Todo lo que tu equipo debe saber sobre Ciberseguridad y no te han contado.
Durante años, muchas empresas de formación han entendido la seguridad informática como un asunto técnico, reservado al informático, al proveedor del campus virtual o a la empresa que mantiene los ordenadores. Sin embargo, esa visión ha quedado completamente superada. Hoy, la ciberseguridad no es solo una cuestión tecnológica: es una cuestión de gestión, de responsabilidad corporativa, de cumplimiento normativo y de continuidad del negocio.
Un centro de formación no custodia únicamente temarios, diplomas o listados de alumnos. Gestiona datos personales, documentación laboral, accesos a plataformas, informes de seguimiento, contratos, facturas, cuentas bancarias, comunicaciones con empresas, evidencias formativas, grabaciones de aula virtual, certificados, expedientes, documentación de formación bonificada y, en muchos casos, información especialmente sensible para sus clientes. Por tanto, no estamos ante un riesgo menor.
La pregunta ya no es si una empresa de formación puede sufrir un incidente de seguridad. La pregunta correcta es si está preparada para detectarlo, contenerlo, documentarlo y seguir funcionando. Toda política seria de ciberseguridad debe comenzar con una pregunta sencilla: ¿qué información tenemos y qué pasaría si se perdiera, se filtrara o se manipulara?
En una empresa de formación, el mapa de riesgos debe identificar, al menos, los datos de alumnos, empresas clientes, docentes, tutores, proveedores, personal interno, documentación económica, documentación laboral, registros de asistencia, evaluaciones, diplomas, informes de trazabilidad, contratos de encomienda, comunicaciones con FUNDAE, documentación de costes y evidencias de impartición.
El error habitual es pensar que “no tenemos nada importante”. Sí lo tenemos. Para un ciberdelincuente, una base de datos de alumnos, una cuenta de correo corporativo, un acceso a Moodle o una factura con datos bancarios son activos aprovechables.
Doble factor de autenticación en accesos críticos. Contraseñas.
La contraseña ya no puede ser la única barrera de entrada. El doble factor de autenticación debe activarse en todos los accesos críticos: correo electrónico, herramientas de gestión, campus online, cuentas bancarias, redes sociales, CRM, ERP, almacenamiento en la nube y cuentas de administrador.
El doble factor no elimina todos los riesgos, pero dificulta enormemente que una contraseña robada se convierta en una intrusión real. En el sector de la formación, debe implantarse especialmente en los perfiles con mayor capacidad de daño: administración, dirección, tutores con acceso a expedientes, responsables de bonificación, personal de soporte técnico y usuarios administradores de plataformas. Además, la empresa debe establecer medios adecuados para el personal, evitando soluciones improvisadas que dependan exclusivamente del teléfono personal del trabajador sin alternativa corporativa.
Todavía hay empresas que guardan contraseñas en documentos de Word, hojas Excel, libretas, correos reenviados o mensajes de WhatsApp. Esta práctica debe desaparecer. La gestión profesional de contraseñas exige tres medidas básicas: contraseñas robustas, contraseñas únicas para cada servicio y uso de gestores de contraseñas. No sirve utilizar la misma clave para el correo, Moodle, Canva, redes sociales y banca online. Cuando una contraseña se filtra en un servicio, puede abrir la puerta al resto.
En una empresa de formación, donde trabajan docentes externos, tutores, administrativos, comerciales y personal de soporte, la gestión de credenciales debe estar ordenada. Cada persona debe tener su propio usuario. Las cuentas compartidas deben evitarse o restringirse al máximo. Y cuando alguien deja de colaborar, sus accesos deben retirarse de forma inmediata.
Seguridad del correo electrónico corporativo. Detección de phishing, vishing y smishing.
El correo electrónico sigue siendo la principal puerta de entrada de muchos incidentes. En formación, el correo se utiliza para enviar documentación, resolver dudas, recibir facturas, intercambiar datos de alumnos, enviar enlaces de aula virtual, comunicar altas y bajas, compartir documentación de empresas y gestionar bonificaciones.
Por eso, el correo corporativo debe protegerse con doble factor, filtros antispam, antivirus, políticas de suplantación, revisión de reglas de reenvío automático y formación del personal. Una cuenta de correo comprometida puede permitir al atacante leer conversaciones, interceptar facturas, modificar cuentas bancarias, enviar mensajes fraudulentos a clientes o acceder a otros servicios mediante recuperación de contraseña. El correo no es un simple buzón: es una llave maestra.
El phishing ya no se presenta únicamente como un correo mal escrito. Actualmente puede imitar con gran precisión a bancos, organismos públicos, plataformas de formación, proveedores tecnológicos, empresas de mensajería o clientes habituales.
En el sector formativo hay que prestar atención a tres modalidades. El phishing llega por correo electrónico. El vishing utiliza llamadas telefónicas para manipular a la víctima. El smishing usa SMS o mensajería móvil. En los tres casos, el objetivo suele ser el mismo: conseguir credenciales, pagos, datos bancarios o ejecución de una acción urgente.
La defensa más eficaz no es solo técnica. Es cultural. El personal debe acostumbrarse a desconfiar de la urgencia, verificar enlaces, revisar remitentes, no descargar adjuntos dudosos y confirmar por un segundo canal cualquier cambio de cuenta bancaria o solicitud económica inesperada.
Seguridad en Moodle, LMS y campus online. Protección de aulas virtuales y videoconferencias.
Moodle, los LMS y los campus online son el corazón digital de muchas entidades de formación. En ellos se concentran alumnos, docentes, contenidos, calificaciones, foros, tareas, mensajes, informes de conexión, cuestionarios, certificados y evidencias de aprendizaje.
Por eso, el campus debe protegerse con especial cuidado. Es imprescindible mantenerlo actualizado, revisar plugins, limitar permisos, activar políticas de contraseñas, controlar roles, evitar administradores innecesarios, revisar copias de seguridad, proteger el acceso al servidor y comprobar periódicamente los registros de actividad.
Un campus online mal configurado puede provocar accesos indebidos, pérdida de información, manipulación de registros, exposición de datos o interrupción completa del servicio formativo. La seguridad del LMS no debe revisarse solo cuando ocurre un problema. Debe formar parte del mantenimiento ordinario.
Las aulas virtuales han normalizado la formación síncrona mediante Zoom, Teams, Meet, Webex u otras plataformas. Pero una videoconferencia también requiere normas de seguridad.
Debe controlarse quién accede, cómo se envía el enlace, si se utiliza sala de espera, si se permite grabar, quién puede compartir pantalla, cómo se identifica a los participantes y dónde se almacenan las grabaciones. En formación bonificada, además, las sesiones pueden constituir evidencias de impartición y asistencia, por lo que deben conservarse con orden, integridad y confidencialidad. El enlace de una clase no debe circular sin control. Una mala gestión puede provocar accesos no autorizados, interrupciones, exposición de alumnos o difusión indebida de contenidos.
Control de accesos internos y externos. Prevención y respuesta ante ransomware.
Una empresa de formación suele trabajar con personal interno, docentes externos, tutores, comerciales, asesores laborales, clientes, proveedores tecnológicos y entidades colaboradoras. Cada perfil necesita un nivel de acceso distinto.
El principio debe ser sencillo: cada persona debe acceder solo a lo que necesita para realizar su trabajo. No todo el mundo debe ver todos los cursos, todos los alumnos, todas las facturas o todos los expedientes.
También es necesario revisar periódicamente los accesos. Un docente que terminó su colaboración hace meses no debería seguir entrando al campus. Un trabajador que cambia de departamento no debería conservar permisos antiguos. Un proveedor externo no debe mantener accesos indefinidos. La seguridad no depende solo de cerrar puertas. Depende de saber quién tiene llaves.
El ransomware es uno de los riesgos más graves para cualquier empresa de formación. Puede cifrar ordenadores, servidores, campus online, unidades compartidas y documentación crítica. El daño no es solo económico: puede paralizar cursos, impedir justificar acciones formativas, bloquear comunicaciones con alumnos y afectar a la reputación de la entidad.
La prevención exige copias de seguridad, actualizaciones, formación del personal, control de accesos, antivirus, segmentación de permisos y prudencia con adjuntos y enlaces. Pero también es necesario un plan de respuesta. Cuando aparece un mensaje de rescate, no es momento de improvisar. Debe saberse a quién avisar, qué equipos desconectar, cómo preservar evidencias, cómo contactar con soporte técnico, cómo valorar si hay datos personales afectados y cómo comunicar internamente el incidente.
Prevención del fraude en pagos, facturas y cuentas bancarias. Actualizaciones.
Uno de los fraudes más peligrosos es el cambio fraudulento de cuenta bancaria. El atacante intercepta comunicaciones, suplanta a un proveedor o cliente y solicita que la próxima factura se pague en una cuenta distinta. En formación, donde se gestionan pagos de cursos, facturas de docentes, proveedores tecnológicos, alquiler de aulas, servicios de marketing, plataformas y consultoría, este riesgo es muy real.
La regla debe ser estricta: cualquier cambio de cuenta bancaria debe verificarse por un canal alternativo y fiable. No basta con responder al mismo correo. Debe llamarse a un contacto conocido, revisar la documentación y dejar constancia interna. La prevención del fraude financiero no es desconfianza. Es profesionalidad.
Los sistemas desactualizados son una invitación al incidente. Ordenadores, servidores, plugins, navegadores, antivirus, Moodle, temas, extensiones, sistemas operativos, aplicaciones de videoconferencia y herramientas de gestión deben mantenerse al día.
La actualización no debe verse como una molestia técnica. Es una medida básica de seguridad. Muchas intrusiones aprovechan vulnerabilidades conocidas para las que ya existía solución, pero que la organización no había aplicado. En empresas de formación pequeñas y medianas, conviene establecer un calendario de mantenimiento y asignar responsabilidades claras. Lo que no tiene responsable acaba sin hacerse.
El móvil se ha convertido en una herramienta de trabajo. Desde él se responde al correo, se accede a documentos, se gestionan redes sociales, se entra en plataformas, se reciben códigos de verificación y se atienden mensajes de clientes y alumnos. Por tanto, el móvil también debe protegerse. Bloqueo seguro, actualizaciones, cifrado, copia de seguridad, separación entre uso personal y profesional, prudencia con redes WiFi públicas y capacidad de borrado remoto son medidas esenciales.
El riesgo aumenta cuando se utilizan dispositivos personales para tareas corporativas sin una política clara. La empresa debe definir qué se permite, qué no se permite y qué medidas mínimas deben cumplirse.
Por lo tanto, la ciberseguridad no es un lujo para grandes empresas. Es una obligación práctica para cualquier organización que gestione alumnos, empresas, expedientes, plataformas y documentación sensible.
