Checklist: Seguridad y privacidad de datos al elegir empresas digitales

Al revisar una empresa que ofrece servicios digitales —plataformas, aplicaciones, proveedores de software como servicio o integradores— no basta evaluar funcionalidades y precio. La seguridad de la información y la protección de datos personales determinan riesgos legales, reputacionales y económicos. Una mala valoración puede exponer a usuarios o a la propia organización a fugas de datos, incumplimientos normativos y pérdidas financieras. Este texto ofrece un marco práctico y detallado para evaluar esos aspectos con ejemplos, criterios técnicos y un listado de comprobación aplicable.

Consideraciones preliminares: gestión y cumplimiento normativo

• Responsabilidad y roles: verificar si la empresa declara un responsable de seguridad y un delegado de protección de datos o puesto equivalente. La existencia de políticas internas, comité de seguridad y procesos documentados es indicativa.
• Cumplimiento normativo: solicitar evidencias de cumplimiento con normativas aplicables: Reglamento General de Protección de Datos (RGPD) en la Unión Europea, leyes locales de protección de datos, normativas sectoriales (por ejemplo, normativa sanitaria equivalente en cada país). Revisar si han realizado evaluaciones de impacto de protección de datos (EIPD o DPIA).
• Políticas públicas: analizar la política de privacidad y la política de seguridad disponibles en su web. Deben ser claras sobre finalidad del tratamiento, bases legales, plazos de retención, derechos de los interesados y transferencia internacional de datos.

Protección técnica: medidas fundamentales

• Cifrado en tránsito y en reposo: verificar que emplean cifrado TLS 1.2/1.3 para las comunicaciones y un esquema sólido de cifrado en el almacenamiento, como AES-256, además de solicitar información sobre cómo administran y rotan las claves.
• Gestión de credenciales y autenticación: evaluar si disponen de autenticación multifactor tanto para cuentas administrativas como para las de los clientes, junto con políticas de contraseñas y mecanismos de bloqueo frente a intentos reiterados.
• Control de acceso e identidad: analizar el sistema de permisos basado en el principio de mínimo privilegio, el uso de accesos por roles, la separación de responsabilidades y la necesidad de aprobar accesos con privilegios elevados.
• Seguridad de la infraestructura: determinar si trabajan con proveedores de nube reconocidos, cómo aplican configuraciones seguras, la segmentación de la red y las medidas implementadas contra ataques de denegación de servicio.
• Protección de datos sensibles: comprobar si recurren a la pseudonimización o la anonimización y si incluyen cifrado especializado para datos especialmente delicados, como identificadores personales, información financiera o datos sanitarios.
• Registro y auditoría: confirmar que generan y mantienen registros de accesos, modificaciones y eventos de seguridad con una sincronización horaria adecuada y una política de conservación claramente definida.

Administración de riesgos, evaluaciones y manejo de incidentes

• Evaluaciones periódicas: solicitar resultados de pruebas de penetración y análisis de vulnerabilidades recientes. Idealmente, auditorías externas anuales y pruebas internas trimestrales.
• Programa de gestión de vulnerabilidades: existencia de proceso para parcheo, priorización y mitigación de hallazgos con plazos definidos.
• Plan de respuesta a incidentes: evaluar si existe un plan documentado, equipos responsables, procesos de comunicación (incluyendo notificación a autoridades y afectados), y ejercicios de simulación.
• Historial de incidentes: preguntar por incidentes pasados, causas, medidas correctoras y tiempos de resolución. La transparencia en la comunicación es un buen indicador.

Proveedores, subcontrataciones y transferencias

• Cadena de suministro: reconocer a los terceros esenciales, incluidos proveedores de nube, servicios de pago y plataformas de análisis, verificando sus métodos de auditoría y las cláusulas contractuales aplicables.
• Contratos y acuerdos: solicitar el modelo vigente del contrato de tratamiento de datos, con sus cláusulas de resguardo, obligaciones ante incidentes y los acuerdos de nivel de servicio correspondientes.
• Transferencias internacionales de datos: validar los fundamentos jurídicos utilizados, como las cláusulas contractuales tipo, decisiones de adecuación u otras medidas adicionales que garanticen una protección apropiada.

Privacidad desde el diseño y facultades de los interesados

• Minimización y limitación de finalidad: comprobar que la recolección de datos está limitada a lo necesario y que hay justificaciones documentadas.
• Medidas técnicas de privacidad: presencia de pseudonimización, anonimización reversible, separación de entornos por cliente y controles para evitar re-identificación.
• Atención a derechos ARCO/LOPD o equivalentes: procedimientos para acceso, rectificación, supresión, oposición y portabilidad; plazos y canales claros para que los interesados ejerzan sus derechos.
• Consentimiento y comunicaciones: revisar cómo se gestiona el consentimiento cuando procede, registros de consentimientos y mecanismo fácil para revocarlo.

Certificaciones, procesos de auditoría y medidas de rendimiento

• Certificaciones útiles: ISO/IEC 27001, ISO/IEC 27701 dedicadas a la gestión de la privacidad, junto con credenciales sectoriales como PCI DSS para operaciones de pago o certificaciones de seguridad exigidas en cada país. Contar con estas certificaciones no reemplaza las auditorías, aunque sí incrementa la confianza.
• Informes y auditorías: conviene solicitar informes SOC 2 tipo II o alternativas equivalentes cuando existan, verificando tanto el periodo cubierto como el alcance específico de cada evaluación.
• Métricas operativas: incluir promedios de tiempos de parcheo, tiempo medio de detección (MTTD) y tiempo medio de recuperación (MTTR), además del porcentaje de pruebas de penetración donde las vulnerabilidades críticas se corrigen dentro de X días.

Pruebas prácticas que puede realizar un revisor

• Revisión documental: examinar políticas, contratos, EIPD y conclusiones derivadas de auditorías previas.
• Revisión técnica superficial: verificar los certificados TLS de sus servicios web, las cabeceras HTTP orientadas a la seguridad, la caducidad de las sesiones y el modo en que el navegador almacena la información.
• Solicitar pruebas en entorno de demostración: requerir un acceso limitado para comprobar los controles de acceso, los distintos niveles de permisos y la trazabilidad de las acciones.
• Revisión de código o dependencias: cuando resulte viable, evaluar las prácticas de seguridad dentro del ciclo de desarrollo (CI/CD), las revisiones de código y el tratamiento de dependencias con posibles vulnerabilidades.

Ejemplos y situaciones demostrativas

• Configuración incorrecta en servicios de almacenamiento en la nube: en ocasiones, empresas han dejado buckets sin protección adecuada, exponiendo millones de datos. La lección es clara: verificar de forma periódica las reglas de acceso y los registros de actividad en los recursos de almacenamiento.
• Privilegios excesivos sin supervisión: muchas filtraciones internas surgen cuando cuentas administrativas acumulan permisos innecesarios y carecen de MFA. Establecer un control de acceso por roles y auditar las sesiones con privilegios ayuda a disminuir este tipo de amenazas.
• Anonimización insuficiente de la información: incluso bases de datos que parecen anónimas pueden reconstruirse mediante cruces con fuentes públicas. Es esencial usar métodos sólidos y evaluar con detenimiento las posibilidades de reidentificación.

Guía práctica para realizar una revisión veloz

• ¿Existe un responsable de seguridad junto con un delegado de protección de datos designado formalmente?
• ¿Difunden políticas de privacidad y seguridad que sean claras y estén actualizadas?
• ¿Implementan cifrado para los datos en tránsito y almacenados, y de qué manera administran las claves?
• ¿Proporcionan autenticación multifactor y un control de acceso detallado?
• ¿Efectúan pruebas de penetración y auditorías externas con regularidad?
• ¿Disponen de un plan documentado de respuesta a incidentes que se haya puesto en práctica?
• ¿Supervisan a proveedores externos mediante contratos y auditorías, incluyendo cláusulas sobre transferencias internacionales?
• ¿Incorporan privacidad desde el diseño y facilitan el ejercicio de los derechos de los interesados?
• ¿Poseen certificaciones pertinentes y comparten métricas operativas?

Herramientas y recursos para evaluar

• Análisis de cabeceras y certificados TLS mediante navegadores y herramientas en línea.
• Solicitar informes de auditoría (SOC, ISO) y revisar su alcance y fechas.
• Revisar políticas públicas y textos contractuales en busca de cláusulas sobre responsabilidad, indemnizaciones y notificación de brechas.
• Uso de matrices de riesgo y plantillas de EIPD para evaluar impacto sectorial y por tipo de dato.

Fallas habituales que conviene identificar

• Carencia de una separación clara entre los entornos de desarrollo y de producción.
• Conservación prolongada de información sin una razón documentada.
• Uso de subcontratistas sin garantías contractuales ni evaluaciones regulares.
• Falta de pruebas recurrentes o demora en la corrección de fallas críticas.

Una evaluación exhaustiva integra revisión documental, análisis técnicos y verificación contractual. Más allá de respetar normativas o mostrar certificaciones, es esencial apreciar cómo la empresa gestiona su operación para identificar incidentes, reaccionar ante ellos y extraer aprendizajes, así como su nivel de transparencia y su compromiso activo con la privacidad desde el diseño. Contar con una lista de verificación contextualizada y solicitar pruebas tangibles ayuda a distinguir a los proveedores que sólo afirman ofrecer seguridad de aquellos que realmente la respaldan con acciones y resultados.