia válida (no expirada)
Verificación:
- En panel de control > Centro de seguridad, antivirus aparece como “activo”
- Firewall de Windows está “Activado”
- Ambos muestran estado “Protegido”
Dimensión 2: Gestión de Contraseñas
✅ 2.1 Auditoría de Contraseñas Actuales
Acción: Evalúa la seguridad de contraseñas que usas hoy.
Para cada contraseña importante, responde:
- ¿Tiene 12+ caracteres?
- ¿Tiene mayúsculas, minúsculas, números Y símbolos?
- ¿Es ÚNICA (no la reutilizas en otro sitio)?
- ¿Cambió en los últimos 90 días?
- ¿Basada en algo personal (nombre, fecha nacimiento)? Si sí = INSEGURA
Sitios críticos que DEBEN tener contraseña fuerte ÚNICA:
- Gmail/Outlook (correo = llave maestra)
- Banca online
- Billeteras digitales (Mercado Pago, PayPal)
- Hosting/sitio web
- Plataforma de cobranza (Stripe, Mercado Pago)
- CRM/software de negocio
Diagnóstico: Si 3+ de estos tienen contraseña débil o reutilizada = RIESGO CRÍTICO.
✅ 2.2 Implementación de Gestor de Contraseñas
Acción: Instala gestor de contraseñas empresarial.
Selección según presupuesto:
| Nombre | Costo | Mejor Para |
|---|---|---|
| Bitwarden | Gratuito / $3/mes | Freelancers solo, sin datos de clientes |
| 1Password | $4.99/mes personal, $20/mes teams | Negocios con 2-10 personas |
| LastPass Business | $7/usuario/mes | PyMEs 10-100 personas |
| Keeper Business | $2-3/usuario/mes | Startup económicas |
Instalación (ejemplo Bitwarden):
- Ve a bitwarden.com
- Crea cuenta con correo principal
- Contraseña maestra FUERTE: 20+ caracteres, aleatoria, única
- Ejemplo:
9kXmB$qL7vRzP@wE2jY(guárdala en papel físico en lugar seguro)
- Ejemplo:
- Instala extensión en navegador (Chrome, Firefox, Safari)
- Instala app en teléfono
- Configura con PIN de 6 dígitos
Primeros pasos:
- Agrega tus 10 contraseñas críticas (copiar > pegar desde navegador a Bitwarden)
- Para nuevas cuentas, usa generador de Bitwarden (16+ caracteres, todos tipos)
- Marca cuentas como “importantes” o “críticas”
- Habilita verificación de salud: Herramientas > Reporte de Salud (muestra contraseñas débiles/reutilizadas)
Buena práctica: Revisa reporte de salud cada mes.
✅ 2.3 Política de Rotación de Contraseñas
Acción: Establece un plan para cambiar contraseñas.
Frecuencia recomendada:
- Cuentas críticas (email, banca): cada 90 días
- Cuentas operacionales (CRM, hosting): cada 180 días
- Otras cuentas: cada año
Procedimiento:
- Configura recordatorio en calendario: “Cambiar contraseña [sitio]”
- Cuando llegue fecha: accede al sitio > Seguridad > Cambiar contraseña
- Genera contraseña nueva en Bitwarden (no copies anterior)
- Guarda en Bitwarden (automáticamente)
- Documenta fecha en nota personal (“Cambié Gmail el 18/01/2026”)
Importante: NO uses patrón (Contraseña123 → Contraseña124). Cada una debe ser aleatoria.
Dimensión 3: Autenticación Multifactor (2FA)
✅ 3.1 Auditoría de 2FA Actual
Acción: Determina qué cuentas tienen 2FA y cuál es el tipo.
Para cada cuenta crítica, identifica:
- ¿Tiene 2FA habilitado? (Sí / No)
- ¿Tipo de 2FA? (SMS / Aplicación TOTP / Token USB / Nada)
- Si es SMS: riesgo (puede ser interceptado)
- Si es app (Authenticator): bueno
- Si es token USB (YubiKey): muy bueno
Prioridad inmediata (hoy):
- Correo Gmail
- Banca online
- Plataforma de pagos (Stripe, Mercado Pago)
✅ 3.2 Implementación de 2FA con Aplicación TOTP
Acción: Reemplaza SMS 2FA con aplicación TOTP.
Paso 1: Descargar aplicación
- Google Authenticator (iOS/Android) OR
- Authy (iOS/Android, mejor porque permite backup) OR
- Microsoft Authenticator (si usas Microsoft)
Recomendación: Usa Authy (permite backup + sincronización entre dispositivos si pierde teléfono).
Paso 2: Configurar en Gmail (ejemplo)
- Accede a myaccount.google.com
- Seguridad (lado izquierdo) > Verificación en 2 pasos
- Desactiva SMS si está activo
- Agrega “Aplicación Authenticator”
- Abre Authy en teléfono
- Escanea código QR que aparece en pantalla
- Ingresa código de 6 dígitos que te muestra Authy
- ¡Hecho! Próximo login requerirá código de Authy
Paso 3: Guardar códigos de recuperación
- Cuando agregues 2FA, Gmail te ofrece “Códigos de recuperación”
- Descárgalos (PDF)
- Guarda en lugar físicamente seguro (caja fuerte, armario con llave)
- NO los guardes en teléfono ni en cloud sin cifrado
Repetir para: Banca, Stripe, Mercado Pago, CRM, hosting.
✅ 3.3 Token USB FIDO2 (Opcional pero Recomendado)
Acción: Para máxima seguridad, agrega token USB físico.
Qué es: Dispositivo del tamaño de un llavero, resiste phishing 100%.
Opciones:
- YubiKey 5 NFC (~$50 USD)
- Google Titan Security Key (~$30 USD)
- Clave de seguridad Solokeys (~$20 USD)
Implementación:
- Compra 2 tokens (uno principal + uno backup)
- En Gmail > Seguridad > Verificación en 2 pasos: agrega “Clave de seguridad”
- Inserta token en puerto USB
- Toca el botón del token cuando se pide confirmación
- Registra token de backup también
- Guarda tokens en lugar seguro
Ventaja sobre TOTP: Imposible robar código de pantalla, inmune a phishing.
Dimensión 4: Red y WiFi
✅ 4.1 Seguridad de WiFi Doméstica
Acción: Asegura tu red WiFi contra intrusión.
Verificación actual:
- Accede a router: abre navegador, escribe
192.168.1.1o192.168.0.1 - Inicia sesión (usuario/contraseña: busca en etiqueta del router)
- Busca “Configuración WiFi” o “Seguridad Wireless”
- Verifica estos parámetros:
| Parámetro | Valor Actual | Valor Objetivo | Acción |
|---|---|---|---|
| Encriptación | WEP/WPA/WPA2 | WPA3 o WPA2 | Cambiar si es WEP |
| Contraseña WiFi | [Tu contraseña] | 20+ caracteres, aleatoria | Cambiar a fuerte |
| Nombre (SSID) | [Nombre] | Algo anónimo (no “Casa de Juan”) | Cambiar |
| Red de invitados | Deshabilitada | Habilitada | Crear |
Cambio de encriptación (si está en WEP):
- En router, busca “Seguridad” o “Encryption”
- Cambiar a “WPA3” (si no disponible, WPA2)
- Introducir contraseña WiFi nueva (20+ caracteres)
- Guardar cambios
- Desconectar todos dispositivos y reconectar (pedirá contraseña nueva)
Importante: Esta acción desconectará TODOS los dispositivos momentáneamente.
✅ 4.2 Crear Red de Invitados
Acción: Red WiFi separada para visitantes/clientes.
Beneficio: Si alguien malicioso se conecta a red de invitados, NO accede a tus datos.
Procedimiento:
- En router, busca “Red de invitados” o “Guest Network”
- Habilitar
- Nombre (SSID): “WiFi_Invitados” (genérico)
- Contraseña: 12+ caracteres
- Guardar
- Prueba: Conecta teléfono a red de invitados
- Intenta acceder a PC principal (no debería poder ver archivos compartidos)
✅ 4.3 VPN para Trabajo Remoto
Acción: Si trabajas desde múltiples ubicaciones (café, coworking, viaje), usa VPN.
Cuándo es crítico usar VPN:
- Conectando desde WiFi público (café, hotel, aeropuerto)
- Accediendo a datos sensibles de clientes
- Realizando operaciones bancarias remotas
- En cualquier red que NO sea tu WiFi doméstica
Selección de VPN:
- Para freelancer solo: Bitwarden (incluye acceso seguro con VPN)
- Para acceso a servidor empresarial: Solicita a tu empresa VPN corporativa
- Para privacidad general: ProtonVPN, NordVPN (ver reporte anterior sobre blindaje digital)
Configuración básica (ProtonVPN):
- Descarga desde protonvpn.com
- Crea cuenta
- Instala app
- Abre app, selecciona servidor (preferiblemente mismo país o cercano)
- Haz clic “Conectar”
- Verifica que está conectado (icono de candado aparece)
Verificación: Antes/después de VPN, abre whatismyipaddress.com
- Sin VPN: muestra tu IP real
- Con VPN: muestra IP del servidor VPN (diferente)
Dimensión 5: Copias de Seguridad
✅ 5.1 Auditoría de Datos Críticos
Acción: Identifica qué datos PERDERÍAS si el PC se quema hoy.
Realiza inventario:
- Archivos de proyecto (código, diseños, documentos)
- Datos de clientes (contratos, notas, información de contacto)
- Configuraciones y credenciales
- Fotos/videos de producto
- Registros financieros (facturas, presupuestos)
- Base de datos de negocio (si existe)
Pregunta clave: ¿Cuánto dinero/tiempo perderías sin cada uno?
✅ 5.2 Implementación de Copias de Seguridad Automáticas
Opción A: Solución en la nube (Recomendada para freelancers)
| Proveedor | Almacenamiento | Costo | Cifrado |
|---|---|---|---|
| Google Drive | 15 GB gratuito | $2/100GB/mes | Sí (Google lo tiene) |
| OneDrive | 5 GB gratuito | $2/100GB/mes | Sí (Microsoft) |
| Tresorit | 3 GB gratuito | $10/200GB/mes | E2EE (mejor) |
| Proton Drive | 1 GB gratuito | $10/200GB/mes | E2EE |
Recomendación: Usa Tresorit si datos son muy sensibles (clientes). Usa Google Drive si es volumen grande y precio es factor.
Instalación Google Drive (ejemplo):
- Descarga Google Drive desde google.com/drive
- Instala en PC
- Inicia sesión con Gmail
- Configura carpeta local (ej: C:\Mi Carpeta de Negocio)
- Mueve archivos críticos a esa carpeta
- Google Drive sincroniza automáticamente a la nube
- Verifica: abre drive.google.com en navegador y ve que archivos están subidos
Frecuencia: Automática (en tiempo real una vez configurado).
Opción B: Respaldo en disco duro externo (Complementario)
- Compra disco duro externo (1-2 TB, marca Seagate o Western Digital)
- Conecta a PC
- Configura respaldo automático:
- Windows: Configuración > Sistema > Copias de seguridad > Realizar respaldo con File History
- Mac: Preferencias del Sistema > General > Copias de Seguridad > Habilitar Time Machine
- Frecuencia: Semanal o diaria
- Desconecta disco después de respaldo (guarda en lugar seguro)
Nota importante: Disco externo debe estar DESCONECTADO de PC en uso normal. Si hay malware, podría infectar el respaldo también.
✅ 5.3 Auditoría de Respaldos
Acción: Verifica que tus respaldos funcionan realmente.
Cada mes:
- Abre Google Drive > Verifica que archivos están ahí
- Abre disco externo > Verifica que contiene copias recientes
- Intenta restaurar un archivo viejo a propósito para probar que funciona
“El respaldo que nunca probaste es un respaldo que no existe.”
FASE 2: OPERACIONES SEGURAS (SEMANA 3-4)
Dimensión 6: Prácticas de Seguridad en Trabajo Diario
✅ 6.1 Email Seguro
Acción: Implementa prácticas seguras al recibir/enviar correos.
Reglas de oro:
| Escenario | Acción |
|---|---|
| Recibís correo pidiendo contraseña | NUNCA respondas. Empresa legítima no pide contraseña por correo. Borra. |
| Enlace en correo de “banco” | NO hagas clic. Abre navegador, escribe manualmente el sitio. |
| Adjunto .exe, .zip, .com | PELIGRO: probablemente malware. Borra sin abrir. |
| Correo de desconocido con urgencia | “Tu pago fue rechazado”, “Verifica tu cuenta”. Sospecha. |
| Necesitas enviar datos sensibles (DNI, contrato) | NO por correo. Usa carpeta de Google Drive compartida o plataforma cifrada. |
Filtros anti-phishing:
- Gmail: Activar “Mostrar clasificación de seguridad” (ajustes > avanzado)
- Outlook: Activar “Protección contra amenazas avanzada”
✅ 6.2 Comunicación Segura con Clientes
Acción: Establece canales seguros para información sensible.
Por cada tipo de dato:
| Tipo de Dato | NO Uses | SÍ Uses |
|---|---|---|
| Contratos legales | Email, WhatsApp | Plataforma de firma digital (DocuSign, Contractualis) |
| DNI/Documentos | Google Drive compartida o Tresorit | |
| Números de tarjeta | Email, WhatsApp | Pasarela de pago oficial (Stripe, 2Checkout) |
| Fotos/videos privados | Cloud pública (Dropbox) | OneDrive, Google Drive con acceso restringido |
| Coordenadas bancarias | Sistema de pago directo o encrypted message |
Implementación:
- Contrata firma digital: Contractualis (Perú/LATAM), DocuSign (global)
- Para compartir archivos: configura Google Drive con “Acceso restringido” (solo personas específicas)
- Para pagos: usa gateway (Stripe, Mercado Pago) en lugar de transferencia manual
✅ 6.3 Limpieza de Dispositivos
Acción: Elimina archivos y aplicaciones que no uses.
Mensual:
- Desinstala aplicaciones no usadas (Panel de Control > Programas > Desinstalar)
- Elimina descargas viejas (Descargas > Borrar archivos de >3 meses)
- Vacía papelera de reciclaje
Cada trimestre:
- Ejecuta “Liberador de espacio” (Windows) o “Limpiador de almacenamiento” (Mac)
- Revisa carpeta Documentos: ¿hay archivos duplicados? Bórralos.
- Revisa apps en teléfono: ¿sigues usando todas? Si no, desinstala.
Dimensión 7: Monitoreo y Alertas
✅ 7.1 Monitoreo de Acceso a Cuentas
Acción: Recibe alertas si alguien intenta acceder a tus cuentas desde ubicación desconocida.
Gmail:
- Accede a myaccount.google.com
- Seguridad > Tu actividad de seguridad
- Habilita “Notificaciones de inicio de sesión sospechoso”
- Verifica “Dispositivos conectados” regularmente
- Si ves dispositivo que no reconoces: Eliminar acceso inmediatamente
Banca online:
- Contacta banco, solicita “alertas por transacción”
- Configura monto mínimo (ej: alertar si >$500)
- Prueba: haz una transacción, verifica que recibiste alerta
Mercado Pago/Stripe:
- Configuración > Seguridad > Alertas por actividad
- Recibe notificación en cada transacción/login
✅ 7.2 Auditoría de Dispositivos Conectados
Acción: Revisa regularmente qué dispositivos tienen acceso a tus cuentas.
Gmail:
- myaccount.google.com > Seguridad > Dispositivos
- Verifica que SOLO ves tus dispositivos (PC, teléfono)
- Si hay dispositivo desconocido:
- Haz clic en él > “Eliminar”
- Cambia contraseña Gmail (desde dispositivo seguro)
- Activa 2FA si no está activa
Banca online:
- Configuración > Dispositivos registrados
- Misma revisión: ¿están todos aquí?
- Si no: elimina y cambia contraseña
Frecuencia: Cada semana si trabajas con datos sensibles. Cada mes si actividad normal.
Dimensión 8: Respuesta a Incidentes Básica
✅ 8.1 Plan de Respuesta Rápida
Acción: Documento los pasos a seguir si algo “huele mal”.
Signos de alerta:
- Antivirus muestra alerta
- PC está anormalmente lento
- Recibís correos de “verificación” sin haber solicitado
- Alguien reporta recibir correos tuyos que no enviaste
- Cambios no autorizados en contraseñas
Protocolo inmediato:
| Si ocurre | Acción inmediata | En las próximas 24h |
|---|---|---|
| Antivirus alerta | Ejecutar escaneo completo | Revisar reporte, eliminar archivos detectados |
| PC lento | Reiniciar | Buscar procesos extraños (Ctrl+Shift+Esc, pestaña Procesos) |
| Email comprometido | Cambiar contraseña desde PC limpio | Revisar dispositivos conectados, activar 2FA |
| Transacción no autorizada | Contactar banco INMEDIATAMENTE | Denuncia, cambio de contraseña, monitoreo cuenta |
Contactos de emergencia a tener a mano:
- Número banco (atrás de tarjeta)
- Correo soporte hosting
- Número policía cibernética local
- Email UFECI/equivalente (Argentina: denunciasufeci@mpf.gov.ar)
FASE 3: CUMPLIMIENTO Y PROTECCIÓN DE DATOS (SEMANA 5+)
Dimensión 9: Protección de Datos de Clientes
✅ 9.1 Auditoría de Datos que Manejas
Acción: Identifica qué datos de clientes recopila/almacena tu negocio.
Pregunta: “¿Qué información personal de clientes tengo?”
Ejemplos:
- Nombres, correos, teléfonos
- Direcciones
- Información de pago (tarjeta, cuenta bancaria)
- Fotos/documentos
- Preferencias, historial de compra
- Información médica/financiera (si aplica)
Registro:
Crea hoja de cálculo:
Tipo de Dato | Cantidad de Personas | Dónde Almacenado | Quién Accede | Cuánto Tiempo Guardado
Nombres/Emails | 500 | Gmail + Google Sheets | Solo yo | Indefinido
Direcciones | 500 | Carrito de compras (Shopify) | Yo + Shopify | Hasta entrega
✅ 9.2 Política de Privacidad
Acción: Redacta política de privacidad clara.
Incluir:
- Qué datos recopilo (nombres, emails, etc.)
- Por qué los recopilo (para entregar servicio)
- Cómo los protejo (cifrado, acceso restringido)
- Por cuánto tiempo los guardo
- Con quién los comparto (si es que sí)
- Derechos del cliente (acceso, corrección, eliminación)
- Cómo contactarme con preguntas
Plantilla simple:
POLÍTICA DE PRIVACIDAD - [Tu Negocio]
1. Datos que recopilamos:
- Nombre, correo, teléfono
- Dirección (si compran)
- Información de pago (procesada por [plataforma])
2. Cómo usamos los datos:
- Entregar servicio/producto
- Enviar actualizaciones (si se suscribieron)
- Mejorar servicio
3. Cómo protegemos datos:
- Almacenados en Google Drive/OneDrive (cifrados)
- Solo acceso restringido
- Servidores en [país]
4. Cuánto tiempo guardamos:
- Nombres/emails: [X años]
- Información de pago: [X años, requerido legalmente]
5. Tus derechos:
- Acceso: solicita copia de tus datos
- Corrección: solicita cambio de datos incorrectos
- Eliminación: solicita borrar tus datos
Contacto para privacidad: [tu email]
Publica en: Sitio web (abajo), aplicación, o envía por email a nuevos clientes.
✅ 9.3 Acuerdos de Confidencialidad (si aplica)
Acción: Si trabajas con datos sensibles (clientes, proveedores), firma acuerdos.
Cuándo es crítico:
- Trabajo como consultor viendo datos de cliente final
- Desarrollo software que maneja información sensible
- Freelancer contratado por empresa (deben darte NDA)
Elemento clave en NDA:
"Confidencialidad: Las partes acuerdan que toda información compartida
es confidencial. No podrá ser compartida con terceros sin consentimiento
escrito. Violación resultará en responsabilidad legal."
Acción: Si contrataste un freelancer, dale a firmar NDA o incluye cláusula en contrato.
Dimensión 10: Cumplimiento Normativo
✅ 10.1 Evalúa Normativa Aplicable
Acción: Determina qué leyes de protección de datos aplican a tu negocio.
Por región:
| Región | Normativa Principal | Multa Máxima | Aplica Si |
|---|---|---|---|
| España/UE | GDPR + LOPDGDD | €300,000 | Tienes cliente en UE |
| Perú | Ley 29733 + Reg 2025 | 100 UIT (~S/535k) | Tienes cliente en Perú |
| Argentina | LGPD (en discusión) + GDPR si opera en UE | Sujeto a cambios | Tienes cliente en UE |
| México | LFPDPPP | Multas variables | Tienes cliente en México |
Evaluación rápida:
- ¿Tienes clientes en Europa? → Cumple GDPR
- ¿Tienes clientes en Perú? → Cumple Ley 29733
- ¿Tienes clientes en múltiples países? → Cumple normativa más estricta (GDPR)
Acción: Si aplica GDPR/LOPDGDD (porque tienes cliente en UE):
- Contrata asesor legal o usa servicio como iubenda.com (genera políticas automáticas)
- Implementa consentimiento explícito para marketing
- Configura “derecho al olvido” (cliente solicita eliminar datos, los borras en 30 días)
✅ 10.2 Documentación de Seguridad
Acción: Crea registros de tus medidas de seguridad.
Documento requerido: “Registro de Medidas de Seguridad”
MEDIDAS DE SEGURIDAD - [Tu Negocio] - Actualizado 18/01/2026
1. ACCESO Y AUTENTICACIÓN:
- 2FA habilitado en: Gmail, Banca, Stripe, CRM
- Contraseñas: gestor Bitwarden con 20+ caracteres
- Cambio de contraseñas: cada 90 días cuentas críticas
2. ALMACENAMIENTO:
- Google Drive con encriptación Google
- Backup semanal en disco externo (desconectado)
- Acceso restringido a datos sensibles (solo yo)
3. DISPOSITIVOS:
- SO actualizado (Windows 11, versión 2024)
- Antivirus Kaspersky activo
- Firewall habilitado
4. COMUNICACIÓN:
- VPN para conexiones públicas
- Cifrado de correos sensibles (no usado aún)
- Firma digital en contratos (Contractualis)
5. FORMACIÓN:
- Autocapacitación: 2 horas/mes en seguridad
- Conocimiento de phishing y ataques comunes
Responsable: [Tu nombre]
Última revisión: 18/01/2026
Próxima revisión: 18/04/2026
Guardar en: Carpeta de Google Drive cifrada o disco externo.
Uso: En caso de incidente o auditoría, demuestra que tomaste medidas razonables.
✅ 10.3 Plan de Respuesta a Brechas de Datos
Acción: Define proceso si datos de cliente se ven comprometidos.
Si descubres brecha:
| Paso | Acción | Plazo |
|---|---|---|
| 1. Contenimiento | Desconecta dispositivo afectado, cambia contraseña | Inmediato |
| 2. Investigación | Determina qué datos fueron comprometidos, cómo ocurrió | 24h |
| 3. Notificación cliente | Informa al cliente que sus datos estuvieron en riesgo (si aplica ley) | 48h (GDPR), 30 días (otros) |
| 4. Notificación autoridad | Reporta a autoridad (AEPD si GDPR, ANPD si Perú) | 48h |
| 5. Mitigación | Implementa medida para que no vuelva a ocurrir | 7 días |
| 6. Documentación | Registra incidente, causa, solución | Después de todo |
Plantilla de notificación cliente:
Estimado [Cliente],
Queremos informarle sobre un incidente de seguridad que afectó su información:
INCIDENTE: [Descripción: "Acceso no autorizado a base de datos el 15/01"]
DATOS AFECTADOS: [Nombre, email - NO incluir datos completos si es posible]
RIESGO: [Bajo/Medio/Alto: "Riesgo bajo, datos no eran números de tarjeta"]
ACCIÓN TOMADA: [Contraseña cambiada, sistema asegurado, auditoría realizada]
QUÉ HACER: [Cambiar contraseña en plataforma, monitorear cuenta]
Disculpas por este incidente. Nuestro compromiso es proteger sus datos.
[Tu nombre/empresa]
FASE 4: OPTIMIZACIÓN Y ESCALADO (MENSUAL/TRIMESTRAL)
Dimensión 11: Auditorías Regulares
✅ 11.1 Auditoría Mensual (1 hora)
Acción: Revisa estado general de seguridad.
Checklist:
- Verificar que SO está actualizado
- Revisar “Dispositivos conectados” en Gmail/Banca (¿hay desconocidos?)
- Revisar alertas de antivirus (¿detectó algo?)
- Verificar que respaldos se ejecutaron (¿archivos están en Google Drive?)
- Cambiar contraseña de 1 cuenta crítica (rotación)
- Revisar cuenta bancaria por transacciones no autorizadas
✅ 11.2 Auditoría Trimestral (2-3 horas)
Acción: Análisis profundo.
Checklist:
- Ejecutar escaneo antivirus completo (3-4 horas)
- Revisar “Reporte de Salud” en Bitwarden (¿contraseñas débiles?)
- Revisar política de privacidad (¿sigue siendo actual?)
- Revisar accesos a datos de clientes (¿quién tiene acceso? ¿aún necesario?)
- Probar restauración de backup (descargar un archivo del respaldo, verificar que funciona)
- Verificar logs de antivirus (¿detecciones múltiples? Investigar)
- Actualizar documento de “Medidas de Seguridad”
✅ 11.3 Auditoría Anual (4-6 horas)
Acción: Evaluación exhaustiva.
Checklist:
- Auditoría profesional (opcional): contratar a un experto (~$500-2000)
- Test de penetración (atacante intenta entrar, tu permiso)
- Revisión de normativa (¿cambió ley en tu región?)
- Revisión de tecnología (¿hay soluciones nuevas más seguras?)
- Análisis de riesgos (¿qué sería el peor escenario?)
- Evaluación de ROI (¿vale la pena tu inversión actual?)
RESUMEN RÁPIDO: CHECKLIST EN 1 PÁGINA
Para imprimir y pegar en tu pared:
CHECKLIST SEGURIDAD DIGITAL - FREELANCER 100% ONLINE
SEMANA 1:
☐ Sistema operativo actualizado
☐ Antivirus instalado y activo
☐ Contraseña Gmail FUERTE (16+ caracteres)
☐ Gestor de contraseñas instalado (Bitwarden)
☐ 2FA en Gmail (app, no SMS)
SEMANA 2:
☐ 2FA en Banca y Stripe
☐ WiFi doméstica segura (WPA3/WPA2)
☐ Respaldo automático Google Drive o Tresorit
☐ Respaldo manual disco externo (1x mes)
☐ Token USB FIDO2 en compra (opcional, pero recomendado)
MENSUAL:
☐ Revisa dispositivos conectados a Gmail
☐ Revisa transacciones bancarias
☐ Cambio contraseña 1 cuenta crítica
☐ Ejecuta escaneo antivirus
☐ Verifica que respaldos están actualizados
TRIMESTRAL:
☐ Auditoría de contraseñas débiles (Bitwarden)
☐ Revisión de política privacidad
☐ Prueba restauración backup
☐ Actualizar medidas de seguridad documentadas
ANUAL:
☐ Auditoría profesional (si presupuesto permite)
☐ Test penetración
☐ Revisión normativa (¿cambió ley?)
☐ Capacitación adicional (curso online seguridad)
INVERSIÓN RECOMENDADA
| Elemento | Costo Anual | Prioridad |
|---|---|---|
| Bitwarden | $36/año | CRÍTICA |
| ProtonVPN | $120/año | ALTA |
| Kaspersky Small Office | $40-60/año | ALTA |
| Google Drive 100GB | $24/año | CRÍTICA |
| Tresorit (si datos sensibles) | $120/año | MEDIA |
| Token USB FIDO2 (2 unidades) | $100 one-time | MEDIA |
| Firma digital (Contractualis/DocuSign) | $50-200/año | MEDIA |
| Asesor legal cumplimiento (1 auditoría) | $500-1000 one-time | MEDIA |
| TOTAL ANUAL | $400-600 | – |
Comparativa: Costo de brecha de datos = $5,000-50,000. Tu inversión = $400-600. ROI = 12-125x.
La seguridad digital no es un proyecto “termino y me olvido”. Es mantenimiento continuo, como cambiar aceite a un auto. Pero a diferencia de un auto, la inversión es mínima ($40/mes) y el impacto es máximo (protege tu negocio, confianza de cliente, cumplimiento legal).
Acción hoy: Abre Bitwarden, cambia contraseña Gmail, habilita 2FA. Son 30 minutos que pueden salvarte $10,000 mañana.