La adopción masiva del teletrabajo transformó la superficie de ataque de las empresas de la noche a la mañana. De un día para otro, miles de empleados pasaron de redes corporativas controladas a oficinas caseras con Wi‑Fi doméstico, dispositivos personales y accesos remotos improvisados. Los ciberdelincuentes no tardaron en aprovechar esta nueva realidad: durante 2020 se dispararon los intentos de intrusión a servicios expuestos. Un ejemplo claro fueron los ataques de fuerza bruta al protocolo de escritorio remoto (RDP) de Microsoft, que aumentaron en torno a un 242% a nivel mundial en 2020, pasando de unos 969 millones de intentos en 2019 a más de 3.300 millones tras la llegada del trabajo en casa. Solo en España, ese mismo año se registraron 178 millones de ataques RDP, cuando el año previo rondaban los 50 millones. Esta explosión de actividad maliciosa evidenció que extender la empresa hasta el hogar de cada empleado traía consigo nuevos vectores de ataque y vulnerabilidades imprevistas.

A día de hoy, con el trabajo híbrido ya normalizado, las amenazas digitales ligadas al teletrabajo siguen muy presentes. Diversos informes señalan que la mayoría de brechas de seguridad recientes tuvieron origen en activos vinculados al trabajo remoto. En España, un estudio reveló que el 69% de las organizaciones sufrió al menos una filtración de datos en 2022, y en la mayoría de los casos el incidente se inició en equipos remotos de empleados, en ataques a aplicaciones/infraestructura expuesta o en servicios en la nube. Más de un tercio de las brechas estuvieron relacionadas con dispositivos BYOD (equipos personales conectados a la red corporativa) y un 29% involucraron puntos de acceso Wi‑Fi inseguros, mientras que cerca de otro 30% fueron causadas por uso inadecuado de aplicaciones corporativas. En paralelo, los ataques mediante phishing (suplantación de identidad por correo electrónico) se han consolidado como la vía de entrada más frecuente para los atacantes, aprovechando la menor protección física y psicológica del empleado aislado en su hogar. No es casualidad que los responsables de seguridad citen los accesos de trabajadores en remoto como una de sus mayores preocupaciones actuales – un 33% los señala como vector crítico – solo por detrás de los ataques a servicios en la nube o el ransomware, que también se han visto potenciados en estos años. La realidad es que con una plantilla descentralizada, la tradicional “periferia” de la red corporativa se ha difuminado, multiplicando las puertas de entrada potenciales.

Las consecuencias económicas de estos incidentes se han vuelto difíciles de ignorar. Según estimaciones de IBM, el coste medio global de una brecha de datos alcanzó un máximo histórico de 4,45 millones de dólares en 2023. Parte de este incremento se vincula precisamente al trabajo remoto: cuando un incidente involucra recursos en teletrabajo, su coste promedio puede ser casi 1 millón de dólares superior al de una brecha tradicional. España no es ajena al problema: se calcula que en nuestro país una brecha de seguridad supone de media 1,3 millones de euros en pérdidas para la empresa afectada, considerando tanto el impacto financiero directo como la interrupción de negocio, la pérdida de reputación y los costes de remediación. Los ataques durante la pandemia sacaron a la luz cómo un simple acceso VPN comprometido o un portátil corporativo perdido pueden desencadenar incidentes muy costosos. De hecho, se estima que la principal causa de pérdidas inmediatas en las brechas recientes han sido las caídas de sistemas y tiempos de inactividad (afectando a la continuidad del negocio), seguido por la manipulación o robo de datos y los bloqueos de sistemas por ransomware. Todo ello confirma que un incidente de ciberseguridad en la era del trabajo en remoto puede paralizar operaciones y suponer cifras de daño millonario para las empresas.

Frente a esta situación, las compañías han tenido que reaccionar reforzando sus políticas de seguridad y capacidades defensivas. Un factor crítico es el humano: con empleados trabajando fuera del entorno controlado de la oficina, la concienciación se vuelve vital. Muchas organizaciones en España reconocen que el error humano está detrás de buena parte de los incidentes – se estima que aproximadamente 6 de cada 10 ataques aprovecharon despistes o fallos humanos en 2024 – por lo que han intensificado la formación y las campañas de sensibilización. De hecho, un 66% de empresas españolas afirma haber invertido en capacitación adicional en ciberseguridad para sus empleados remotos recientemente. La idea es convertir al trabajador en el primer escudo de defensa en lugar del eslabón más débil: desde entrenamientos para identificar correos de phishing, hasta simulacros periódicos de ataques, pasando por protocolos claros sobre el manejo de información sensible fuera de la oficina. La cultura de seguridad corporativa se está adaptando para que la protección viaje con el empleado, esté donde esté.

Por supuesto, la tecnología juega un papel igual de protagonista en la respuesta. Una de las tendencias más fuertes ha sido la adopción del modelo Zero Trust (confianza cero). Ante la disolución del perímetro clásico y empleados conectándose desde cualquier lugar y dispositivo, Zero Trust propone “nunca confiar, verificar siempre”. En la práctica, esto significa que cada intento de acceso a los sistemas corporativos se valida como si viniera de una red insegura, exigiendo autenticación robusta (multi-factor, certificados, etc.) y evaluando la postura de seguridad del dispositivo antes de otorgar permisos. Además, se aplica el principio de mínimos privilegios, de forma que cada usuario remoto solo accede a los recursos imprescindibles para su rol. Muchas empresas, tanto en España como globalmente, están migrando hacia este enfoque; no en vano, se calcula que para 2024 alrededor del 40% de las organizaciones habrán trazado estrategias para implantar arquitecturas SASE (Secure Access Service Edge) basadas en Zero Trust. Soluciones SASE integran redes definidas por software con servicios de seguridad en la nube, proporcionando acceso seguro de alta performance sin depender de los antiguos backhauls de VPN. Con SASE, la conexión del teletrabajador pasa por nodos de seguridad distribuidos que inspeccionan el tráfico, aplican políticas corporativas y filtran amenazas en tiempo real, esté el usuario en la oficina, en casa o en movilidad. El resultado es una experiencia más fluida y a la vez más controlada, reduciendo la exposición a malware, filtraciones de datos y otros riesgos al trabajar en entornos cloud y remotos.

Otra capa fundamental en la estrategia tecnológica es la protección de los terminales que salen fuera del paraguas corporativo. Aquí destacan las herramientas EDR (Endpoint Detection and Response) modernas, que reemplazan al simple antivirus tradicional para dotar de inteligencia a cada portátil y dispositivo móvil de la empresa. Los EDR monitorizan continuamente el comportamiento del sistema, detectando indicadores de ataque o anomalías, y permiten responder de forma automatizada o remota ante cualquier incidente (aislando un equipo comprometido, por ejemplo). Así, si un empleado sufre un ataque mientras trabaja en casa, el equipo de seguridad puede enterarse al instante y contener la amenaza antes de que se propague por la red. Junto con soluciones de gestión unificada de dispositivos (MDM/EMM), cifrado de datos y acceso condicionado, las empresas están creando una especie de “burbuja” de seguridad alrededor de cada empleado remoto. Incluso pequeñas y medianas organizaciones en España han adoptado paquetes de seguridad integrales que incluyen anti-malware de nueva generación, detección en tiempo real de amenazas y gestión centralizada de parches para evitar que un portátil desactualizado sea la puerta de entrada de un ataque. Esta profesionalización de la seguridad endpoint se ha vuelto imprescindible para cumplir no solo con los standards de la industria, sino también con nuevas exigencias regulatorias.

En efecto, la normativa se está poniendo al día con esta realidad híbrida. Un hito reciente en Europa es la entrada en vigor de la directiva NIS2 (Network and Information Systems Directive) en octubre de 2024, que obliga a las empresas de numerosos sectores a reforzar sus prácticas de ciberseguridad. NIS2 amplía el alcance de la regulación original de 2016 para cubrir más industrias (transporte, energía, finanzas, proveedores digitales, etc.) e impone requisitos más estrictos en gestión del riesgo, medidas de protección y reporte de incidentes. Por ejemplo, las organizaciones deben realizar evaluaciones periódicas de vulnerabilidades críticas, implementar controles de seguridad “por diseño” en sus sistemas e incluso asegurarse de que su cadena de suministro digital cumple ciertos mínimos de seguridad. En caso de incumplimiento, las sanciones pueden ser cuantiosas – similares a las multas del RGPD en cuanto a magnitud – además del daño reputacional que conlleva ser visto como un actor negligente en seguridad. En España, esto ha motivado a muchas empresas a acelerar planes de mejora: desde desplegar soluciones avanzadas de monitorización y respuesta, hasta contratar personal especializado y servicios de ciberinteligencia. La directiva NIS2, junto con estándares internacionales y marcos como ISO 27001 o el Esquema Nacional de Seguridad, está empujando a que incluso la alta dirección empresarial se involucre más en la resiliencia cibernética en esta era de trabajo distribuido.

En última instancia, el impacto del teletrabajo en la ciberseguridad empresarial ha sido un catalizador tanto de riesgos como de avances. Por un lado, ha quedado demostrado que ampliar las fronteras de la oficina eleva el nivel de exposición: se multiplican las amenazas de phishing, aumenta la superficie para el ransomware y crece la complejidad de proteger datos dispersos. Por otro lado, esta misma situación ha impulsado una evolución acelerada en las defensas corporativas. Las empresas españolas, en línea con sus homólogas globales, han adoptado en pocos años tecnologías y políticas que quizá habrían tardado una década en asimilar de no haber mediado la pandemia. Modelos Zero Trust, plataformas en la nube más seguras, autenticación multifactor obligatoria, segmentación de redes, análisis de comportamiento mediante IA… son ahora parte del vocabulario cotidiano de los departamentos de TI. Existe una mayor conciencia ejecutiva sobre el riesgo digital, y se invierte más en prevención, seguros cibernéticos y planes de respuesta ante incidentes. Aunque la sensación general entre algunos directivos es que el pico de riesgo ya pasó – solo un 34% de las empresas españolas considera hoy “muy alto” su nivel de exposición, un porcentaje que de hecho ha ido descendiendo desde 2022 – los expertos advierten contra la complacencia. Los adversarios siguen afinando sus tácticas y aprovechando cualquier resquicio, sea técnico o humano, especialmente en entornos de trabajo flexibles. El desafío, por tanto, es permanente: conjugar la productividad y comodidad del teletrabajo con una seguridad robusta que proteja a la organización. Tras estos primeros años de experimento forzado, las empresas encaran el futuro inmediato aplicando las lecciones aprendidas: mantener vigilancia constante, fomentar una cultura de seguridad en cada empleado y apostar por arquitecturas tecnológicas resilientes. Solo así podrán seguir cosechando los beneficios de un mundo laboral más distribuido, minimizando los riesgos en un panorama de ciberamenazas en continua evolución.

- José R. Estrella (CTO - Ciberseguridad Beryon)