La mayoría de ataques a pymes no vienen de hackers con sudadera: vienen de bots que barren internet buscando cosas mal configuradas. Un formulario sin protección, un WordPress desactualizado, una contraseña reciclada. La solución rara vez es comprar un producto caro — es hacer bien diez cosas básicas.
La primera: HTTPS en todo el sitio, sin excepciones, con certificado auto-renovado. Parece obvio en 2026 pero todavía nos encontramos webs que caducan y dejan el candado roto durante semanas.
La segunda: backups automáticos diarios, fuera del servidor de producción, con retención de al menos 30 días. Si un día amanece todo cifrado por ransomware, esto es lo que separa un mal viernes de una catástrofe.
La tercera: contraseñas fuertes y únicas, con gestor (1Password, Bitwarden) y 2FA en todo lo crítico. El correo corporativo, el panel de administración, el registrador del dominio. Si te roban el registrador del dominio, te robaron el negocio.
La cuarta: actualizaciones al día. CMS, plugins, librerías, servidor. El 90% de los incidentes que vemos en auditorías vienen de software sin parchear. Programa una ventana mensual y cúmplela.
La quinta: protección anti-spam y anti-bot en formularios. Un honeypot sencillo y rate-limiting evita el 95% del ruido automatizado sin molestar a los usuarios reales con captchas invasivos.
La sexta a la décima las resumimos: registro de accesos al panel, monitorización de uptime, política de retención de datos personales alineada con RGPD, plan de respuesta básico escrito (quién avisa a quién si pasa algo) y una auditoría externa al menos una vez al año. Ninguna es cara. Todas son críticas.
En Codiaj estas diez cosas no son un extra: son parte de cualquier proyecto que entregamos. Porque no te estamos vendiendo una web: te estamos entregando parte de tu infraestructura de negocio.
