Seguridad para pymes que no tienen nada: monta tu sistema desde cero

Seguridad informática para pymes desde cero - Keliam Net Sentinel

Hagamos un test rápido. ¿Qué hay entre Internet y los datos de tu empresa? Si la respuesta es «el router que me puso la operadora», este artículo es para ti — y conviene que lo leas hoy y no el día que toque lamentarlo. Porque esa respuesta, que es la de la inmensa mayoría de pymes, despachos y autónomos de este país, significa en la práctica que tu empresa no tiene seguridad de red: tiene suerte. Y la suerte, estadísticamente, se acaba — casi siempre en el peor momento y con la peor factura: datos cifrados, clientes afectados, días parados.

La parte buena: montar una seguridad de red seria para una pyme ya no exige presupuestos enterprise ni un departamento de IT. En este artículo te contamos el sistema completo que montamos desde Keliam para empresas que parten de cero — qué piezas lo componen, cómo queda la red y por qué funciona — sin cifras infladas ni tecnicismos innecesarios. Es la visión de conjunto de nuestra serie de seguridad low-cost para pymes; el detalle técnico del firewall lo tienes en el primer capítulo.

1. «Tengo el router de la operadora» = estos 4 agujeros

Lo vimos a fondo en el capítulo anterior, así que aquí va la versión ejecutiva. Una red que solo tiene el equipo de la operadora arrastra, sí o sí:

  • Red plana: todos los dispositivos se ven entre sí. El día que un portátil cae por un phishing —o una cámara IP barata trae la puerta abierta de fábrica—, el atacante se pasea por toda la red: contabilidad, servidor, copias de seguridad incluidas. Así escala un incidente menor a un ransomware que para la empresa.
  • Puertos abiertos para el acceso remoto: sin VPN, la gente entra «abriendo puertos» — escritorio remoto, el NAS, el programa de gestión. Los escáneres automáticos de los atacantes barren Internet entero cada pocas horas: lo que expones, lo encuentran. No es cuestión de si, sino de cuándo.
  • Cero visibilidad: nadie sabe cuántos dispositivos hay conectados ni qué hacen. ¿La TV de la sala manda datos a saber dónde? ¿Hay un equipo desconocido en la red desde hace semanas? Sin visibilidad, un intruso puede convivir contigo meses sin que nadie lo note.
  • Parcheo en manos de terceros: el firmware del router lo actualiza la operadora cuando quiere. Tu perímetro, con vulnerabilidades publicadas, esperando.

Si gestionas datos de clientes (y toda empresa los gestiona), añade el ángulo legal: el RGPD te exige medidas de seguridad proporcionales. «Solo tenía el router de la operadora» no es una defensa que quieras leer en tu expediente ante la AEPD tras una fuga.

2. Los 4 principios, traducidos a negocio

Toda la seguridad de red seria —desde la de una pyme hasta la de un banco— se apoya en los mismos principios. Traducidos a lo que significan para tu negocio:

  • Segmentar: lo importante, separado de lo prescindible. Que los cacharros IoT y los móviles de invitados no puedan ni ver los equipos de trabajo. Si algo cae, el daño queda contenido en su compartimento.
  • Aislar la gestión: administrar la red (el firewall, el servidor) nunca desde Internet abierto. Puerta de servicio cerrada con llave, no entornada.
  • Acceso remoto cifrado (VPN): quien trabaja desde fuera entra por un túnel cifrado, no por puertos abiertos. El teletrabajo deja de ser tu mayor agujero.
  • Actualizar y observar: parchear lo conocido y ver lo que pasa. Una red vigilada detecta el problema el día uno; una red ciega, cuando ya es portada.

3. El sistema completo: las 3 patas de Keliam Net Sentinel

Sobre esos principios montamos un sistema con tres piezas que se refuerzan entre sí — lo que llamamos Keliam Net Sentinel, nuestra seguridad de red gestionada para pymes:

  • 1. El músculo — firewall intercalado: un equipo profesional (MikroTik) detrás del router de tu operadora, sin sustituirlo. Aporta el firewall real, la VPN WireGuard para el teletrabajo, la segmentación por VLANs y el control de DNS con bloqueo de dominios maliciosos y publicidad. Cómo funciona, en detalle, aquí.
  • 2. Los ojos — LAN Sentinel: nuestro software de visibilidad de red. Lee del firewall y de la red y te enseña, en un panel claro, qué dispositivos hay, qué tráfico generan y a qué dominios se conectan. Convierte la caja negra en información: inventario vivo, dispositivos nuevos detectados, comportamientos raros a la vista. (Le dedicamos el próximo capítulo de la serie.)
  • 3. El criterio — soporte gestionado: la pieza que lo mantiene vivo: nosotros montamos, vigilamos, actualizamos y ajustamos — altas de VPN, cambios de reglas, revisiones periódicas, respuesta cuando algo pinta mal. Porque la seguridad no es un aparato que se enchufa: es un servicio que se mantiene.
Arquitectura de red segura para pymes con Keliam Net Sentinel: firewall intercalado, segmentación en tres zonas, VPN de teletrabajo y LAN Sentinel observando
Las tres patas trabajando juntas: protección, visibilidad y criterio sobre una red segmentada.

La lógica del conjunto: el firewall protege, LAN Sentinel ve, y el soporte decide y actúa. Cualquiera de las tres patas sin las otras cojea: un firewall sin visibilidad es mudo, la visibilidad sin criterio es ruido, y ambos sin mantenimiento caducan.

4. Cómo queda tu red (el esquema para no técnicos)

Sin jerga: tu operadora sigue dándote Internet con su router de siempre. Detrás, el firewall reparte la red en tres zonas — trabajo (ordenadores, servidor, impresoras), cacharros (cámaras, TVs, enchufes) e invitados — que no se mezclan. Quien trabaja desde fuera entra por la VPN, por un túnel cifrado, y ve exactamente lo que le corresponde. Y LAN Sentinel observa el conjunto y nos cuenta (a ti y a nosotros) qué está pasando. Eso es todo el esquema — y es más de lo que tiene el 90% de las pymes de este país.

5. ¿Y cuánto cuesta? El posicionamiento honesto

Sin cifras de folleto: hablamos de un equipo de pago único asequible —hardware profesional de gama contenida, no un appliance enterprise— y un servicio recurrente de bajo coste, muy lejos de las licencias de miles de euros al año de las soluciones corporativas (NGFW, EDR gestionado, SASE). La comparación relevante no es contra «no gastar nada»: es contra lo que cuesta un solo incidente — días de parada, recuperación, posibles sanciones y la conversación con cada cliente afectado. Por lo que cuesta, el salto de seguridad es desproporcionadamente grande: esa es la tesis de toda esta serie.

Comparativa de seguridad de red para pymes: solo router de operadora, Keliam Net Sentinel o soluciones enterprise
El escalón intermedio: mucho más que nada, mucho menos que enterprise.

6. La hoja de ruta: empezar simple, crecer por fases

Otra ventaja de este enfoque frente al «todo o nada»: se crece por etapas, cada una con valor propio:

  • Fase 1 — la base (día uno): firewall intercalado + VPN + segmentación por cable + DNS protegido + LAN Sentinel viendo la red. El 80% del beneficio está aquí.
  • Fase 2 — el WiFi serio: puntos de acceso gestionables para llevar la segmentación también a lo inalámbrico (WiFi de trabajo, de cacharros y de invitados de verdad separados).
  • Fase 3 — vigilancia que avisa: alertas automáticas ante comportamientos anómalos y capacidades forenses para investigar incidentes — funciones en las que estamos trabajando en LAN Sentinel y que se sumarán al servicio.
  • Y más allá: línea de Internet de respaldo (failover), hardening de servidores, copias de seguridad gestionadas… el camino natural hacia donde tu negocio lo pida.

7. Preguntas que nos hacen siempre

¿Mi empresa es demasiado pequeña para esto?

Al revés: cuanto más pequeña, más te conviene — no tienes IT interno que te cubra y un incidente te duele proporcionalmente más. El sistema está pensado exactamente para empresas de 1 a 30 puestos.

¿Me quedo sin Internet durante la instalación?

Minutos, no horas, y en ventana pactada. El equipo llega configurado y probado; el cambio es intercalarlo y verificar. Y la vuelta atrás, si hiciera falta, es desconectar un cable.

Ya tengo antivirus, ¿no es suficiente?

El antivirus protege cada equipo por dentro; esto protege la red donde viven todos. Son capas distintas y complementarias: la mayoría de los ataques modernos cruzan la red antes o después, y ahí el antivirus no juega.

¿Qué pasa con mis datos y los de mis clientes?

Mejoran su situación legal y real: acceso cifrado, información sensible en su segmento, y trazabilidad de lo que ocurre — justo el tipo de medidas «apropiadas al riesgo» que el RGPD espera de ti. Si más adelante necesitas certificarte formalmente, esta base te acerca: lo contamos en nuestras guías de ISO 27001 para pymes y del Esquema Nacional de Seguridad.

¿Y si ya tengo algo montado?

Mejor aún: lo evaluamos, aprovechamos lo que valga y reforzamos lo que falte. El punto de partida siempre es una revisión de lo que hay — sin compromiso y sin dramatizar.

Conclusión: de «suerte» a «sistema»

La diferencia entre las empresas que sufren un incidente anecdótico y las que salen en el grupo de WhatsApp del polígono no suele ser el tamaño ni el sector: es tener un sistema en vez de suerte. Segmentación, VPN, visibilidad y alguien que lo vigila — cuatro cosas que hoy están al alcance de cualquier pyme, por una fracción de lo que costaban hace cinco años, y por una fracción minúscula de lo que cuesta el día malo.

En el próximo capítulo de la serie te enseñamos por dentro LAN Sentinel, el software con el que verás tu red por primera vez — dispositivos, tráfico y dominios en un panel. Spoiler: la primera reacción de todo el mundo al verlo es «¿todo eso estaba conectado a mi red?».

¿Tu empresa sigue con el router de la operadora y nada más?

Con Keliam Net Sentinel montamos las tres patas —firewall, visibilidad y soporte— y tu red pasa de suerte a sistema. Empezamos siempre igual: una revisión de tu red actual para contarte, sin humo, dónde estás y qué te falta.

Pide tu revisión de red →

Serie: Seguridad low-cost para pymes · Keliam Net Sentinel
← Cap. 1: Un firewall detrás del router de tu operadora
Cap. 3: LAN Sentinel, ver tu red por primera vez (próximamente) →
Scroll al inicio