La reducción del riesgo de incumplimiento del RGPD empieza en la bandeja de entrada

5 de mayo de 2026
Kaseya
Seguridad del correo electrónico

Al ser uno de los puntos de acceso más utilizados para infiltrarse en una empresa, el correo electrónico supone una grave amenaza para la seguridad de los datos. Ya se trate de datos almacenados en la bandeja de entrada del usuario, en buzones compartidos, en unidades de almacenamiento o en sistemas de terceros —como las plataformas CRM—, la bandeja de entrada puede servir como punto de partida para numerosas violaciones de seguridad. 

Una filtración de correo electrónico es una puerta de entrada a los datos de tu empresa

Uno de estos casos se produjo en unbufete de abogados que fue víctima de un ataque a través de una cuenta de correo electrónico de Outlook.El atacante logró entonces desviar los pagos destinados a los beneficiarios en un asunto sucesorio. 

Por eso, una estrategia de seguridad sólida que comience en la bandeja de entrada no solo es esencial para la seguridad general, sino que también ayuda directamente a su empresa a cumplir con susobligaciones en virtud del RGPD

Sin embargo, este no es un reto que pueda resolverse únicamente con tecnología. Se necesitan las herramientas adecuadas, combinadas con usuarios bien formados, que trabajen juntos siguiendo un enfoque coordinado en materia de seguridad del correo electrónico. 

Los seres humanos son la principal causa de las filtraciones: hay que empezar por ahí 

Se calcula que el 90 % de las brechas de seguridad se deben a errores humanos, por lo que es ahí donde hay que empezar a mejorar. Dado quelas amenazas por correo electrónico son cada vez más sofisticadas y específicas, es más importante que nunca que los usuarios sepan en qué deben fijarse para detectar los ataques de phishing.  

La Autoridad de Protección de Datos de Dinamarca (Datatilsynet) presenta conclusiones similares y atribuye más del 80 % de los incidentes recientes a errores humanos. De ellos, el phishing fue la principal causa de las violaciones de seguridad.   

Esto deja claro que una buena defensa empieza por los usuarios:   

  • Impartirles una formación eficaz. No basta con cumplir con los requisitos una vez al año, como si se tratara de marcar casillas. La formación debe estar actualizada, ser atractiva e impartirse con regularidad. Las herramientas que permiten automatizar la formación y ofrecer contenidos que calen en los usuarios les ayudarán a gestionar mejor las amenazas a las que se enfrentan en sus bandejas de entrada. Acompáñala con cuestionarios para comprobar lo que han aprendido y detectar sus puntos débiles.  
  • Pon en práctica la formación. Crea simulaciones de phishing que vayan más allá de la teoría y observa cómo reaccionan los usuarios ante los intentos de phishing en su bandeja de entrada. Descubre qué intentos podrían haber engañado a los usuarios e identifica las carencias en la formación para poder reforzar tu respuesta.  
  • Analiza y adapta. Cuanto más grande sea la organización, más datos podrás aprovechar. Identifica tendencias, supervisa los resultados de las pruebas y descubre qué es lo que está causando dificultades a los usuarios en el mundo real. No solo es una fuente útil de información práctica, sino que también demuestra una cultura de formación y procesos claros, ambos requisitos imprescindibles paradirectivas como la NIS2.  

Unas buenas prácticas en materia de datos son fundamentales para el cumplimiento del RGPD 

Además de formar a los usuarios para que identifiquen las amenazas, es fundamental integrar los principios del RGPD en el comportamiento cotidiano. Esto ayuda a prevenir problemas antes de que un intento de phishing derive en un incidente. 

En lo que respecta al RGPD, conviene reforzar ciertos hábitos en lo que se refiere específicamente a los datos. Se trata de un activo de la empresa y debe tratarse como tal. 

Cada segundo cuenta durante una filtración. Unos buenos hábitos en el manejo de los datos pueden mitigar algunos de los efectos de un ataque y, como mínimo, ralentizar la exposición durante un incidente. 

  • Fomente el uso de los sistemas corporativos.A menudo, los datosacaban dispersos en hojas de cálculo, registros en papel y dispositivos de almacenamiento personales. Esto dificulta su protección y gestión. Asegúrese de que los usuarios utilicen herramientas aprobadas por la empresa, como sistemas CRM, sistemas de marketing y herramientas de gestión de incidencias, para almacenar sus datos. 
  • Nunca envíe datos confidenciales por correo electrónico, ni siquiera a nivel interno.Incluso a nivel interno, el correo electrónico genera copias persistentes que son difíciles de controlar. Almacene los datos en sistemas centralizados, como plataformas CRM o SharePoint. Cuando comparta información con terceros, utilice mecanismos de uso compartido controlados que permitan supervisar y revocar el acceso. A nivel interno, fomente el uso compartido desde SharePoint o OneDrive. Cualquier dato que se almacene temporalmente con un fin específico debe eliminarse una vez que se haya cumplido su objetivo.   
  • Aplica políticas de retención cuando sea necesario.A nivel corporativo, puedes establecer políticas de retención de datos y, al mismo tiempo, ofrecer a los usuarios la posibilidad de limitar manualmente el tiempo de vida de los correos electrónicos. Si un correo electrónico contiene información confidencial destinada a un uso a corto plazo, anima a los usuarios a que establezcan ellos mismos una política de retención más estricta para los correos enviados. 

El mejor intento de ataque es aquel que nunca llega a la bandeja de entrada

Has formado a tus equipos, has impartido cursos de formación y has elaborado tus informes. Sin embargo, impedir que los intentos de phishing lleguen siquiera a la bandeja de entrada de los usuarios debe seguir siendo la primera línea de defensa. 

En el evento Kaseya Local Connect celebrado en Londres, los proveedores de servicios gestionados (MSP) subieron al escenario paradebatir cómo la creciente amenaza que suponen los correos electrónicosse debía, en gran parte, a la inteligencia artificial. Sin embargo, también hicieron hincapié en que la inteligencia artificial es igualmente importante a la hora de defenderse de ellos. 

La IA puede ofrecer un análisis de conversaciones que permita comprender la intención de un correo electrónico, el escaneo de códigos QR para detectar y abrir URL ocultas, y el aprendizaje automático para identificar correos electrónicos de spam y phishing anteriores y adaptarse sobre la marcha a los futuros mensajes entrantes. 

También puedes ayudar a los usuarios de forma habitualclasificando los correos electrónicos según su nivel de riesgo, lo que les permitirá tener siempre presente la seguridad al leer cada mensaje. 

Los fallos pueden salir caros

Las organizaciones pueden ser sancionadas con multas de hasta el 4 % de su volumen de negocios mundial anual o 20 millones de euros (o 17,5 millones de libras esterlinas) por infringir el RGPD. El daño a la reputación también puede ser devastador. 

La seguridad del correo electrónico es solo uno de los aspectos del cumplimiento del RGPD, pero resulta fundamental. Según un estudio de Kaseya, el 56 % de las pymes afirmaron haber sufrido el impacto de mensajes de phishing, y el 40 % mencionaron incidentes previos de suplantación de identidad en el correo electrónico empresarial (BEC). En este contexto, la probabilidad de que se produzca un incumplimiento del RGPD es cada vez mayor.  

 Tanto si eres una empresa que busca mejorar su cumplimiento del RGPD y la Directiva NIS 2, como si eres un proveedor de servicios gestionados (MSP) que presta servicios a sus clientes, tus prioridades son bastante similares. Los procesos manuales no son suficientes, y no puedes confiar únicamente en el comportamiento humano ni en las tecnologías por sí solas. 

Es fundamental adoptar un enfoque integral. En cada etapa, debes procurar automatizar la formación, la elaboración de informes y la capacidad de detección de amenazas para garantizar que la parte tecnológica de tu enfoque funcione correctamente en el marco del cumplimiento del RGPD.  

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe de Kaseya sobre la situación de los MSP de 2026

Kaseya - MSP sobre el estado del sector MSP 2026 - Imagen web - 1200 x 800 - ACTUALIZADO

Obtén MSP para 2026 de más de 1000 proveedores y descubre cómo aumentar los ingresos, adaptarte a las exigencias del mercado y mantener tu competitividad.

Descargar ahora

Explora las categorías

Seguridad del correo electrónico: una guía completa para equipos de TI y proveedores de servicios gestionados (MSP)

El correo electrónico sigue siendo el vector de ataque más utilizado en el ámbito de la ciberseguridad. Es la puerta de entrada para el phishing, el secuestro de cuentas de correo electrónico corporativo y la distribución de malware,

Leer la entrada del blog

Los entresijos de la estafa de las facturas de OpenAI: explicación del uso indebido de SendGrid y del phishing por devolución de llamada

Los ciberdelincuentes nunca se detienen y reinventan constantemente sus tácticas para aprovecharse de la confianza, la familiaridad y el instinto humano. INKY vigilando las amenazas

Leer la entrada del blog

Cómo defender su cuenta de Microsoft 365

Lea el blog para saber por qué las cuentas de Microsoft 365 son los principales objetivos de los atacantes y qué puede hacer para protegerlas.

Leer la entrada del blog