Índice de temas
Privacidad de datos en el entorno laboral
La privacidad de los datos en el entorno laboral ya no puede entenderse como un trámite de cumplimiento. Es una pieza clave de protección para las personas y para el negocio, porque afecta a la confianza interna, a la reputación y al riesgo operativo. Y en esa ecuación los empleados ocupan el centro, pues son quienes generan, comparten y gestionan la mayor parte de la información que sostiene la actividad diaria, lo que también los convierte en el objetivo más frecuente de las campañas de ingeniería social.
Cuando hablamos de datos de empleados no nos referimos solo a un nombre, un correo o un identificador. En una organización circulan nóminas, información de salud, evaluaciones de desempeño, verificaciones de antecedentes, registros de dispositivos y, en ocasiones, comunicaciones personales que acaban pasando por canales corporativos. Un uso negligente o una protección insuficiente puede provocar consecuencias legales y financieras, pero también un impacto menos visible e igual de dañino: la pérdida de confianza. Si el equipo percibe que la empresa trata esos datos con criterio, es más probable que use herramientas aprobadas, que reconozca errores, que informe de incidencias a tiempo y que colabore en una investigación. Si esa confianza se debilita, aparecen atajos y fórmulas de shadow IT, como cuentas personales o aplicaciones no autorizadas, además de la reticencia a avisar cuando algo no encaja.
En los últimos años, los atacantes han ganado capacidad para suplantar identidades con un nivel de realismo difícil de distinguir a simple vista
CARLOS CASTRO, WATCHGUARD
La nueva realidad: ciberamenazas impulsadas por IA
Ese contexto explica por qué la privacidad y la cultura de informar son más importantes que nunca. Los empleados se han convertido en la primera línea de defensa frente a una ingeniería social que hoy se apoya en la IA. En los últimos años, los atacantes han ganado capacidad para suplantar identidades con un nivel de realismo difícil de distinguir a simple vista. Deepfakes, clonación de voz y phishing automatizado permiten imitar a directivos, responsables financieros, compañeros o partners de confianza. En algunos casos, basta un fragmento de audio o un vídeo público para fabricar una falsificación verosímil. El resultado es que el sentido común y las formaciones obsoletas se quedan cortos frente a ataques cada vez más pulidos, personalizados y oportunistas.
Las organizaciones pequeñas y medianas suelen estar especialmente expuestas. Muchas no cuentan con equipos de seguridad dedicados ni con procesos formales para verificar solicitudes fuera de lo habitual. Ese vacío es aprovechado por campañas que combinan urgencia, presión psicológica y un relato creíble para empujar a un empleado a realizar una transferencia, compartir credenciales o entregar información sensible.
Un ejemplo muy difundido es el de la firma de ingeniería Arup, donde un empleado fue engañado durante una videollamada con deepfakes y realizó transferencias por unos 25 millones de dólares, creyendo que la solicitud era legítima.
Otro vector especialmente dañino es el Business Email Compromise (BEC), basado en correos falsificados o cuentas comprometidas para manipular flujos de trabajo cotidianos y desviar pagos. Su peligrosidad está en que no necesita malware, sino que funciona con confianza, tiempos y persuasión. No es extraño que autoridades como FBI alerten de su impacto económico, porque estos fraudes suelen ser difíciles de detectar hasta que el dinero ya ha cambiado de manos.
Un caso real es el del gigante químico Orion, que perdió 60 millones de dólares a mediados de 2025 por un fraude de suplantación de un proveedor en el que los atacantes citaron cláusulas exactas del contrato y alegaron plazos de producción urgentes. No hizo falta malware, solo ingeniería social de primer nivel. La lección es clara: hoy basta una conversación bien construida para atravesar controles si la organización no tiene hábitos de verificación y barreras técnicas consistentes.
Qué pueden hacer los empleados para proteger los datos del trabajo
La respuesta empieza por reforzar comportamientos sencillos que reducen riesgos de forma significativa, tales como:
- Detenerse un momento cuando una solicitud llega con prisa, secretismo o se sale del patrón normal, sobre todo si implica dinero, credenciales o datos sensibles
- Verificar siempre por un canal alternativo cuando el riesgo es alto; por ejemplo, devolviendo una llamada a un número conocido, confirmando por una vía corporativa distinta o elevando la solicitud al responsable correspondiente
- No compartir nunca contraseñas ni códigos de autenticación y no aprobar solicitudes de MFA que no se hayan iniciado
- Usar herramientas corporativas aprobadas para almacenar y compartir archivos, evitando cuentas personales que complican el control y la trazabilidad
- Informar cuanto antes de correos, mensajes o llamadas sospechosas. Para que esto funcione, la organización debe garantizar una cultura sólida de privacidad donde se facilite el reporte y se respalde a los empleados cuando algo sale mal.
Medidas clave que deberían implementar las organizaciones
Sin embargo, confiar solo en el usuario es insuficiente. Proteger datos en el trabajo exige límites claros y salvaguardas prácticas. Una medida básica es recopilar solo la información necesaria y conservarla el tiempo imprescindible, explicando con transparencia qué se recoge, por qué y durante cuánto tiempo. El control de accesos es igual de crítico, así como aplicar el principio de mínimo privilegio y el acceso basado en roles, que reduce el impacto de un error humano o una cuenta comprometida. Para evitar que los permisos crezcan sin control, conviene revisarlos de forma periódica.
La protección técnica debe cubrir tanto el almacenamiento como el tránsito de datos, con cifrado y métodos seguros estandarizados para compartir información. A eso se añade la monitorización de actividad inusual, como descargas masivas, exportaciones de grandes volúmenes o accesos desde ubicaciones inesperadas. La autenticación robusta es otra capa imprescindible, especialmente en sistemas críticos y cuentas con privilegios, sin olvidar nunca que la autenticación multifactor (MFA) debe ser un requisito, no una recomendación, y que las cuentas administrativas requieren controles adicionales.
La formación debe adaptarse al contexto actual de la IA. Ya no es suficiente con advertir que no se accedan a enlaces sospechosos; es necesario que la capacitación incluya ejemplos concretos de amenazas modernas como deepfakes, imitaciones de voz y campañas de phishing sofisticadas. Además, es fundamental entrenar al personal para que reconozca señales psicológicas como la prisa, el secretismo o la presión de superiores. Para maximizar su eficacia, la formación debe incorporar recordatorios frecuentes y ejercicios prácticos que consoliden los hábitos de verificación. Si la formación no se parece a las amenazas reales, el aprendizaje no se traslada al día a día.
Salvaguardas técnicas frente a ataques impulsados por IA
Además de la formación, los controles técnicos pueden reducir el impacto de la ingeniería social y proteger tanto a los empleados como a los datos del negocio.
Junto a lo anterior, es importante reforzar el correo y la identidad como áreas de máxima prioridad. Medidas como implementar sistemas antisuplantación, autenticar dominios mediante los protocolos de autenticación de correos DMARC, SPF y DKIM, y utilizar herramientas que identifiquen comportamientos anómalos, son clave para limitar las oportunidades de los ciberdelincuentes. Paralelamente, la gestión de identidades y accesos debe ser consistente, con cuentas únicas, MFA y controles estrictos en administradores. Para evitar la salida de información sensible, las soluciones de prevención de fuga de datos pueden bloquear transferencias sospechosas por correo, nube o mensajería. Y, como red de seguridad, el registro, la monitorización y las alertas permiten identificar comportamientos anómalos y actuar antes de que el daño sea irreversible.
La privacidad de los datos, una responsabilidad de todos
La privacidad de los datos no es un proyecto puntual ni una lista de verificación exclusiva de TI: es un compromiso continuo. Empieza con que la dirección reconozca los riesgos reales, desde estafas sofisticadas impulsadas por IA hasta vulnerabilidades de proveedores que pasan desapercibidas, y se extiende a la creación de un entorno en el que cada empleado se sienta capacitado para actuar como la primera línea de defensa de la organización.
Cuando la privacidad se integra en la forma de trabajar del equipo, todos salen ganando: las personas están más protegidas, el negocio es más resiliente y la confianza se convierte en la base.
