A las 7:56 a.m. de un martes cualquiera, Julián Ortega, coordinador de logística de una empresa distribuidora en Medellín, abrió su correo electrónico antes del primer café. Entre los mensajes, uno resaltaba: “Notificación urgente de seguridad: por favor actualice su contraseña para evitar el bloqueo de su cuenta”. Sin pensar dos veces, hizo clic.
Dos horas después, el área de sistemas reportó accesos no autorizados al servidor principal. Los datos de contacto de más de 12.000 clientes habían sido extraídos.
📍 ¿Qué pasó?
Julián, como muchos, fue víctima de un ataque de phishing. Sin saberlo, había ingresado sus credenciales en una página falsa idéntica a la de su proveedor tecnológico. La intrusión permitió a los atacantes acceder a su cuenta y, desde allí, pivotar hacia otros sistemas sensibles de la organización.
Ese día marcó un antes y un después.
🔒 ¿Cómo se protegió la empresa?
Tras el incidente, la gerente general, Verónica Salcedo, asumió el reto de blindar la empresa contra futuros ataques. Reunió a su equipo y diseñaron una estrategia integral:
🧠 1. Capacitación masiva con simulacros reales
Verónica aprobó un programa de concientización trimestral con simulaciones de phishing. Julián fue el primero en participar. En las sesiones, se analizaban casos reales, se enseñaba a detectar remitentes falsos y se creaban respuestas tipo ante intentos de engaño.
📥 2. Filtros inteligentes para correos sospechosos
El equipo de TI implementó filtros antiphishing en todos los correos. Esto bloqueó el 87% de los intentos maliciosos en los primeros tres meses, según su propio informe de seguridad.
📲 3. Autenticación multifactor (MFA) obligatoria
Todas las cuentas de acceso corporativo pasaron a requerir un segundo factor de autenticación: código enviado al celular o uso de aplicaciones como Google Authenticator.
🔍 4. Validación manual de solicitudes sensibles
Se prohibió responder correos con solicitudes urgentes de contraseñas, pagos o documentos sin validación directa con el área solicitante, usando canales internos verificados.
📈 5. Políticas de seguridad más estrictas
Se actualizaron las políticas internas para establecer reglas claras sobre el tratamiento de datos personales, la gestión de accesos y los pasos a seguir ante cualquier sospecha de intento de phishing.
💡 Lo que aprendieron
Julián, hoy uno de los líderes del Comité Interno de Protección de Datos, suele repetir: “No es falta de malicia, es exceso de confianza. Aprender a dudar fue lo que nos salvó.” La empresa, por su parte, integró su estrategia de seguridad con las exigencias de la Ley 1581 de 2012 y lineamientos técnicos del sector, como parte de su programa de cumplimiento.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
