Un autodiagnóstico de ciberseguridad no tiene que ser una auditoría compleja.
Para una PYME, el primer valor está en ordenar preguntas básicas: qué sistemas sostienen la operación, quién tiene acceso, qué está expuesto a internet, qué se puede recuperar si algo falla y quién responde cuando aparece una alerta.
El 15 de mayo de 2026, Nuevo León presentó la plataforma “Pymes Ciberseguras” como una herramienta de autodiagnóstico para mipymes. También en 2026, la Guardia Nacional impulsó la Campaña Nacional de Ciberseguridad “Internet Seguro Para Todas y Todos” con enfoque de prevención, buenas prácticas y reporte de incidentes.
La señal es clara: la ciberseguridad para empresas pequeñas y medianas necesita pasar de conciencia general a acciones concretas.
Qué debe responder un autodiagnóstico
Un buen autodiagnóstico no busca asustar ni llenar una hoja con términos técnicos. Busca responder:
- qué activos son críticos;
- qué cuentas tienen mayor impacto;
- qué datos sensibles se manejan;
- qué servicios están visibles desde internet;
- qué respaldos existen y cuándo se probaron;
- qué incidentes podrían detener operación;
- qué controles faltan para reducir riesgo inmediato.
La salida debe ser una lista corta de prioridades, no un reporte largo que nadie atiende.
1. Identidad y accesos
Empieza por las cuentas. Muchos incidentes no inician con una técnica sofisticada, sino con credenciales robadas, contraseñas reutilizadas, sesiones comprometidas o permisos que nunca se retiraron.
Revisa:
- cuentas administrativas;
- usuarios que ya no trabajan en la empresa;
- cuentas compartidas;
- sistemas sin MFA;
- permisos excesivos en correo, nube, servidores y aplicaciones;
- métodos de recuperación de cuenta;
- accesos de proveedores.
Si tu empresa usa Microsoft 365, Google Workspace, VPN, escritorio remoto, paneles cloud o sistemas financieros, MFA debe estar en los accesos críticos. Para entornos con mayor riesgo, conviene avanzar hacia MFA resistente al phishing en Microsoft 365.
2. Correo, dominios y phishing
El correo sigue siendo una ruta común para fraude, robo de credenciales y malware. Por eso el autodiagnóstico debe revisar controles técnicos y procesos humanos.
Preguntas útiles:
- ¿El dominio tiene SPF, DKIM y DMARC configurados?
- ¿Los usuarios saben reportar correos sospechosos?
- ¿Hay proceso para validar cambios de cuenta bancaria, pagos o proveedores?
- ¿Las cuentas críticas tienen MFA?
- ¿Se revisan reenvíos automáticos y reglas sospechosas de correo?
- ¿Hay filtros antispam ajustados y monitoreados?
La capacitación ayuda, pero no debe ser la única defensa. Combínala con controles de correo, autenticación fuerte y procesos claros para operaciones sensibles.
3. Respaldos y recuperación
Un respaldo no se evalúa por existir. Se evalúa por poder restaurarse.
Revisa:
- qué información es crítica;
- dónde están las copias;
- quién puede borrarlas;
- cuánto tiempo tardaría una restauración;
- cuándo fue la última prueba;
- si los respaldos están separados de las mismas credenciales del entorno productivo;
- qué sistemas no tienen política de respaldo.
Este punto es clave ante ransomware, errores humanos, fallas de hardware, borrado accidental o cambios mal ejecutados. Si nunca has probado una restauración, no sabes si tienes recuperación; solo sabes que tienes una copia.
4. Parches y sistemas expuestos
No todos los parches tienen la misma prioridad. Una laptop interna no pesa igual que una VPN, un firewall, un servidor web o un panel administrativo expuesto a internet.
Ordena por riesgo:
- Servicios expuestos a internet.
- Sistemas con datos sensibles.
- Herramientas de acceso remoto.
- Equipos de administración.
- Aplicaciones que conectan con clientes, proveedores o pagos.
Para vulnerabilidades conocidas, el Catálogo de Vulnerabilidades Explotadas de CISA puede servir como referencia. No reemplaza tu inventario, pero ayuda a distinguir fallas con evidencia de explotación activa.
5. Exposición digital
Antes de atacar, alguien puede mirar desde fuera: dominios, subdominios, IPs, puertos abiertos, tecnologías visibles, certificados, paneles administrativos, repositorios públicos o correos filtrados.
Revisa:
- dominios y subdominios activos;
- servicios publicados;
- puertos administrativos expuestos;
- certificados vencidos o con nombres internos;
- aplicaciones antiguas que siguen en línea;
- credenciales filtradas asociadas al dominio;
- repositorios con secretos;
- almacenamiento cloud público por error.
La pregunta práctica es: ¿qué puede ver una persona externa sin pedir permiso?
Este punto se conecta directamente con monitoreo de exposición digital para empresas.
6. Respuesta a incidentes
El autodiagnóstico también debe revisar qué pasaría si algo ya ocurrió.
Preguntas básicas:
- ¿Quién decide si se aísla un equipo?
- ¿Quién puede cambiar contraseñas críticas?
- ¿Dónde están los contactos de proveedores?
- ¿Dónde se revisan logs?
- ¿Cómo se conserva evidencia?
- ¿Cómo se comunica una interrupción interna?
- ¿Qué datos deben protegerse primero?
Un plan simple de respuesta vale más que un documento extenso que nadie usa. Empieza con responsables, teléfonos, sistemas críticos, pasos de contención y criterios para escalar.
Matriz rápida de prioridad
Usa esta tabla para convertir hallazgos en acciones:
| Hallazgo | Prioridad sugerida | Acción inicial |
|---|---|---|
| Cuenta administrativa sin MFA | Alta | Activar MFA y revisar sesiones |
| VPN o firewall sin parches | Alta | Validar versión, aplicar parche o mitigar |
| Respaldos sin prueba de restauración | Alta | Probar restore de datos críticos |
| Dominio sin DMARC | Media | Configurar política gradual y revisar reportes |
| Subdominio viejo publicado | Media | Identificar dueño, cerrar o documentar |
| Usuarios antiguos activos | Alta | Deshabilitar, revisar accesos y evidencias |
| Reglas sospechosas de correo | Alta | Eliminar regla, revisar sesiones y cambiar credenciales |
| Inventario incompleto | Media | Levantar activos críticos primero |
La prioridad real depende del impacto. Si el hallazgo toca correo, administración, datos sensibles, dinero o acceso remoto, debe subir en la lista.
Plan de 30 días
Semana 1: lista dominios, sistemas críticos, usuarios privilegiados, proveedores y respaldos.
Semana 2: activa MFA en cuentas críticas, revisa usuarios antiguos y valida reglas de correo.
Semana 3: revisa exposición externa, parches prioritarios y servicios administrativos publicados.
Semana 4: prueba restauración, documenta respuesta inicial y convierte hallazgos en tickets con responsable.
El objetivo no es arreglar todo en un mes. El objetivo es dejar de depender de memoria informal.
Cómo puede apoyar Syscore
Syscore puede ayudarte a convertir un autodiagnóstico en acciones concretas: inventario, priorización de riesgos, revisión de accesos, hardening, respaldos, monitoreo, servicios de TI y ciberseguridad en Ciudad Juárez.
También podemos conectar esta revisión con monitoreo y análisis de seguridad, gestión de incidentes o un pentest cuando el alcance lo justifique.
Preguntas frecuentes
¿Un autodiagnóstico reemplaza una auditoría?
No. Sirve para ubicar prioridades y preparar decisiones. Una auditoría formal o una prueba técnica tienen otro alcance, más evidencia y criterios específicos.
¿Cada cuánto debe repetirse?
Para muchas PYMEs, una revisión trimestral es un inicio razonable. Si hay cambios frecuentes en nube, usuarios, proveedores o aplicaciones, conviene revisar cada mes los puntos más críticos.
¿Qué se debe corregir primero?
Primero corrige lo que combine alto impacto y alta exposición: cuentas privilegiadas sin MFA, servicios remotos visibles, respaldos sin prueba, credenciales filtradas y sistemas críticos sin parches.
¿Necesito una herramienta para empezar?
No necesariamente. Puedes iniciar con inventario, entrevistas, revisión de configuración y una tabla de hallazgos. La herramienta ayuda cuando ya hay responsables, proceso y cadencia.
Si el autodiagnóstico ya muestra brechas relevantes, el siguiente paso puede ser preparar una auditoría de ciberseguridad en México con alcance, evidencia y responsables de remediación.
Referencias útiles
- Nuevo León: Pymes Ciberseguras
- Guardia Nacional: Campaña Nacional de Ciberseguridad 2026
- Microsoft Digital Defense Report 2025
- CISA: Known Exploited Vulnerabilities Catalog
Enlaces internos útiles
- Guía de ciberseguridad para PYMEs en México
- Monitoreo de exposición digital para empresas
- Cómo endurecer Microsoft 365 para empresas
- Cómo proteger firewalls, VPNs y routers expuestos
- Auditoría de ciberseguridad en México
La ciberseguridad mejora cuando se vuelve rutina. Un autodiagnóstico bien hecho no resuelve todo, pero sí cambia la conversación: de “sabemos que deberíamos revisar seguridad” a “estas son las tres cosas que vamos a corregir primero”.