10 errores de seguridad en el trabajo remoto: cómo corregir su entorno

El trabajo remoto no creó nuevos vectores de ataque — dispersó los existentes a través de miles de oficinas domésticas, dispositivos personales y routers de grado consumidor. El DBIR 2026 de Verizon sitúa las vulnerabilidades de software en la cima de la lista de vectores de entrada de brechas, representando el 31% de los incidentes, con ransomware involucrado en el 48% de los casos. La superficie de ataque no cambió en naturaleza. Cambió en escala y distribución.

La mayoría de estas brechas comienzan con una contraseña de router predeterminada, un mensaje de Slack que contiene credenciales o un empleado que se saltó la VPN porque era lenta.

La seguridad falla cuando es más difícil hacer lo correcto que lo incorrecto. Cada error descrito a continuación describe el fallo real, por qué ocurre y cómo es una solución realista.

Error 1: El router doméstico no asegurado (credenciales predeterminadas)

Los routers domésticos vienen con credenciales de administrador predeterminadas que están documentadas públicamente. Los atacantes escanean constantemente interfaces de gestión de routers expuestas. Un router comprometido le da al atacante una posición entre el empleado y cada sistema al que accede — incluyendo VPNs corporativas y servicios en la nube.

Por qué ocurre

La mayoría de los empleados nunca cambian la contraseña predeterminada porque nadie les dijo que lo hicieran, y el router «simplemente funciona». Ese es el problema de fricción: la acción segura requiere un esfuerzo deliberado que el dispositivo nunca solicita.

La solución

Distribuya una guía de hardening de routers de una página a todos los empleados remotos. Debe cubrir tres cosas: cambiar la contraseña de administrador (mínimo 16 caracteres, única), desactivar la gestión remota si no se usa y actualizar el firmware. La guía de seguridad de redes domésticas de CISA es un buen punto de partida. Para roles de mayor riesgo, considere proporcionar routers de viaje gestionados por la empresa con configuraciones pre-reforzadas.

Caso real: una encuesta de Broadband Genie de 2024 a más de 3.000 usuarios encontró que el 86% nunca había cambiado la contraseña de administrador predeterminada de su router. Ese mismo año, los atacantes comprometieron sistemas de tratamiento de agua de EE. UU. explotando PLCs Unitronics que tenían contraseñas predeterminadas o ninguna contraseña. CISA emitió una alerta formal instando a los fabricantes a eliminar las credenciales predeterminadas por completo — sin embargo, en 2025, admin:admin sigue siendo un login funcional en millones de dispositivos desplegados.

Error 2: Compartir contraseñas de forma insegura vía chat y correo electrónico

Un desarrollador necesita credenciales de base de datos. La vía más rápida es Slack. Un contratista necesita una cuenta de administrador. El correo electrónico funciona. Finanzas guarda el login de nóminas en una hoja de cálculo compartida. Cada uno de estos traspasos crea una credencial que existe fuera de cualquier sistema controlado — en registros de chat, archivos de correo electrónico e historiales de hojas de cálculo que nadie está auditando.

Por qué ocurre

El problema es que la bóveda corporativa es más difícil de usar que Slack. Cuando la vía segura tiene más fricción que la insegura, la insegura gana siempre.

La solución

Haga que compartir a través de la bóveda sea la opción más fácil. Con un gestor de contraseñas correctamente configurado, un usuario puede compartir acceso a una credencial sin que el destinatario vea nunca la contraseña en texto plano. Cada evento de acceso queda registrado y vinculado a una identidad individual. Cuando termina el contrato del colaborador externo, se revoca el acceso una sola vez — sin necesidad de buscar en el historial de chat para averiguar qué se le envió.

Para un análisis detallado de por qué esto importa y cómo diseñarlo, consulte los riesgos de compartir contraseñas de forma insegura y cómo funciona realmente el acceso mediado por bóveda en la práctica.

Error 3: Mezclar dispositivos personales y de trabajo (BYOD sin controles)

Las políticas de traer-su-propio-dispositivo (BYOD) ahorran costes de hardware. También colocan credenciales corporativas en máquinas que ejecutan extensiones de navegador personales, cuentas familiares y software que TI nunca ha visto. La superficie de ataque no es la red corporativa — es el portátil personal del empleado que también ejecuta un juego crackeado y un navegador desactualizado.

Por qué ocurre

Las organizaciones aceptan el riesgo BYOD sin cuantificarlo. El dispositivo sobre el que TI no tiene ninguna visibilidad es el mismo dispositivo que accede a sistemas de producción, correo corporativo y almacenamiento en la nube. Nadie lo señala porque nada ha salido mal todavía.

La solución

Si BYOD es inevitable, aplique estándares mínimos: cifrado del dispositivo, requisitos de versión de SO y una solución de gestión de dispositivos móviles (MDM) que pueda borrar datos corporativos sin tocar los archivos personales. Separe la actividad laboral de la personal al menos a nivel de perfil de navegador. Para roles con privilegios elevados, proporcione dispositivos de trabajo dedicados. El coste de un endpoint gestionado es una fracción del coste de una brecha que comenzó en una máquina personal.

Caso real: en 2022, un ingeniero DevOps de LastPass usó su ordenador personal doméstico tanto para trabajo como para entretenimiento. La máquina ejecutaba Plex (una aplicación de servidor de medios personal) con una vulnerabilidad conocida sin parchear (CVE-2020-5741). Los atacantes la explotaron para instalar un keylogger, capturaron la contraseña maestra del ingeniero y se llevaron copias de seguridad cifradas de la bóveda (UpGuard, 2025).

Error 4: Fugas por compartir pantalla y notificaciones

Una llamada de Zoom está en curso. Aparece una notificación de Slack que contiene un enlace de restablecimiento de contraseña. Una pantalla compartida muestra una terminal abierta con credenciales visibles. Estos casos están documentados en comunidades de administradores de sistemas como precursores reales de brechas.

Por qué ocurre

Los fallos de privacidad durante el compartir pantalla se tratan como accidentes vergonzosos, no como incidentes de seguridad. No hay alerta, no hay entrada en el registro, no se activa ninguna violación de política. Los datos simplemente se filtran.

La solución

Configure los ajustes de notificaciones para ocultar las vistas previas de mensajes durante el uso compartido de pantalla. Cierre las pestañas y terminales sensibles antes de compartir su pantalla — hágalo un hábito, no una reacción. En macOS, «No Molestar» suprime las vistas previas de notificaciones. En Windows, Asistente de concentración hace lo mismo. Estos son cambios de configuración de 30 segundos. Inclúyalos en la documentación de incorporación de trabajo remoto para que los empleados los configuren el primer día, no después del primer incidente.

Para roles de mayor riesgo, vaya más allá: use un perfil de navegador dedicado para sesiones con pantalla compartida, sin credenciales guardadas ni sesiones activas visibles. Un perfil separado toma dos minutos en crearse y elimina toda una categoría de exposición accidental.

Error 5: Descuidar la autenticación multifactor (MFA)

Sin MFA, una contraseña filtrada es suficiente para obtener acceso completo a la cuenta. La investigación de seguridad de Microsoft sitúa la reducción del compromiso de cuentas con MFA en el 99,9%. A pesar de ello, la adopción sigue siendo inconsistente — particularmente en herramientas internas y sistemas heredados que «no lo soportan».

Por qué ocurre

MFA añade un paso. Los empleados encuentran formas de evitar pasos que los ralentizan. La brecha rara vez es técnica — es conductual. Y cuando la aplicación se deja a las aplicaciones individuales en lugar de a un proveedor de identidad central, la cobertura siempre es incompleta.

La solución

Aplique MFA a nivel del proveedor de identidad. Cuando SSO gestiona la autenticación, MFA se aplica automáticamente a todo lo que hay detrás. Para sistemas que no pueden integrarse con SSO, use llaves de seguridad hardware (FIDO2/WebAuthn) para cuentas privilegiadas — son resistentes al phishing de una manera que los códigos TOTP no lo son. Documente qué sistemas están exentos de MFA y trate esa lista como un elemento del registro de riesgos, no como un estado permanente.

Caso real: En 2024, el actor de amenazas UNC5537 comprometió más de 165 entornos de clientes de Snowflake — incluyendo Ticketmaster y Santander Bank — usando nada más que credenciales robadas. Ninguna de las cuentas afectadas tenía MFA habilitado. La investigación de Mandiant no encontró zero-days, ni exploits sofisticados: solo nombres de usuario y contraseñas válidos comprados de registros de infostealers, usados contra cuentas que no tenían un segundo factor para detenerlos (Mandiant / Google Cloud, 2024).

Error 6: Conectarse a Wi-Fi público sin VPN

El Wi-Fi de una cafetería es un dominio de difusión compartido. Cualquiera en la misma red puede observar el tráfico no cifrado. La mayoría del tráfico HTTPS moderno está cifrado en tránsito, pero las consultas DNS, las aplicaciones no cifradas y los metadatos aún pueden filtrarse. Más prácticamente, las redes públicas son un vector común para ataques de gemelo malvado — puntos de acceso falsos que imitan redes legítimas e interceptan todo lo que pasa a través de ellos.

Por qué ocurre

La red se conecta, el portátil funciona, nada parece mal. No hay señal visible de que el tráfico está siendo observado o de que el punto de acceso es falso. El riesgo es invisible hasta que deja de serlo.

La solución

Exija el uso de VPN en cualquier red que no sea doméstica como política no negociable. Las VPNs de túnel dividido que enrutan solo el tráfico corporativo son aceptables — reducen la latencia sin exponer los datos corporativos a la red abierta. Para empleados que viajan frecuentemente, un router de viaje hardware con VPN siempre activa elimina la decisión por completo. La opción segura se convierte en la predeterminada.

Caso real: En 2024, la Policía Federal Australiana acusó a un hombre que configuró puntos de acceso Wi-Fi falsos en aeropuertos, en vuelos domésticos y en otros lugares públicos de Australia Occidental. Las víctimas que se conectaron tuvieron sus credenciales de correo electrónico, inicios de sesión de redes sociales y datos bancarios capturados en tiempo real. El atacante no necesitó hardware especial — solo un portátil y un router portátil (AFP, 2024).

Error 7: Ignorar las actualizaciones de software y el parcheo

El DBIR 2026 de Verizon identifica las vulnerabilidades de software como el principal vector de entrada de brechas con un 31%. Los endpoints sin parchear son la razón principal. El portátil de un empleado remoto ejecutando una versión de SO de hace seis meses es una vulnerabilidad documentada con un CVE público, no un riesgo teórico.

Por qué ocurre

Los avisos de actualización automática interrumpen el trabajo. Los empleados hacen clic en «recordar más tarde» indefinidamente. Nadie hace seguimiento. Seis meses después, el endpoint está ejecutando software con una docena de exploits publicados y un parche que ha estado disponible desde el primer trimestre.

La solución

Elimine la elección. Aplique actualizaciones automáticas a través de MDM o política de grupo. Establezca una ventana de aplazamiento máximo — 72 horas es razonable para la mayoría de los parches, 24 horas para parches de seguridad críticos. Para software de terceros, use una herramienta de gestión de parches en lugar de depender de que las aplicaciones individuales se actualicen solas.

Trate los endpoints sin parchear como un problema de cumplimiento, no como una preferencia del usuario. Si un dispositivo supera la ventana de aplazamiento, bloquee su acceso VPN hasta que esté actualizado. Ese único cambio de política tiende a corregir el comportamiento más rápido que cualquier formación.

Caso real: En mayo de 2023, el grupo de ransomware Cl0p explotó CVE-2023-34362 — una vulnerabilidad de inyección SQL en MOVEit Transfer de Progress Software. El parche estaba disponible. La mayoría de las organizaciones no lo habían aplicado. En pocas semanas, más de 2.600 organizaciones fueron comprometidas, incluyendo la BBC, British Airways y el Departamento de Energía de EE. UU. CISA emitió un aviso de emergencia. La vulnerabilidad no era sofisticada — el fallo fue operacional: los parches existían y no se desplegaron (Aviso CISA AA23-158A, 2023).

Error 8: Caer en phishing e ingeniería social

El Informe de Tendencias de Phishing 2026 de Hoxhunt rastreó más de 50 millones de ataques reales y simulados en 4 millones de usuarios y encontró un aumento de 14x en el phishing generado por IA durante finales de 2025 — su participación en todos los ataques reportados saltó del 4% al 56% en un solo mes. El DBIR 2026 confirma que el elemento humano sigue siendo central en la causación de brechas.

Por qué ocurre

Los trabajadores remotos están más expuestos que los trabajadores de oficina. No hay un colega al que preguntar «¿recibiste este correo también?» El servicio de soporte de TI es un ticket, no una persona al final del pasillo. La fricción de verificación es alta, hacer clic es rápido.

La solución

La formación en concienciación de seguridad debe ser actual y específica, no una casilla de verificación de cumplimiento anual. Las campañas de phishing simulado con retroalimentación inmediata son más efectivas que los módulos de formación pasiva. Técnicamente, los registros DMARC, DKIM y SPF reducen el volumen de correos electrónicos falsificados.

Para objetivos de alto valor, las llaves de seguridad hardware eliminan el resultado de robo de credenciales de un phishing exitoso — incluso si el empleado hace clic en el enlace, no hay contraseña que robar. Para los equipos de soporte específicamente, aplique protocolos de verificación de identidad antes de cualquier acción en la cuenta: una llamada de vuelta a un número conocido, no un número que proporciona el llamante.

Caso real: En 2023, MGM Resorts sufrió una brecha que costó a la empresa más de 100 millones de dólares. El vector de acceso inicial fue una llamada telefónica de 10 minutos. Los atacantes encontraron a un empleado de MGM en LinkedIn, llamaron al servicio de soporte de TI haciéndose pasar por ese empleado y convencieron para que restablecieran una cuenta. Sin malware, sin exploit — solo una voz convincente y un servicio de soporte que no verificó la identidad con suficiente rigor (MGM Resorts, 2023).

Error 9: Shadow IT y herramientas cloud no autorizadas

El Work Trend Index 2024 de Microsoft y LinkedIn encontró que el 78% de los empleados ya usan herramientas de IA personales en el trabajo — la mayoría sin aprobación de TI. El impulsor siempre es la fricción: la herramienta aprobada es más lenta, más difícil de acceder o le falta una función que el empleado necesita.

Por qué ocurre

El shadow IT no es un problema de disciplina. Es una señal de que el conjunto de herramientas aprobadas tiene carencias. Los datos almacenados en un Google Drive personal, las credenciales gestionadas en un gestor de contraseñas personal, los archivos compartidos a través de un servicio de consumo — todo esto existe fuera de la visibilidad corporativa, las copias de seguridad y los controles de acceso. TI no sabe que los datos están ahí hasta que algo sale mal.

La solución

Audite el shadow IT antes de prohibirlo. Comprenda qué están usando los empleados y por qué. En muchos casos, la solución es mejorar la herramienta aprobada o añadir una alternativa autorizada — no otro memorando de política que nadie lee.

Para la gestión de credenciales específicamente: si los empleados están almacenando contraseñas de trabajo en herramientas personales, la bóveda corporativa les está fallando de alguna manera. La incorporación es demasiado compleja, el acceso es demasiado lento o la herramienta no encaja en su flujo de trabajo. Corrija la herramienta. La política por sí sola nunca ha vencido a la conveniencia.

Si el shadow IT alrededor de las credenciales es el problema, Passwork proporciona a los empleados una bóveda que es rápida de usar y fácil para compartir — sin que las credenciales salgan nunca de su infraestructura. Vea cómo funciona

Error 10: Almacenamiento local y copias de seguridad sin cifrar

Los empleados remotos acumulan datos sensibles en máquinas locales: exportaciones de bases de datos, listas de credenciales, archivos de configuración con claves API, archivos de copias de seguridad. Cuando esos datos permanecen sin cifrar en el disco duro de un portátil, un dispositivo robado o perdido se convierte en una brecha de datos completa — sin necesidad de acceso a la red.

Por qué ocurre

El cifrado se percibe como una tarea de TI, no una tarea del usuario. Los empleados no piensan en lo que hay en su disco hasta que desaparece. Las copias de seguridad en particular se descuidan: se crean una vez, se almacenan localmente o en una unidad USB personal y nunca se revisan. Nadie audita lo que hay en ~/Downloads o C:\Users\name\Desktop.

La solución

Habilite el cifrado de disco completo por defecto (BitLocker en Windows, FileVault en macOS) aplicado a través de MDM en el aprovisionamiento del dispositivo, no dejado al empleado. Para las copias de seguridad, exija solo destinos cifrados: almacenamiento en la nube corporativo o un servidor de copias de seguridad local.

Las unidades USB personales y los discos externos sin cifrar deben bloquearse por política. Ejecute una auditoría periódica de qué datos están almacenando los empleados localmente y por qué. En la mayoría de los casos, los archivos sensibles en unidades locales están ahí porque la opción de almacenamiento aprobada era inconveniente.

El cifrado de disco completo protege los datos en reposo — cuando el dispositivo está apagado o bloqueado. No hace nada por un dispositivo que es robado mientras está encendido y desbloqueado. Por eso las políticas de bloqueo automático de pantalla (máximo 5 minutos) y suspensión-al-cerrar-la-tapa importan tanto como el cifrado en sí.

Cómo construir un entorno remoto seguro: las soluciones que realmente funcionan

Los 10 errores anteriores comparten un hilo común. La seguridad se rompe en el punto donde hacer lo correcto requiere más esfuerzo que hacer lo incorrecto. Arreglar el entorno significa reducir esa fricción — no solo añadir más políticas que los empleados evitan.

Un marco de remediación práctico para equipos de TI — la base de seguridad remota de 5 capas

  1. Capa de identidad — MFA aplicado en el IdP, SSO cubriendo todas las aplicaciones principales, llaves hardware para cuentas privilegiadas.
  2. Capa de credenciales — Gestor de contraseñas centralizado con compartición mediada por bóveda, RBAC a nivel de grupo, baja automatizada vinculada a cambios en el directorio.
  3. Capa de endpoint — Cifrado aplicado por MDM, parcheo automático, política de bloqueo de pantalla, estándares mínimos de BYOD.
  4. Capa de red — VPN obligatoria en redes que no sean domésticas, filtrado DNS, guía de hardening de router para todos los empleados remotos.
  5. Capa de concienciación — Simulaciones de phishing regulares, formación actualizada que refleje las amenazas actuales mejoradas con IA, una ruta de escalado clara para actividad sospechosa.

Ninguna de estas capas funciona de forma aislada. Un empleado con MFA y un portátil parcheado que comparte credenciales por Slack tiene una brecha en la capa 2. Un empleado con una bóveda segura que se conecta a Wi-Fi público sin VPN tiene una brecha en la capa 4.

Para equipos que gestionan cuentas privilegiadas en una fuerza laboral distribuida, la capa de credenciales merece especial atención. Los riesgos de gestionar credenciales administrativas de forma remota se acumulan rápidamente cuando el acceso privilegiado no está centralizado y auditado.

Conclusión

Los 10 errores anteriores son los mismos fallos que aparecen en los informes post-mortem de brechas año tras año, ahora distribuidos en oficinas domésticas donde TI tiene menos visibilidad y los empleados tienen más autonomía. El patrón es consistente: la seguridad se rompe en el punto de fricción.

La base de 5 capas anterior proporciona a su equipo una forma estructurada de auditar dónde están esos puntos de fricción. Comience con la capa de credenciales — es donde se originan las brechas más prevenibles, y es donde un gestor de contraseñas bien desplegado se amortiza más rápido.

La mayoría de los 10 errores en este artículo se remontan a una causa raíz: la opción segura era más difícil que la insegura. Para las credenciales específicamente, esa brecha de fricción es solucionable. Passwork es un gestor de contraseñas y secretos que hace que la vía segura sea la predeterminada. Acceso basado en roles, integración AD/LDAP y cifrado de conocimiento cero. Pruebe Passwork gratis

Preguntas frecuentes sobre seguridad en el trabajo remoto

Preguntas frecuentes sobre seguridad en el trabajo remoto

¿Cuáles son los errores de seguridad en el trabajo remoto más comunes?

Los errores de seguridad en el trabajo remoto más comunes son compartir contraseñas de forma insegura (vía chat o correo electrónico), endpoints sin parchear, MFA ausente y conectarse a Wi-Fi público sin VPN. El DBIR 2026 de Verizon identifica las vulnerabilidades de software como el principal vector de entrada de brechas con un 31%, mientras que el phishing y el robo de credenciales siguen siendo contribuyentes consistentes a los incidentes de trabajo remoto.

¿Cómo aseguro mi red doméstica para el trabajo remoto?

Cambie la contraseña de administrador predeterminada de su router por una credencial única de al menos 16 caracteres, desactive la gestión remota si no se usa y mantenga el firmware actualizado. Use cifrado WPA3 si su router lo soporta. Para roles de mayor riesgo, un router de viaje proporcionado por la empresa con una VPN preconfigurada elimina la carga de configuración del empleado por completo.

¿Qué es el shadow IT y por qué es un riesgo de seguridad para los equipos remotos?

El shadow IT se refiere a aplicaciones y servicios que los empleados usan para el trabajo sin aprobación de TI. Es un riesgo de seguridad porque los datos almacenados en herramientas no autorizadas existen fuera de las copias de seguridad corporativas, los controles de acceso y las pistas de auditoría. Si un empleado almacena credenciales de trabajo en un gestor de contraseñas personal o comparte archivos a través de un servicio de consumo, esos datos son invisibles para TI y no están protegidos por las políticas de seguridad corporativas.

¿MFA realmente previene brechas en entornos de trabajo remoto?

MFA bloquea la mayoría de los ataques basados en credenciales. La investigación de Microsoft sitúa la reducción del compromiso de cuentas en el 99,9% para cuentas con MFA habilitado. No previene los clics en phishing, pero elimina el resultado de robo de credenciales — una contraseña robada sin el segundo factor es inútil para acceder a la cuenta. Las llaves hardware FIDO2 proporcionan la protección más fuerte porque son resistentes al phishing por diseño.

¿Cómo deben los equipos remotos manejar el compartir contraseñas de forma segura?

Use un gestor de contraseñas con compartición mediada por bóveda. El destinatario obtiene acceso a la credencial a través de la bóveda sin ver la contraseña en texto plano. Cada evento de acceso queda registrado y vinculado a una identidad individual. Cuando el acceso necesita ser revocado — baja de contratista, cambio de rol, salida — es una sola acción en la bóveda, no una búsqueda manual en el historial de chat.

¿Cuál es el impacto financiero de una brecha de datos en el trabajo remoto?

El Cost of a Data Breach Report de IBM (2025) sitúa el coste medio global de una brecha en 4,44 millones de dólares, con las brechas en EE. UU. promediando 10,22 millones de dólares. El trabajo remoto como factor contribuyente aumenta aún más los costes de las brechas. Las brechas que involucran credenciales robadas o comprometidas tardan más en resolverse — un ciclo de vida promedio de 292 días según IBM — lo que aumenta directamente el coste total.

¿Qué significa «seguridad sin fricción» para los equipos remotos?

Seguridad sin fricción significa diseñar controles para que la opción segura sea la más fácil. Cuando un gestor de contraseñas es más rápido que Slack para compartir credenciales, los empleados usan el gestor de contraseñas. Cuando la VPN se conecta automáticamente en redes no confiables, los empleados no la evitan. La seguridad falla cuando requiere un esfuerzo deliberado. El objetivo es hacer que el comportamiento seguro sea el camino de menor resistencia.

Shadow IT vs Shadow AI: Por qué la IA es la mayor amenaza
Los empleados están usando herramientas de IA que usted no aprobó, en cuentas que no puede monitorear, con datos que no puede recuperar. Aquí está cómo es realmente el riesgo y qué debe abordar la gobernanza.
Passwork BlogAlex Muntyan
Ataques de fuerza bruta en 2026: Tipos, ejemplos y cómo prevenirlos
Clústeres de GPU, listas de palabras asistidas por IA, botnets de 2,8 millones de dispositivos. La fuerza bruta ha escalado. Esta guía cubre seis variantes de ataque, casos reales de 2025 y una estrategia de defensa en capas que su equipo puede implementar hoy.
Passwork BlogAlex Muntyan
Compartir contraseñas de forma insegura: Riesgos y soluciones seguras en 2026
Cada vez que una credencial se mueve a través de Slack o correo electrónico, pierde responsabilidad, pista de auditoría y postura de cumplimiento en un solo paso. Esta guía cubre los riesgos reales de compartir contraseñas de forma insegura en 2026, por qué los empleados lo hacen de todos modos y cómo migrar al acceso mediado por bóveda sin interrumpir a su equipo.
Passwork BlogAlex Muntyan