Elegir el tipo de autenticación multifactor adecuado ya no es algo reservado a bancos y grandes tecnológicas. Hoy, cualquier empresa (y prácticamente cualquier usuario) necesita ir más allá de la clásica combinación usuario‑contraseña si quiere mantener a raya el phishing, el robo de credenciales y los accesos remotos no autorizados. El problema es que hay tantos métodos distintos que es fácil perderse.

En esta guía vamos a ver, con calma pero al grano, qué es la autenticación multifactor, qué tipos existen y cuál es más segura según el contexto: desde códigos por SMS hasta llaves FIDO2, pasando por biometría, MFA adaptativa con IA o passkeys sin contraseña. Además, verás ejemplos reales (banca online, acceso remoto, universidad, cloud como AWS o Microsoft Entra ID) y criterios claros para elegir la opción más robusta para tu organización.

¿Qué es la autenticación multifactor y por qué se ha vuelto imprescindible?

La autenticación multifactor (MFA) es un esquema de seguridad que exige al usuario dos o más pruebas independientes de identidad antes de dejarle entrar a una cuenta, aplicación, VPN o sistema corporativo. Igual que una empresa protege un edificio con vallas, tarjetas, tornos y cerraduras, la MFA añade varias capas virtuales de control de acceso.

En lugar de confiar únicamente en una contraseña, la MFA combina algo que sabes, algo que tienes y algo que eres. Cuantos más factores y mejor combinados, más difícil resulta que un atacante los supere todos a la vez, aunque ya tenga unas credenciales robadas en la mano.

La adopción masiva de MFA no es casualidad: los ataques de phishing, el relleno de credenciales y el robo de contraseñas se han convertido en el pan de cada día. Muchos incidentes graves empiezan con un usuario que introduce su clave en una web falsa o la reutiliza en varios servicios. La MFA actúa como red de seguridad: aunque la contraseña caiga, aún falta superar uno o varios factores adicionales.

Además, en muchos sectores ya no es solo una buena práctica, sino una obligación. Normativas como RGPD, HIPAA, PCI DSS o el Esquema Nacional de Seguridad en el ámbito público exigen controles de autenticación reforzados, especialmente cuando hay acceso remoto a servicios críticos o tratamiento de datos sensibles.

Los factores de autenticación: qué se puede verificar realmente

Toda solución de MFA se basa, en esencia, en tres grandes tipos de factores, a los que se pueden sumar factores contextuales como la ubicación o la hora. Entenderlos te ayudará a comparar métodos y saber cuál es más robusto.

Factor de conocimiento: algo que el usuario sabe

Este es el de toda la vida: contraseñas, PIN, claves de seguridad o respuestas a preguntas secretas. El sistema confía en que solo tú conoces esa información. Pueden ser una contraseña de acceso, un PIN de cuatro o seis dígitos, o las típicas preguntas del “nombre de tu primera mascota”.

Su gran problema es que son fáciles de robar, filtrar o adivinar. Los atacantes pueden recurrir a fuerza bruta, diccionarios, ingeniería social o a datos personales públicos para dar con las respuestas. Además, la gente reaprovecha contraseñas en varios servicios, lo que multiplica el riesgo si una sola base de datos se ve comprometida.

Factor de posesión: algo que el usuario tiene

Este segundo tipo se basa en dispositivos o activos que se asocian a la persona. Aquí entran en juego teléfonos móviles, tokens de hardware, llaves de seguridad, tarjetas con códigos, aplicaciones autenticadoras o incluso cuentas de correo registradas para recibir códigos.

La mecánica típica es sencilla: el sistema envía un código de un solo uso a ese activo (por SMS, correo, app, llamada de voz, etc.) o pide que conectes físicamente una llave. El riesgo está en que, si un atacante consigue robarte el móvil, duplicar la SIM o comprometer tu correo, ese factor de posesión deja de ser exclusivo.

Factor de inherencia: algo que el usuario es

Los factores de inherencia se apoyan en rasgos biométricos y patrones únicos de la persona. Hablamos de huellas dactilares, reconocimiento facial, escaneo de iris o retina, reconocimiento de voz e incluso biometría de comportamiento (cómo tecleas, cómo mueves el ratón, cómo caminas, etc.).

Para utilizarlos, el sistema debe capturar y almacenar una plantilla biométrica durante el registro para compararla en cada autenticación. Esto implica una gran responsabilidad: esos datos son extremadamente sensibles y, a diferencia de una contraseña, no puedes cambiarlos alegremente si se filtran.

Factores contextuales: ubicación, dispositivo y momento

Más allá de los tres factores clásicos, muchas soluciones modernas de autenticación utilizan información de contexto para reforzar la decisión: ubicación geográfica, dirección IP de origen, tipo de dispositivo, sistema operativo, hora de acceso o incluso la “geovelocidad” (distancia entre dos inicios de sesión consecutivos).

Por sí solos, estos factores no bastan para autenticar a nadie, pero como capa adicional son muy útiles. Por ejemplo, si alguien intenta acceder desde un país inusual o a una hora extraña, el sistema puede requerir un factor extra o directamente bloquear el intento. Aquí entran en juego la llamada MFA adaptativa y la autenticación basada en riesgos.

Tipos de métodos de autenticación multifactor más utilizados

A partir de esos factores se construyen los diferentes métodos de MFA que ves en bancos, universidades, servicios cloud o herramientas de acceso remoto. Vamos a desgranar los más habituales, con sus ventajas, inconvenientes y nivel de seguridad real.

Códigos de un solo uso por SMS, correo electrónico o llamada

Son probablemente el método más extendido y, al mismo tiempo, de los menos robustos. El proceso es simple: tras poner tu usuario y contraseña, recibes un código de un solo uso (OTP) por SMS, correo o incluso llamada de voz, que debes introducir para completar el acceso.

Funciona razonablemente bien si el atacante no tiene acceso a tu teléfono o tu email, pero tiene puntos débiles importantes. El correo es muy poco fiable si reutilizas también la contraseña de la cuenta que intentas proteger, y los SMS se pueden interceptar mediante ataques de duplicado de SIM, errores del operador o malware en el dispositivo.

Además, es fácil perder el número de teléfono (cambio de línea, robo de móvil, impago de la SIM, etc.), con el consiguiente bloqueo de acceso. Por todo ello, sirve como refuerzo básico, pero no es la mejor opción para cuentas críticas, especialmente las financieras o de administración de sistemas.

Contraseña como segundo factor en mensajería y servicios concretos

En algunos servicios, especialmente aplicaciones de mensajería instantánea como WhatsApp o Telegram, la lógica se invierte: el primer factor es un código de un solo uso enviado por SMS, y la contraseña (o PIN adicional) actúa como segundo factor.

Este enfoque añade una capa más de protección frente a la pérdida o robo del número de teléfono. Si un tercero consigue hacerse con tu número (porque el operador lo recicla, por ejemplo), no podrá acceder a tus chats si no conoce ese segundo factor. Aquí, la contraseña de respaldo se convierte en freno a ataques y en salvavidas frente a incidentes con la línea móvil.

Listas de códigos de un solo uso pre‑generados

Algunos bancos y servicios online han usado, o todavía usan, tarjetas o listas con códigos de un solo uso. Se entregan en papel o en formato digital seguro y sirven para confirmar operaciones o recuperar acceso a la cuenta cuando no se dispone de otros factores.

Desde el punto de vista de la seguridad, son bastante sólidos porque apenas se transmiten y suelen ser difíciles de predecir. El mayor riesgo es la custodia: si alguien roba esa lista, tendrá vía libre para suplantarte. Además, no escalan bien cuando hay que autenticar con frecuencia, ya que los códigos se agotan y hay que generar nuevos lotes, lo que complica la operativa con muchas cuentas.

Códigos de aplicaciones de autenticación (TOTP)

Las apps autenticadoras como Microsoft Authenticator, Google Authenticator y similares generan contraseñas de un solo uso basadas en el tiempo (TOTP). Tras asociar la aplicación a tu cuenta mediante un código QR o una clave, el móvil va generando códigos que caducan cada 30‑60 segundos.

Este método ofrece un equilibrio muy bueno entre seguridad y comodidad. No depende de SMS ni del operador, es bastante resistente al robo de SIM y funciona incluso sin conexión de datos. Eso sí, si pierdes el móvil y no has guardado códigos de recuperación o configurado un segundo dispositivo, puedes quedarte fuera.

En la práctica, las apps autenticadoras son hoy la opción recomendada como segunda capa estándar para la mayoría de cuentas importantes: paneles de administración, banca online, proveedores cloud, aplicaciones SaaS, etc.

Autenticación biométrica: huella, cara, voz y más

La biometría ha pasado de ser algo exótico a un recurso cotidiano: muchos móviles y portátiles permiten desbloqueo por huella, reconocimiento facial o escáner de iris. En MFA suelen actuar como segundo factor sobre el dispositivo local: primero desbloqueas el equipo con biometría y después accedes a la app protegida.

Esta aproximación es cómoda y bastante segura si se implementa bien, porque evita tener que teclear contraseñas largas todo el tiempo. El gran reto está en la gestión de los datos biométricos: son permanentes, sensibles y no deberían salir del dispositivo salvo con medidas criptográficas muy estrictas.

Por eso, muchos fabricantes apuestan por que la comparación biométrica se haga en hardware seguro dentro del propio dispositivo (por ejemplo, el enclave seguro de Apple). En entornos más cerrados, como el ecosistema de Apple, esta biometría se puede usar incluso como parte de autenticaciones remotas de alto nivel.

Ubicación y reconocimiento de dispositivo

Numerosos servicios utilizan de forma silenciosa la ubicación aproximada y las características del dispositivo como parte de la decisión de autenticación. Así detectan, por ejemplo, que estás en tu oficina habitual con tu portátil de siempre o, por el contrario, que intentas entrar desde un país exótico con un equipo no reconocido.

Por sí solos, estos factores no son muy fuertes: la ubicación por IP puede falsearse con VPN y varias personas pueden compartir una misma red. Aun así, son muy útiles como disparadores para MFA adaptativa: si algo “huele raro”, el sistema pide un segundo o tercer factor adicional, o envía una alerta al usuario y a seguridad.

Llaves de hardware FIDO U2F / FIDO2 (YubiKey y similares)

Cuando hablamos de métodos realmente resistentes al phishing y al ataque “man in the middle”, las llaves de seguridad FIDO U2F / FIDO2 se llevan la palma. Son pequeños dispositivos físicos (USB, NFC, Bluetooth) que se asocian criptográficamente a tu cuenta y que solo responden ante el dominio legítimo durante la autenticación.

En la práctica, el servicio y la llave establecen, en el registro, un par de claves criptográficas único por servicio y usuario. Al autenticarte, el servidor lanza un desafío que la llave firma si y solo si reconoce el dominio como auténtico. Una web falsa no puede reproducir este flujo, así que aunque el usuario caiga en un phishing, la llave no validará la sesión maliciosa.

El uso es tan sencillo como conectar la llave por USB o acercarla al móvil por NFC y tocar el sensor para confirmar. Esa simplicidad de cara al usuario, combinada con la robustez interna del protocolo, ha convertido a estas llaves en el estándar de facto para cuentas de alto valor: grandes empresas como Google obligan a su personal interno a usarlas desde hace años.

Claves de acceso FIDO (passkeys) y autenticación sin contraseña

Para el usuario medio, comprar y llevar una llave física no es lo más atractivo del mundo. Por eso la FIDO Alliance ha impulsado las claves de acceso o passkeys, que llevan los mismos principios criptográficos de FIDO2, pero permiten almacenar las credenciales en dispositivos cotidianos: móviles, ordenadores, perfiles de navegador, etc.

La idea es que las passkeys sustituyan a las contraseñas, no solo las complementen. El usuario desbloquea su dispositivo con biometría o un PIN, y el navegador o el sistema operativo se encarga de negociar la autenticación con el servicio online usando la clave criptográfica almacenada. Desde el punto de vista de seguridad, sigue siendo multifactor: posesión del dispositivo más inherencia (biometría) o conocimiento (PIN del equipo).

La tecnología es muy prometedora, pero todavía presenta desafíos de interoperabilidad, gestión y madurez. No todos los servicios las soportan igual, ni todos los ecosistemas gestionan del mismo modo la sincronización y el backup de las passkeys. Hoy merece la pena empezar a probarlas (por ejemplo, en cuentas de Google o grandes plataformas que ya las ofrecen), pero quizá no apoyarlo todo en ellas todavía.

MFA adaptativa y autenticación basada en riesgos

Más allá de los métodos concretos, cada vez se ve más la llamada MFA adaptativa, que ajusta los factores a pedir según el nivel de riesgo percibido en cada intento de acceso. Para hacerlo, utiliza motores de decisión que tienen en cuenta la IP, la geolocalización, el historial de inicios de sesión, el rol del usuario, el dispositivo, etc.

Las soluciones más avanzadas usan inteligencia artificial y machine learning para perfilar el comportamiento normal de cada cuenta y detectar anomalías: accesos a horas raras, desde dispositivos nuevos o desde países que no encajan con el patrón. A cada evento le asignan una puntuación de riesgo y, en función de ella, permiten solo usuario y contraseña, exigen un segundo factor fuerte o directamente bloquean la sesión.

Esto permite equilibrar la seguridad con la experiencia de usuario: no tiene sentido pedir MFA complicado siempre al mismo empleado desde su PC corporativo en la oficina, pero sí cuando se conecta desde un cibercafé en otro continente.

MFA en acción: ejemplos reales de uso

La MFA no es algo teórico: se aplica a diario en multitud de escenarios, desde el trabajo remoto hasta el acceso a historias clínicas o servicios universitarios. Ver algunos ejemplos ayuda a aterrizar la teoría.

Acceso remoto de empleados a recursos corporativos

Imagina una empresa que permite a su plantilla trabajar desde casa con sus portátiles corporativos. Para entrar en la VPN o en aplicaciones internas, la organización puede exigir que el empleado introduzca su contraseña y, además, confirme el acceso con un token de hardware o escaneo de huella en el propio portátil.

Es habitual que, según la red desde la que se conecte el usuario, se exijan más o menos factores: si trabaja desde su casa de siempre, bastan dos; si se conecta desde una Wi‑Fi pública o un país de riesgo, el sistema puede subir a tres factores o bloquear el acceso hasta revisión de seguridad.

Hospitales y acceso dentro de las instalaciones

Esta aproximación permite equilibrar agilidad y seguridad: durante el turno, el acceso es rápido pero controlado; al finalizar la jornada, los permisos especiales de uso de la tarjeta se revocan automáticamente, reduciendo el riesgo de que alguien aproveche una insignia perdida para entrar al sistema.

Universidades y acceso remoto a servicios críticos

En el ámbito universitario ya es habitual que la MFA se active solo cuando se accede en remoto a servicios sensibles. Por ejemplo, una universidad puede exigir MFA para entrar al correo, a la VPN o a un campus virtual desde casa, pero no cuando el usuario está físicamente en las instalaciones y ya ha pasado otros controles.

En estos casos suelen aceptarse varios métodos: notificaciones push en apps como Microsoft Authenticator, códigos TOTP, SMS o incluso llamadas automatizadas. Lo normal es que el sistema recuerde el dispositivo durante cierto tiempo (por ejemplo, 60 días) para no estar pidiendo MFA a todas horas, salvo en accesos de mayor riesgo como la VPN.

Cloud y acceso a servicios como AWS o Microsoft Entra ID

Los grandes proveedores cloud han convertido la MFA en pieza central de sus estrategias de identidad. AWS, por ejemplo, ofrece autenticación multifactor para las cuentas que gestionan la consola de administración y los recursos de infraestructura, lo que evita que una simple filtración de contraseña ponga en jaque toda la plataforma del cliente.

Por su parte, Microsoft Entra ID (antiguo Azure AD) integra inicio de sesión único (SSO), MFA, autenticación sin contraseña y acceso condicional. Así, una empresa puede centralizar la gestión de identidades, definir qué factores se exigen según el rol y el contexto, y aplicar a la vez el principio de mínimo privilegio en todo su entorno en la nube.

Acceso remoto seguro con soluciones de terceros

Herramientas de acceso remoto para escritorio y soporte técnico incorporan ya MFA de serie. Algunas, como las soluciones de acceso remoto profesional, permiten elegir entre OTP por email, SMS o apps autenticadoras, integrarse con directorios corporativos y cumplir requisitos regulatorios de sectores exigentes.

En estos casos, la MFA se complementa con otras medidas (cifrado de extremo a extremo, control de permisos, registros de actividad), de modo que solo usuarios autenticados y autorizados puedan tomar el control remoto de equipos sensibles desde cualquier lugar para blindar tu sistema.

Ventajas clave de la MFA para tu empresa

Una implementación bien pensada de autenticación multifactor ofrece beneficios muy claros en seguridad, cumplimiento y confianza, más allá de la moda o la presión regulatoria.

Reducción drástica del acceso no autorizado

Cuando un atacante obtiene una contraseña, su puerta de entrada favorita son los paneles de administración, el correo y las aplicaciones críticas. MFA rompe ese “camino fácil”: incluso con la clave correcta, sin el dispositivo, la huella o la llave de seguridad adecuada, el acceso se bloquea.

Esto corta de raíz muchos ataques de relleno de credenciales (probar contraseñas filtradas en múltiples servicios) y limita el impacto de filtraciones puntuales, ya que la misma contraseña robada no basta para comprometer todos los sistemas protegidos con MFA.

Protección frente al phishing clásico

El phishing funciona engañando al usuario para que entregue su contraseña. Con MFA activa, esa contraseña ya no es suficiente. Aunque el usuario caiga en el anzuelo, el atacante se topará con la falta del segundo factor, lo que frena la gran mayoría de ataques básicos.

Hay técnicas de phishing avanzadas capaces de capturar códigos de un solo uso en tiempo real o redirigir sesiones, pero cuando se utilizan llaves FIDO2 y mecanismos resistentes al phishing, incluso ese tipo de ataques se vuelven mucho más complicados y costosos.

Cumplimiento normativo y auditorías más sencillas

Muchas normas exigen explícitamente mecanismos de autenticación reforzados para determinados accesos: datos de salud, pagos con tarjeta, administración pública, etc. Implementar MFA con políticas claras (qué se exige a quién y cuándo) ayuda a cumplir RGPD, HIPAA, PCI DSS, ENS y otros estándares sectoriales.

Además, las plataformas modernas de identidad (como AWS IAM o Microsoft Entra ID) facilitan la trazabilidad y los informes de acceso, lo que simplifica las auditorías y demuestra que se aplica el principio de mínimo privilegio y la protección adecuada de cuentas privilegiadas.

Más confianza por parte de usuarios, clientes y socios

Cuando los usuarios saben que su cuenta está protegida con MFA, perciben un mayor nivel de seguridad y se sienten más cómodos haciendo operaciones sensibles: compras, gestiones bancarias, acceso a expedientes, etc. Lo mismo ocurre con socios y clientes B2B que delegan en tu plataforma parte de sus procesos: esperan ver MFA en la ecuación.

A nivel interno, la MFA también reduce la ansiedad de IT: deja de dependerlo todo de que nadie cometa un despiste con la contraseña, y se teje una red de seguridad que mitiga los errores humanos inevitables.

Inconvenientes y retos reales de la autenticación multifactor

No todo es perfecto. Implementar MFA implica costes, cambios de hábitos y riesgos operativos que conviene tener en cuenta para no acabar con una solución segura pero inutilizable.

Fricción y resistencia de los usuarios

Cada paso adicional en el inicio de sesión se percibe como una pequeña molestia, especialmente si el usuario tiene que autenticarse muchas veces al día o cambiar continuamente de aplicación. Si no se explica bien el porqué, muchos lo vivirán como un obstáculo inútil.

Para minimizar esa fricción, es clave combinar buenos métodos (como apps autenticadoras o llaves de seguridad) con MFA adaptativa, de modo que los accesos de bajo riesgo sean fluidos y solo se endurezcan las condiciones en escenarios sospechosos.

Coste de implantación y mantenimiento

Según el tamaño y el punto de partida, desplegar MFA puede requerir licencias de software, compra de hardware, integración con sistemas heredados y formación. Para pymes esto puede parecer un desembolso importante, aunque el coste de un incidente grave suele ser muy superior.

Además, no basta con “encender” la MFA: hay que mantenerla actualizada, revisar políticas, rotar credenciales y gestionar altas, bajas y cambios de rol. Una buena planificación y el uso de plataformas de identidad modernas reducen mucho esa carga.

Compatibilidad con sistemas antiguos

En muchas organizaciones conviven aplicaciones modernas con sistemas legacy que no contemplan MFA. Integrar autenticación multifactor en estos entornos puede exigir pasarelas, proxies de autenticación o incluso planes de sustitución de software obsoleto.

Es recomendable priorizar primero los accesos más críticos y expuestos a Internet, e ir ampliando el alcance de la MFA según se moderniza el parque de aplicaciones.

Dependencia de dispositivos y problemas de disponibilidad

Muchos métodos dependen del teléfono móvil o de un dispositivo concreto. Si el usuario pierde el móvil, se queda sin batería o hay un corte general de SMS, puede quedarse bloqueado justo cuando más necesita acceder.

Por eso es esencial definir desde el principio métodos de respaldo y procesos de recuperación seguros: segundos factores alternativos, llaves físicas de emergencia, códigos de recuperación guardados en un gestor de contraseñas, o procedimientos claros de desbloqueo por parte de IT.

Persistencia del riesgo de phishing e ingeniería social

La MFA, si se apoya en métodos débiles como SMS, no es inmune al phishing ni al engaño directo al usuario. Un atacante puede convencer a la víctima para que dicte su código OTP por teléfono o, mediante webs intermedias, capturar y reutilizar el código al vuelo.

La forma de subir el listón es adoptar métodos resistentes al phishing (FIDO2, passkeys bien implementadas) y, en paralelo, invertir en formación de usuarios y en herramientas de seguridad que bloqueen webs maliciosas y correos fraudulentos antes de que lleguen al usuario final.

Buenas prácticas para configurar y gestionar la MFA

Para que la autenticación multifactor aporte seguridad real sin convertirse en un infierno de soporte, conviene seguir algunas pautas de diseño y operación bastante sencillas pero efectivas.

Definir roles y aplicar el principio de mínimo privilegio

Lo primero es agrupar a los usuarios en roles con niveles de riesgo y privilegio distintos: administradores, personal con acceso a datos sensibles, usuarios estándar, cuentas de servicio, etc. A cada rol se le pueden asociar requisitos de MFA más estrictos o más flexibles.

Siempre que sea posible, los nuevos usuarios deben arrancar con el nivel mínimo de permisos y, a medida que se justifique, se amplían sus accesos. Esto reduce la superficie de ataque y evita que una sola cuenta comprometida lo abra todo.

Mantener políticas de contraseñas robustas

Incluso con MFA, la contraseña sigue siendo un pilar en muchos escenarios. Tiene sentido mantener requisitos mínimos de longitud y complejidad, evitar contraseñas demasiado comunes y, sobre todo, fomentar el uso de gestores de contraseñas en lugar de la memoria o notas sueltas.

La rotación periódica de contraseñas puede seguir siendo útil en ciertos contextos, pero es aún más importante asegurarse de que no se reutilizan entre servicios y de que se cambian de inmediato en cuanto hay sospecha de filtración.

Registrar más de un método de MFA por usuario

Para reducir bloqueos, es muy recomendable pedir a los usuarios que configuren al menos dos métodos de MFA: por ejemplo, una app autenticadora y una llave de hardware, o app más SMS de respaldo. Así, si pierden uno, pueden seguir accediendo mientras IT ayuda a restablecer la situación.

En entornos donde no se quiera usar móvil, se pueden desplegar aplicaciones de escritorio de MFA o llaves físicas, o gestores como KeePassXC, siempre y cuando se definan claramente los dispositivos desde los que se podrá acceder en remoto.

Revisar, auditar y ajustar políticas de MFA

La seguridad no es estática. Conviene revisar periódicamente los registros de acceso y los incidentes relacionados con autenticación, para ver qué métodos fallan más, dónde hay más fricción y qué vectores de ataque se están probando.

A partir de esos datos, podrás reforzar ciertos métodos, deshabilitar los más débiles (como SMS para cuentas de alto valor), ajustar reglas de MFA adaptativa y mejorar el equilibrio entre usabilidad y protección.

Cómo elegir el tipo de MFA más seguro para tu organización

A la hora de la verdad, no hay una única respuesta válida: el mejor tipo de autenticación multifactor depende del riesgo, el entorno y la madurez tecnológica de cada empresa. Aun así, sí es posible trazar una especie de “escalera de robustez” que sirva de referencia.

En términos generales, para cuentas muy valiosas (administradores de sistemas, paneles cloud, banca, datos especialmente sensibles), lo recomendable es utilizar métodos resistentes al phishing como llaves FIDO2/U2F o passkeys bien integradas, combinados con contraseñas fuertes o autenticación sin contraseña sobre dispositivos de confianza.

Para el grueso de usuarios corporativos, una combinación de contraseña robusta + app autenticadora TOTP, idealmente dentro de un esquema de MFA adaptativa, ofrece un muy buen nivel de seguridad con fricción aceptable. Como respaldo, SMS o correo pueden estar disponibles, pero mejor no usarlos como método principal en accesos críticos.

Y, sea cual sea el método elegido, es fundamental acompañarlo de formación práctica, comunicación clara y procesos de soporte bien definidos, para que la MFA no se perciba como un castigo sino como una herramienta que protege tanto a la organización como a cada usuario individual.

Con una combinación sensata de factores (conocimiento, posesión e inherencia), métodos robustos como llaves FIDO2 o apps autenticadoras bien configuradas, y reglas adaptativas que tengan en cuenta el contexto de acceso, cualquier organización puede elevar mucho el listón de seguridad y hacer que el robo de credenciales deje de ser sinónimo automático de brecha de datos.

Los dispositivos USB y otros soportes extraíbles se han convertido en un complemento imprescindible en nuestra vida digital: llevamos trabajos, fotos, informes confidenciales o instalaciones de software en un simple pendrive. Sin embargo, son tan cómodos y discretos que muchas veces los usamos sin pensar en los riesgos que implican, sobre todo cuando los conectamos a equipos de trabajo o a ordenadores que forman parte de una red corporativa.

Un simple gesto tan inocente como pedir un USB a un compañero para pasar un archivo, usar un disco duro promocional que nos han regalado en un evento o conectar un pendrive “encontrado” puede terminar en la infección de toda una red, el robo de datos sensibles o la pérdida de información crítica. Por eso, es clave que sepamos cómo funcionan estos ataques y qué medidas prácticas podemos aplicar para blindar nuestros equipos frente a USBs maliciosos.

Riesgos reales del uso de USB y dispositivos extraíbles

El primer paso para tomarnos en serio esta amenaza es entender bien los principales riesgos asociados al uso de memorias USB, discos duros portátiles y tarjetas de memoria. No hablamos de algo teórico: una parte muy importante de las infecciones de malware se sigue propagando por este tipo de dispositivos físicos.

Por un lado, está el riesgo más evidente: la pérdida o robo del dispositivo. Un USB suele contener documentos, copias de contratos, informes de clientes, credenciales o versiones de datos que no deberían salir de la organización. Si ese soporte cae en manos de alguien no autorizado, la información puede filtrarse, venderse o utilizarse para chantajear a la empresa o a la persona afectada.

Otro peligro clave es el acceso no autorizado a la información almacenada. Un pendrive sin cifrar que se deja olvidado en una sala de reuniones o en un aula permite a cualquiera copiar su contenido en cuestión de segundos. Aunque pensemos que “solo hay presentaciones”, muchas veces esos documentos incluyen datos internos, configuraciones, organigramas o información estratégica que nunca debería estar accesible de forma tan simple.

La tercera gran amenaza es la infección por malware distribuido a través de USB. Los ciberdelincuentes pueden preparar un dispositivo con software malicioso para que, cuando se conecte a un equipo, ejecute código automáticamente o engañe al usuario para que abra un archivo infectado. Hablamos de keyloggers que roban contraseñas, spyware que espía todo lo que hacemos, ransomware que cifra los archivos del sistema o troyanos que abren una puerta trasera para tomar el control del ordenador.

Incluso existen ataques más sofisticados, como el warshipping o los regalos corporativos trucados. En estos casos, se reparten dispositivos promocionales (pendrives, gadgets USB, etc.) que han sido manipulados para contener un malware o incluso un pequeño hardware que, al conectarse a la red corporativa, permite al atacante entrar en los sistemas internos.

Para que nos hagamos una idea de lo grave que puede llegar a ser, ha habido incidentes documentados en los que una sola memoria USB infectada ha parado infraestructuras críticas. En algunos casos, empleados bienintencionados conectaron un dispositivo contaminado que acabó propagando el malware a sistemas industriales o a servidores de producción. Que el dispositivo sea pequeño y parezca inofensivo no significa que lo sea.

La importancia de una política de uso de dispositivos extraíbles

Frente a este escenario, no basta con decirle a la gente que tenga cuidado. Es imprescindible que cada organización establezca una política clara de uso de dispositivos de almacenamiento externo, comunicada a todos los empleados y aplicada de forma coherente.

Esta política debe especificar, entre otras cosas, si está permitido o no el uso de USB y discos externos en la empresa, en qué condiciones y qué tipo de información se puede guardar en ellos. Puede haber entornos donde su uso esté totalmente prohibido (por ejemplo, en equipos que tratan datos muy sensibles) y otros donde se admitan solo dispositivos corporativos controlados y cifrados.

También debe contemplar qué hacer en caso de pérdida, robo o sospecha de compromiso de un USB. Los empleados deben saber a quién informar, qué pasos dar (por ejemplo, cambiar contraseñas, revocar accesos o notificar al departamento de seguridad) y qué responsabilidades asume la empresa en cuanto a custodia de la información.

Un aspecto importante es la gestión de dispositivos personales (BYOD). Si se permite que se usen pendrives particulares para transportar información no confidencial (presentaciones públicas, manuales comerciales, catálogos, etc.), debe exigirse igualmente que cumplan las mismas medidas de protección que los dispositivos corporativos: cifrado, borrado seguro, antivirus actualizado y supervisión por parte del área técnica.

Buenas prácticas para utilizar USB de forma segura

Una vez definida la política, conviene trasladarla al día a día con un conjunto de medidas prácticas muy concretas que cualquier usuario pueda aplicar para reducir al mínimo el riesgo cuando trabaja con USBs y otros medios extraíbles.

Usa siempre dispositivos corporativos protegidos para datos sensibles

Cuando se vaya a guardar información confidencial o especialmente sensible (datos de clientes, documentación interna estratégica, ficheros con datos personales, etc.), es fundamental utilizar únicamente dispositivos aprobados por la organización: pendrives cifrados, discos duros externos con protección, tarjetas de memoria corporativas, etc.

Estos dispositivos deberían contar con cifrado de la información, protección por contraseña y almacenamiento en lugares seguros. No vale con dejarlos tirados en cualquier cajón o encima de la mesa. Además, hay que informar inmediatamente al departamento de TI si se produce algún incidente, como la pérdida o robo del dispositivo, para que puedan valorar el impacto y tomar medidas (por ejemplo, revocar accesos o activar un borrado remoto, si es posible).

Bloquea puertos USB en equipos críticos

En equipos que manejan información altamente sensible o que forman parte de infraestructuras clave, una medida muy eficaz es restringir o bloquear completamente los puertos USB. De este modo se evitan fugas de información a través de dispositivos extraíbles y se limita la entrada de malware mediante un simple pendrive.

Esta estrategia es especialmente relevante en servidores, puestos de administración, sistemas industriales o estaciones que tratan datos especialmente protegidos. Se pueden usar soluciones de gestión centralizada para permitir solo determinados dispositivos concretos o para deshabilitar la escritura, de forma que un USB solo sirva para leer, pero no para sacar información.

Control de dispositivos personales (BYOD)

Si en la organización se permite el uso de dispositivos personales para tareas puntuales (por ejemplo, presentar una demo en casa de un cliente), es clave que exista un proceso de autorización por parte del responsable técnico y que esos dispositivos cumplan las políticas corporativas.

Eso implica, como mínimo, que el USB personal esté cifrado, que tenga antivirus activo y actualizado, y que se apliquen procedimientos de borrado seguro cuando se deje de necesitar la información. No se trata solo de “confiar” en la buena voluntad del usuario, sino de tratar esos dispositivos como una extensión del entorno corporativo mientras contengan datos de la empresa.

Crea y cambia contraseñas de acceso periódicamente

Muchos dispositivos USB y discos externos permiten configurar contraseñas o permisos granulares de lectura y escritura. Es recomendable aprovechar estas funciones para limitar quién puede ver o modificar los datos, y para dificultar el acceso en caso de pérdida del soporte.

Estas contraseñas deben ser robustas, únicas y cambiarse con cierta periodicidad, sobre todo en dispositivos que se comparten entre varias personas o que se utilizan fuera de la oficina (reuniones, viajes, congresos, etc.). Como con cualquier otra credencial, nunca se deben apuntar en papel pegado al propio dispositivo ni reutilizar claves usadas en otros servicios.

Analiza con frecuencia tus USB y equipos

Una medida básica pero muy efectiva es realizar análisis frecuentes de los dispositivos extraíbles con herramientas antimalware. Es recomendable automatizar, en la medida de lo posible, el análisis de cualquier pendrive o disco externo en cuanto se conecte al equipo.

El propio sistema operativo puede ayudarnos en esto: herramientas como Microsoft Defender u otras soluciones antivirus de terceros permiten configurar escaneos automáticos o manuales sobre medios extraíbles, así como análisis completos del sistema para detectar infecciones que pudieran estar intentando propagarse a través de USB.

Lleva un inventario de dispositivos y controla su ubicación

En el entorno corporativo, es muy útil mantener un registro actualizado de todos los dispositivos de almacenamiento externo utilizados en la organización. Este inventario debe incluir un identificador o código para cada pendrive, disco duro o tarjeta, junto con su responsable y ubicación habitual.

Periódicamente, se recomienda comprobar dónde se encuentra cada dispositivo, qué contiene y si sigue siendo necesario. Además, lo ideal es impedir técnicamente que dispositivos no registrados puedan conectarse a cualquier equipo de la empresa, usando políticas de control de puertos y soluciones de gestión de dispositivos.

Verifica y prueba los dispositivos en un entorno seguro

Siempre que sea posible, conviene probar los dispositivos USB en un entorno controlado o de laboratorio antes de permitir su uso en la red de producción. Esto es especialmente importante si se trata de dispositivos de procedencia dudosa o que han pasado por múltiples manos.

En un entorno de pruebas se puede realizar un escaneo completo, revisar su comportamiento y confirmar que está actualizado, por ejemplo usando herramientas para preparar USB de arranque y rescate. Si se detectan anomalías, se evita que el dispositivo llegue a conectar con sistemas críticos, reduciendo el riesgo de infección o fuga de datos.

Implanta soluciones DLP (Data Loss Prevention)

Para entornos donde la protección de la información es especialmente crítica, tiene mucho sentido desplegar soluciones de prevención de fuga de datos (DLP, Data Loss Prevention). Estos sistemas permiten controlar qué tipo de información puede copiarse a dispositivos extraíbles, bloquear transferencias no autorizadas o registrar actividades sospechosas.

Un buen DLP puede, por ejemplo, impedir que un usuario descargue bases de datos completas a un pendrive o que se copie información etiquetada como confidencial a un disco personal, incluso si el usuario tiene acceso legítimo a esos datos dentro del sistema.

Formación y concienciación: la mejor defensa

Ninguna política ni solución tecnológica será efectiva si las personas que usan los equipos no entienden los riesgos ni saben qué deben hacer en su día a día. Por eso, la formación y la concienciación son piezas clave para reducir incidentes relacionados con USB maliciosos.

Es muy recomendable organizar campañas internas de sensibilización, charlas y materiales didácticos en los que se expliquen ejemplos reales de ataques con USB, se detallen las buenas prácticas y se aclaren las dudas de los empleados. La idea es que cada usuario se convierta en una línea de defensa adicional y no en un punto débil que el atacante pueda explotar.

Amenazas “USB baiting” y ataques de ingeniería social

Una variante muy común de estos ataques son los denominados “ataques de baiting” o “USB baiting”. En ellos, los ciberdelincuentes dejan pendrives infectados en lugares donde es probable que alguien los recoja: aparcamientos, salas de descanso, pasillos, ascensores, aulas, etc.

La víctima, movida por la curiosidad o por el deseo de ayudar a quien “ha perdido” el dispositivo, conecta el USB a su equipo para ver qué contiene o para intentar identificar al dueño. Al hacerlo, puede disparar la ejecución de un malware que se instala automáticamente o que se activa cuando la persona abre un archivo aparentemente inofensivo (un documento, una presentación, un PDF, etc.).

Para aumentar la efectividad, los atacantes suelen rotular los dispositivos con nombres atractivos como “nóminas 2024”, “bonus directiva”, “fotos personales”, “confidencial”, etc., aprovechando la curiosidad humana. En algunos casos, incluso envían estos USB como si fueran regalos corporativos o material promocional, combinando el baiting con técnicas de ingeniería social.

Consecuencias de conectar un USB infectado

Cuando se inserta un USB malicioso en un equipo, las consecuencias pueden ser muy variadas, pero casi siempre graves. Una de las más peligrosas es el robo de información confidencial almacenada en el ordenador. Si el malware consigue instalarse, puede buscar documentos, carpetas compartidas, credenciales guardadas o datos de aplicaciones, y enviarlos a un servidor controlado por el atacante.

Otro efecto habitual es la instalación de diferentes tipos de malware: keyloggers que registran todo lo que se teclea (incluidas contraseñas y números de tarjeta), spyware que monitoriza la actividad del usuario y realiza capturas de pantalla, o ransomware que cifra los archivos del equipo y exige un rescate económico para devolver el acceso.

Además, el malware puede intentar propagarse a otros dispositivos y equipos conectados. Por ejemplo, al infectar una máquina, se copia automáticamente a todos los USB que se vayan conectando después, o aprovecha la conexión a la red para desplazarse lateralmente a otros ordenadores dentro de la misma organización, multiplicando así el impacto del ataque.

Medidas prácticas para evitar caer en USB maliciosos

No conectes USB de origen desconocido

La regla de oro es simple: no introducir en un equipo ningún USB cuya procedencia no sea totalmente fiable. Que un pendrive venga precintado o tenga buen aspecto no garantiza en absoluto que no haya sido manipulado o infectado con anterioridad.

Si encuentras un dispositivo desconocido, lo más prudente es no conectarlo a tu ordenador habitual ni a ningún equipo de la red corporativa. En entornos organizados, lo ideal es entregarlo al departamento de seguridad o TI para que lo analice en un entorno aislado o, si la política lo marca, desecharlo directamente.

Desactiva la reproducción o ejecución automática

Muchos ataques se aprovechan de las funciones de autoarranque o reproducción automática del sistema operativo, que ejecutan determinados archivos o muestran menús en cuanto conectamos el dispositivo. Desactivar esta opción añade una capa de protección muy útil; además, complementar con reglas personalizadas en AppLocker aumenta la defensa.

Mantén el sistema operativo y el software actualizados

Los desarrolladores de sistemas operativos y aplicaciones publican con frecuencia actualizaciones y parches de seguridad que corrigen vulnerabilidades que el malware podría explotar, incluidas las relacionadas con la ejecución automática desde dispositivos externos.

Es importante activar las actualizaciones automáticas en Windows, macOS, Linux y en las aplicaciones instaladas, o revisar regularmente si hay nuevas versiones disponibles. Un equipo desactualizado es un blanco fácil para amenazas que ya han sido solucionadas en versiones más recientes.

Analiza los dispositivos con antivirus antes de abrirlos

Antes de explorar el contenido de un USB, conviene realizar un escaneo completo con una solución de seguridad confiable. Muchas suites permiten configurar análisis automáticos cuando se detecta un nuevo dispositivo; si no es así, se puede lanzar manualmente el escaneo desde el propio antivirus.

Además de las soluciones integradas como Microsoft Defender, existen programas especializados en detección y eliminación de malware, tanto de pago como gratuitos (por ejemplo, herramientas dedicadas tipo Malwarebytes en su versión sin coste). Aunque la licencia de pago añada funciones avanzadas, incluso las versiones gratuitas suponen una buena capa extra de protección para detectar amenazas frecuentes.

Evita copiar archivos ejecutables desde fuentes dudosas

Los archivos ejecutables (como .exe, .bat, .msi u otros similares) son especialmente delicados, ya que pueden instruir al sistema para realizar acciones sin conocimiento del usuario. Copiar este tipo de ficheros desde un USB cuya procedencia no está clara es una forma directa de meter malware en el equipo.

Cuando necesites software o instaladores, descárgalos siempre desde las webs oficiales de los fabricantes o de repositorios de confianza, y no confíes en versiones empaquetadas en pendrives o discos externos que hayan pasado por varias manos.

Separa claramente el uso personal y el profesional

Es muy tentador utilizar el mismo pendrive para llevar archivos personales y documentos de trabajo, pero es una mala práctica. Lo recomendable es usar USB distintos para el entorno laboral y para el uso personal, y no mezclarlos jamás.

Esto reduce varios riesgos: si un USB personal se infecta en un ciber café, un ordenador público, una universidad o en casa de un amigo, esa infección no se trasladará automáticamente al entorno corporativo. Y, a la inversa, si un dispositivo profesional contiene datos sensibles, no se expondrá innecesariamente en equipos domésticos o ajenos a la empresa.

Protección adicional del equipo frente a amenazas en general

Además de las medidas específicas para USB, conviene reforzar la seguridad general del dispositivo para minimizar otros vectores de ataque que los ciberdelincuentes suelen combinar con el uso de pendrives maliciosos.

Instala y mantén un buen antivirus o antimalware

Un antivirus actualizado es una de las herramientas fundamentales para prevenir infecciones. En el caso de Windows, Microsoft Defender viene integrado y se actualiza de forma automática. También se puede optar por soluciones de terceros según las necesidades.

La clave es que el antimalware esté siempre activo, con protección en tiempo real y con las últimas firmas de virus. De este modo detectará muchos de los intentos de infección, tanto desde USB como desde otros orígenes (navegación web, correo electrónico, descargas, etc.).

Gestiona correctamente las cuentas de usuario

En los equipos compartidos o de empresa, es vital no trabajar siempre con una cuenta de administrador. Esta cuenta debe reservarse únicamente para tareas específicas: instalar software, modificar configuraciones importantes del sistema o crear nuevos usuarios.

Para el uso habitual, es más seguro utilizar una cuenta con permisos limitados. Así, si un malware intenta ejecutarse desde un USB o desde otro vector, se encontrará con más barreras para hacer cambios profundos en el sistema.

Control de cuentas de usuario (UAC) y protección contra alteraciones

En Windows, funciones como el Control de Cuentas de Usuario (UAC) ayudan a detener aplicaciones que quieren hacer cambios importantes sin nuestro consentimiento, mostrando avisos claros que nos permiten aceptar o rechazar la acción.

Otra capa extra es la protección contra alteraciones de la configuración de seguridad, que impide que programas no autorizados desactiven el antivirus o modifiquen ajustes críticos. Mantener estas funciones activadas complica enormemente el trabajo a los atacantes que intentan aprovecharse de un USB malicioso.

Usa bloqueadores de ventanas emergentes y filtros de reputación

Muchos ataques comienzan fuera del USB, a través del navegador. Tener un bloqueador de pop-ups y filtros como SmartScreen en navegadores modernos (por ejemplo, en Microsoft Edge) contribuye a detener páginas maliciosas, descargas peligrosas y enlaces de phishing.

Las ventanas emergentes y sitios sin buena reputación suelen ser puntos de partida para descargar malware que luego se copia a un USB, propagándolo después a otros ordenadores. Si cortamos ese origen, reducimos también el riesgo vinculado a los dispositivos extraíbles.

Realiza copias de seguridad periódicas

Independientemente de lo bien que nos protejamos, ningún sistema es infalible. Por eso es crítico tener copias de seguridad actualizadas de la información importante, almacenadas en medios alternativos y seguros: otros discos, USB dedicados solo a backups, DVDs o servicios en la nube de confianza.

Si sufrimos un incidente grave (por ejemplo, un ransomware que cifra los archivos o un fallo de hardware), estas copias pueden ser la única forma fiable de recuperar la información. Eso sí, los soportes de backup también deben gestionarse con seguridad y, preferiblemente, almacenarse cifrados y desconectados cuando no se estén usando.

Configura y usa contraseñas seguras

Las contraseñas siguen siendo la llave de acceso a nuestros servicios y equipos. Utilizar claves débiles o reutilizadas en múltiples sitios facilita muchísimo el trabajo de los atacantes, más aún si han conseguido colar un keylogger mediante un USB infectado.

Es recomendable usar contraseñas largas, complejas y diferentes para cada servicio, idealmente gestionadas con un gestor de contraseñas. De este modo, aunque un atacante robe una clave en un contexto concreto, no podrá reutilizarla para acceder a otros servicios o cuentas.

Borrado seguro y destrucción de la información en USB

Otro aspecto que suele pasarse por alto es la forma en la que eliminamos la información de los dispositivos extraíbles. Borrar archivos con los comandos del sistema operativo o formatear rápidamente una memoria no garantiza que los datos desaparezcan por completo.

Con las herramientas adecuadas, es posible recuperar información de un USB formateado o de ficheros borrados y sacados de la papelera de reciclaje. Por eso, si el dispositivo ha contenido datos sensibles o confidenciales, hay que aplicar técnicas de borrado seguro cuando ya no se vaya a usar o antes de desecharlo.

Entre los métodos de borrado seguro podemos encontrar la destrucción física del dispositivo (romperlo de forma que la memoria interna sea irrecuperable), la desmagnetización en soportes magnéticos, la sobreescritura de los datos con patrones aleatorios múltiples veces o el borrado criptográfico, que consiste en destruir las claves que permiten descifrar la información cifrada.

La elección de un método u otro dependerá del tipo de dispositivo y del nivel de sensibilidad de la información. En contextos con altos requisitos de seguridad, lo más habitual es combinar cifrado desde el primer momento con destrucción física final del soporte.

Cuando se combina una buena política interna, dispositivos cifrados y un procedimiento riguroso de borrado seguro, el margen que queda a los atacantes para recuperar información de antiguos USB o discos descartados se reduce drásticamente.

Integrar todas estas precauciones en la rutina diaria de uso de pendrives y soportes extraíbles, sumadas a un sistema bien protegido y a usuarios formados, permite que el simple gesto de conectar un USB deje de ser una lotería y se convierta en una acción controlada, reduciendo al mínimo las opciones de que un dispositivo malicioso ponga patas arriba nuestros equipos o la red de la organización. Comparte esta información para que más usuarios conocan del tema.

Los incidentes de ciberseguridad ya no son algo excepcional ni “cosas que les pasan a las grandes corporaciones”. Cada día, miles de empresas sufren accesos no autorizados, filtraciones de datos, ransomware o fraudes por correo que paralizan su actividad, dañan su reputación y generan costes difíciles de digerir.

Si quieres que tu organización no forme parte de esas estadísticas, necesitas un checklist claro de qué revisar tras un incidente de ciberseguridad y, a la vez, una lista de comprobación para prevenir, auditar y reforzar tu postura de seguridad. En las siguientes líneas encontrarás una guía muy completa, basada en marcos como NIST, buenas prácticas de auditoría, primeros auxilios digitales (ICER) y obligaciones legales como el RGPD, explicada en un lenguaje cercano y pensada para pymes y empresas de cualquier tamaño.

¿Qué es un incidente de ciberseguridad y cómo reconocerlo?

Un incidente de ciberseguridad es cualquier evento que pone en riesgo la confidencialidad, integridad o disponibilidad de tus datos o sistemas. Puede ser fruto de un ataque intencionado (ransomware, phishing, intrusiones) o de errores humanos y fallos técnicos, pero en todos los casos impacta en tu negocio.

Para considerar algo como incidente, conviene fijarse en varios parámetros clave que sirven de referencia práctica:

• Confidencialidad comprometida: acceso no autorizado a datos sensibles (clientes, empleados, financieros, propiedad intelectual…).
• Integridad comprometida: alteración, borrado o manipulación de información o configuraciones sin autorización.
• Disponibilidad comprometida: caídas de servicios, bloqueo de aplicaciones críticas o cifrado de datos que impiden trabajar con normalidad.
• Acceso no autorizado: conexiones a la red o a sistemas desde ubicaciones, usuarios o dispositivos que no deberían entrar.
• Pérdida de datos: desaparición, destrucción o filtración de información relevante, sea por fallo o por acción maliciosa.
• Actividades inusuales: picos de tráfico extraños, consumo de recursos anómalo, envíos masivos de correo o cambios de configuración inexplicables.
• Explotación de vulnerabilidades: aprovechamiento de fallos de software, sistemas sin parchear o malas configuraciones para colarse en tu entorno.

Ejemplos habituales de incidentes de seguridad

Los atacantes aprovechan tanto debilidades técnicas como errores humanos. Algunos escenarios muy comunes que deberías tener siempre en el radar son:

• Robo de identidad digital: obtención de credenciales, datos bancarios o información personal para suplantar a empleados, proveedores o directivos.
• Phishing y fraudes por correo: mensajes que imitan a bancos, proveedores o compañeros de trabajo para que compartas datos, hagas clic en enlaces o cambies cuentas bancarias para pagos.
• Malware y ransomware: software malicioso que se instala por una descarga, un adjunto o una web comprometida y que puede cifrar datos, espiar, robar información o tomar el control del equipo.
• Ataques DDoS: saturación de tu web o servicios online mediante tráfico masivo para dejarlos fuera de servicio.
• Explotación de vulnerabilidades: uso de fallos en sistemas operativos, aplicaciones o dispositivos de red sin parchear para entrar o escalar privilegios.
• Intrusión en la red: acceso a la red interna desde el exterior o desde dispositivos no autorizados, a menudo como puerta de entrada a datos críticos.
• Pérdida o robo de dispositivos: portátiles, móviles o USB con información sensible que se pierden o son sustraídos sin estar correctamente cifrados.
• Exfiltración de datos: salida silenciosa de información confidencial hacia servidores externos, ya sea por un atacante o por un empleado descontento. Ejemplos recientes muestran la gravedad de estos casos.
• Ingeniería social: manipulación de personas para que revelen credenciales, aprueben pagos o instalen software aparentemente legítimo.
• Fraude interno: uso indebido de accesos privilegiados por parte de personal interno para sacar partido económico o dañar la empresa.

Primeros auxilios digitales: método ICER tras un incidente

Los primeros minutos tras detectar algo raro son clave: actuar sin orden puede agravar la situación. Aquí es donde entra la metodología ICER (Identificar, Contener, Erradicar y Recuperar), una especie de “primeros auxilios digitales” muy aplicable en pymes.

1. Identificar: detectar que algo va mal

En esta fase buscas confirmar que efectivamente hay un incidente y acotar qué está afectado. Conviene:

• Anotar qué dispositivos, usuarios, servidores o servicios están dando problemas.
• Recoger mensajes de error, alertas de antivirus, avisos del firewall o del sistema de monitorización.
• Preguntar a los usuarios qué estaban haciendo justo antes de notar el fallo.

2. Contener: evitar que el daño se extienda

El objetivo aquí es poner una barrera al incidente con acciones sencillas pero efectivas:

• Desconectar de la red (cable y wifi) los equipos sospechosos.
• Deshabilitar cuentas comprometidas o cambiar contraseñas desde otro dispositivo limpio.
• Limitar temporalmente el acceso a servicios críticos mientras se analiza el alcance.

3. Erradicar: eliminar la causa raíz

Una vez controlado el alcance, toca limpiar y asegurarse de que no quedan restos del ataque:

• Pasar herramientas de análisis y desinfección fiables o apoyarse en soporte especializado.
• Revisar configuraciones, servicios en segundo plano y tareas programadas sospechosas.
• Aplicar parches de seguridad pendientes y corregir las vulnerabilidades detectadas.

4. Recuperar: volver a la normalidad con seguridad

La última fase consiste en restaurar la operativa de forma controlada y con vigilancia extra:

• Restaurar sistemas y datos desde copias de seguridad comprobadas, evitando reutilizar imágenes potencialmente contaminadas.
• Verificar que los servicios críticos funcionan como antes y que los usuarios pueden trabajar.
• Monitorizar durante un tiempo para detectar comportamientos anómalos o intentos de reataque.

Checklist detallado de respuesta a incidentes (marco NIST)

Para ir más allá del “apaga fuegos” puntual es muy útil apoyarse en el marco del NIST Cybersecurity Framework, que estructura el ciclo de seguridad en cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar. A continuación, tienes una lista de comprobación extensa basada en estas funciones que puedes usar tanto para prepararte como para revisar lo ocurrido tras un incidente.

1. Identificar (ID): saber qué tienes y qué te importa

La base de todo es conocer qué activos son críticos y qué riesgos reales existen. Dentro de esta fase conviene revisar:

Inventario de activos críticos

• Listar y mantener al día todos los activos de TI: servidores, PCs, móviles, aplicaciones, servicios en la nube y dispositivos de red.
• Marcar claramente qué datos son sensibles (personales, financieros, propiedad intelectual, etc.).
• Documentar propietario, ubicación y función de cada activo.
• Clasificar activos según criticidad para el negocio (alto, medio, bajo).
• Revisar y actualizar el inventario periódicamente, no solo “cuando hay tiempo”.

Evaluación de amenazas y vulnerabilidades

• Realizar análisis de vulnerabilidades con herramientas específicas de forma regular.
• Identificar amenazas internas (errores humanos, accesos indebidos) y externas (malware, ataques dirigidos, ransomware).
• Valorar probabilidad e impacto de cada riesgo y priorizar en función del negocio.
• Documentar resultados y compartirlos con dirección y responsables técnicos.

Relación con terceros y proveedores

• Identificar todos los proveedores que acceden a tus sistemas o gestionan datos por tu cuenta.
• Revisar medidas de seguridad, contratos y SLA, asegurando cláusulas de ciberseguridad y notificación de incidentes, siguiendo las exigencias de la UE.
• Incluir a estos terceros en tu análisis de riesgos y en tus planes de respuesta.

Clasificación por criticidad de datos y sistemas

• Definir criterios de clasificación (público, interno, confidencial, restringido, por ejemplo).
• Aplicar la clasificación a información, aplicaciones y bases de datos.
• Ajustar controles de seguridad (accesos, cifrado, copias) según el nivel asignado.

2. Proteger (PR): barreras y hábitos para minimizar daños

La fase de protección se centra en poner trabas a los atacantes y reducir el impacto si logran entrar. Aquí el checklist se fija en:

Controles de acceso y autenticación

• Políticas de contraseñas robustas (longitud, complejidad, caducidad razonable) y uso extendido de MFA.
• Controles basados en roles, aplicando el principio de mínimo privilegio de forma estricta.
• Revisión periódica de accesos y permisos, especialmente los privilegiados.
• Baja inmediata de cuentas de empleados que abandonan la empresa o cambian de función.

Cifrado de datos

• Uso de protocolos seguros (SSL/TLS) para todo tráfico web, VPN y servicios críticos.
• Cifrado de discos en portátiles, servidores y dispositivos móviles que almacenan datos sensibles.
• Cifrado de copias de seguridad y control de quién tiene acceso a las claves.

Formación y concienciación del personal

• Programa de formación continua en ciberseguridad adaptado al tipo de puesto.
• Simulacros periódicos de phishing para medir y mejorar la reacción de la plantilla.
• Materiales sencillos que expliquen cómo detectar correos sospechosos, webs falsas o solicitudes raras de datos.

Mantenimiento y actualización

• Calendario claro de actualización de sistemas operativos, aplicaciones y firmware.
• Aplicación rápida de parches críticos de seguridad.
• Revisión de configuraciones para evitar servicios innecesarios o ajustes inseguros por defecto.

3. Detectar (DE): enterarte a tiempo de que algo pasa

Sin detección temprana, un ataque puede campar a sus anchas durante semanas. Esta fase del checklist incluye:

Sistemas de detección y monitorización

• Uso de IDS/IPS o funcionalidades equivalentes en firewalls de nueva generación.
• Integración de registros en un SIEM o herramienta similar para correlacionar eventos.
• Monitorización de tráfico de red y comportamiento anómalo de equipos y usuarios.

Gestión de logs y eventos

• Centralización de logs de sistemas, aplicaciones críticas, firewalls y dispositivos de seguridad.
• Políticas de retención acordes a normativa y necesidades de análisis forense.
• Revisión periódica de eventos relevantes y ajustes para reducir ruido y falsos positivos.

Alertas y pruebas de detección

• Definir umbrales claros para generar alertas (intentos de login fallidos, picos de tráfico, cambios masivos…).
• Probar regularmente las alertas para confirmar que llegan a las personas adecuadas.
• Realizar ejercicios de simulación de ciberataques para comprobar tiempos de reacción.

4. Responder (RS): qué hacer cuando el incidente ya está encima

Responder bien marca la diferencia entre un susto serio y una crisis prolongada. Esta parte del checklist se centra en tener el plan preparado y ensayado antes de necesitarlo.

Plan de respuesta a incidentes

• Documento claro que defina fases, pasos, responsables y criterios de escalado.
• Clasificación de incidentes por severidad con acciones asociadas a cada nivel.
• Procedimientos para preservar evidencias (logs, imágenes de sistemas) sin contaminar la escena.

Equipo de respuesta (IRT / CSIRT interno)

• Nombramiento de un responsable de incidentes con autoridad para coordinar decisiones.
• Asignación de roles técnicos, de comunicación, legales y de negocio.
• Listado actualizado de contactos internos y externos (proveedores TI, seguros, asesoría legal, autoridades, etc.).

Contención y erradicación

• Guías prácticas para aislar equipos, cortar accesos, desactivar servicios o bloquear dominios/IP maliciosos.
• Checklist de limpieza: herramientas aprobadas, pasos de análisis, reinstalación o restauración cuando sea necesario.
• Confirmación de que la amenaza ha sido eliminada antes de volver a poner sistemas en producción.

Documentación y reporting

• Registro detallado de lo ocurrido: cuándo se detecta, qué se ve afectado, acciones realizadas y decisiones tomadas.
• Informes internos para dirección con impacto, coste estimado y causas raíz.
• Preparación de comunicaciones externas cuando hagan falta (clientes, proveedores, medios).

5. Recuperar (RC): continuidad del negocio y lecciones aprendidas

La recuperación no es solo levantar sistemas: es garantizar que la empresa sigue funcionando y que no repites el mismo error en dos meses.

Planes de continuidad y recuperación ante desastres

• Plan BCP/DR documentado que priorice servicios críticos y tiempos máximos de parada aceptables (RTO) y de pérdida de datos (RPO).
• Identificación de recursos mínimos (personas, tecnología, proveedores) necesarios para operar en modo degradado.
• Pruebas regulares del plan, incluyendo simulacros que afecten a varios departamentos.

Restauración de sistemas y datos

• Estrategia clara de copias de seguridad: frecuencia, tipo (completa, incremental), ubicación (local, nube, híbrida) y cifrado.
• Pruebas de restauración periódicas para asegurarse de que las copias son realmente utilizables.
• Revisión de integridad de los datos restaurados y validación funcional por parte de los usuarios.

Evaluación de daños y mejora continua

• Análisis post-incidente para determinar causas técnicas y organizativas.
• Estimación de impacto financiero, operatividad perdida y daños reputacionales.
• Actualización de políticas, procedimientos y controles técnicos en función de las lecciones aprendidas.

Comunicación con partes interesadas

• Información periódica a dirección sobre el estado de la recuperación.
• Mensajes claros y honestos a clientes, proveedores o socios cuando proceda.
• Coordinación con autoridades y reguladores si el incidente implica datos personales o servicios esenciales.

RGPD, brechas de datos y qué mira la AEPD

Cuando un incidente afecta a datos personales, no solo tienes un problema técnico: entras en el terreno del RGPD y de la Agencia Española de Protección de Datos (AEPD). Aquí el checklist debe incluir requisitos legales muy concretos.

El RGPD exige, entre otras cosas, que la organización documente los tratamientos de datos, aplique medidas adecuadas al riesgo, disponga de un procedimiento de gestión de brechas y, cuando corresponda, notifique la incidencia a la AEPD en un máximo de 72 horas. Si el riesgo para las personas es alto, también habrá que informarles individualmente.

Cuando se produce una brecha, la AEPD no solo mira el resultado, sino cómo te habías preparado y cómo has reaccionado. Valora:

• Si existía un cumplimiento RGPD real, con análisis de riesgos, registros de actividades y medidas técnicas y organizativas razonables.
• Si el personal estaba formado para reconocer incidentes y actuar correctamente.
• Si la empresa actuó con diligencia: contención rápida, análisis, documentación y notificación cuando procedía.
• El grado de cooperación con la propia AEPD durante la investigación.

Por eso, incorporar la dimensión legal a tu checklist de ciberseguridad (contratos con proveedores, políticas internas, registro de incidentes, formación) no es un extra, sino una parte central de la gestión del riesgo.

Checklist de auditoría de ciberseguridad: 3 ejes que debes revisar

Más allá de actuar cuando ya hay un problema, necesitas una lista de verificación para auditar tu ciberseguridad con frecuencia. Muchas guías coinciden en tres pilares fundamentales: infraestructura técnica, procesos y políticas, y personas y cultura.

1. Infraestructura y sistemas

Este bloque se centra en los cimientos tecnológicos de la empresa:

• Actualización y parcheo constante de sistemas, aplicaciones y dispositivos.
• Firewalls correctamente configurados, idealmente de nueva generación, con reglas revisadas periódicamente.
• Antivirus y soluciones EDR centralizadas y actualizadas para detectar comportamientos sospechosos.
• Cifrado de datos sensibles en tránsito y en reposo.
• Copias de seguridad automáticas, externas al entorno principal y con restauraciones probadas.
• Segmentación de la red en VLAN para limitar movimientos laterales de un posible atacante.
• Control de dispositivos externos (USB, discos portátiles) y de móviles y portátiles en modelo BYOD.

2. Procesos y políticas

Aquí se analiza si tu empresa tiene normas claras y se siguen en el día a día:

• Política de seguridad de la información documentada y actualizada.
• Plan de respuesta ante incidentes que se conoce, se ha ensayado y se revisa.
• Gestión de accesos según el principio de mínimo privilegio, con altas y bajas bien controladas.
• Evaluación de proveedores y terceros para asegurarse de que cumplen requisitos de seguridad mínimos.
• Revisión de logs y auditorías internas de forma programada.
• Cumplimiento de normas y marcos como ISO 27001, ENS, RGPD o LOPDGDD cuando apliquen.

3. Personas y cultura

La experiencia demuestra que el factor humano es el origen de muchos incidentes, pero también puede ser tu mejor defensa si trabajas la cultura interna:

• Formación periódica y práctica para todo el personal, incluyendo temas de seguridad en las redes, adaptada a cada rol.
• Simulacros de phishing y ejercicios de concienciación con feedback concreto.
• Políticas sobre uso de dispositivos personales, teletrabajo y acceso remoto.
• Procedimientos claros de incorporación y salida de empleados (altas y bajas de accesos, devolución de equipos, etc.).
• Canal interno sencillo para reportar comportamientos sospechosos sin miedo a represalias.
• Mensajes desde dirección que refuercen que la ciberseguridad es un tema de todos, no solo del departamento de IT.

Checklist rápido de preparación ante incidentes graves

Si quieres un pequeño “atajo” ejecutivo para saber si tu empresa está mínimamente preparada para un incidente serio, puedes hacerte estas preguntas clave:

• ¿Tenemos localizados los datos críticos, un plan de respuesta documentado y un equipo que sepa qué hacer ante un ataque?
• ¿Usamos MFA en los sistemas esenciales (correo, VPN, acceso remoto, aplicaciones de negocio)?
• ¿Disponemos de copias de seguridad cifradas, externas al entorno principal y con pruebas de restauración recientes?
• ¿Hemos revisado contratos y medidas de seguridad de nuestros proveedores más críticos?
• ¿La plantilla distingue un correo de phishing y sabe a quién avisar si ve algo raro?

Si a varias de estas preguntas la respuesta es dudosa, es una señal clara de que tu checklist de ciberseguridad necesita pasar a la acción cuanto antes.

Tener un buen checklist de qué revisar tras un incidente de ciberseguridad y usarlo con regularidad como herramienta de prevención, auditoría y mejora continua marca una gran diferencia en la resiliencia digital de cualquier empresa; cuando combinas marcos como NIST, metodologías prácticas como ICER, obligaciones RGPD y una cultura interna bien trabajada, transformas la ciberseguridad de un conjunto de parches técnicos a un sistema coherente que reduce riesgos, acelera la recuperación y protege tanto tu negocio como la confianza de tus clientes. Comparte esta información para que más usuarios conozcan del tema.

Vivimos pegados al móvil, al correo y a decenas de servicios online, pero muchas veces no tenemos ni idea de si nuestras cuentas han aparecido en una filtración de datos. Bases de datos con correos, contraseñas, teléfonos o incluso información bancaria se venden y se intercambian a diario, y cuando queremos darnos cuenta, el desastre ya está hecho.

La buena noticia es que hoy en día resulta bastante sencillo comprobar si tus cuentas han sido filtradas y reaccionar a tiempo. Existen varias herramientas fiables, técnicas integradas en navegadores y gestores de contraseñas, e incluso funciones en tu propio móvil que te ayudan a detectar si tus claves han quedado expuestas y qué pasos debes seguir para blindar tu seguridad digital.

¿Por qué te interesa saber si tus cuentas han sido filtradas?

Uno de los grandes problemas es que, aunque no lo veamos, alguien puede estar espiando tus finanzas, tu vida laboral o tus cuentas personales a partir de una simple filtración de datos. Millones de combinaciones de correo y contraseña circulan por Internet, y los ciberdelincuentes las usan de forma masiva para intentar colarse en todo tipo de servicios, desde redes sociales hasta tu banca online.

El fallo más repetido es de manual: usar la misma contraseña en muchas webs. Es comodísimo, pero un auténtico regalo para los atacantes. Si, por ejemplo, se filtra tu cuenta de un servicio cualquiera (correo, tienda online, red social) y va acompañada de la contraseña, un atacante probará esa misma combinación de correo y clave en otros sitios donde sospeche que puedes estar registrado. Si repites esa contraseña, les acabas de abrir la puerta de par en par.

Por eso es tan importante detectar a tiempo si alguna credencial que sueles reutilizar ha salido a la luz. No se trata solo de cambiar la contraseña del servicio afectado: tendrás que modificarla en todos los sitios donde uses esa misma clave (o muy parecida) para que un solo fallo no se convierta en un efecto dominó.

¿Cómo funcionan las bases de datos de contraseñas filtradas?

Cuando un servicio sufre una brecha de seguridad, a menudo sus datos acaban en manos de atacantes que los aglutinan en enormes bases de datos con millones o miles de millones de registros. En ellas aparecen correos electrónicos, nombres de usuario y, normalmente, las contraseñas en forma de hash (una huella matemática cifrada), aunque no siempre están bien protegidas.

Estos ficheros pueden pesar varios terabytes y agrupar filtraciones de muchos años distintos. Los registros se etiquetan según la fuente y la fecha aproximada de la brecha, y son el combustible perfecto para ataques automatizados: scripts y bots que prueban combinaciones de correo y contraseña en cientos o miles de páginas de forma casi industrial.

Cuando reutilizas una clave, basta con que acierten una sola vez en un servicio para que empiecen a probar esa misma contraseña (o variantes) en el resto. A esto se le llama credential stuffing y es una de las técnicas favoritas de los atacantes actuales, porque aprovecha datos reales ya robados en el pasado en lugar de intentar adivinar contraseñas aleatoriamente.

No todo son malas noticias: los expertos en ciberseguridad también utilizan estas filtraciones. Proyectos serios se apoyan en bases de datos de brechas conocidas y en comparaciones de hashes para ofrecer herramientas que te permiten consultar si tus datos están comprometidos sin exponer de nuevo tu correo o tu contraseña en texto plano.

Herramientas para comprobar si tu correo o contraseña se han filtrado

Hoy en día no hace falta instalar nada raro para saber si tus cuentas forman parte de una brecha. Existen servicios web, soluciones integradas en navegadores y gestores de contraseñas que chequean tus credenciales frente a bases de datos gigantescas de filtraciones.

Have I Been Pwned: la referencia mundial

Have I Been Pwned (HIBP) es probablemente la herramienta más conocida para consultar si tu correo o contraseña han sido expuestos. Es un proyecto de Troy Hunt, experto en seguridad que lleva años recopilando de forma responsable filtraciones de todo el mundo y poniéndolas a disposición de los usuarios.

Su funcionamiento es muy sencillo: entras en haveibeenpwned.com, escribes tu dirección de correo en el cuadro de búsqueda y pulsas para iniciar la comprobación. En segundos, el sistema revisa tu email frente a miles de millones de registros procedentes de fugas de datos. Si el fondo se muestra en verde, no se ha encontrado tu correo en las brechas conocidas; si se tiñe de rojo, significa que ese email aparece en una o varias filtraciones.

Desplazándote hacia abajo, verás en qué servicios y en qué incidentes se ha visto implicado tu correo, con fechas aproximadas y detalles básicos. Además, HIBP permite suscribirte con tu email para recibir avisos automáticos cuando se detecten nuevas brechas donde aparezca tu dirección.

Esta plataforma ha dado que hablar porque trabaja con datos muy sensibles. Su creador ha insistido siempre en la transparencia: explica de dónde obtiene las filtraciones, cómo las procesa y subraya que no almacena los correos que introduces para consultar. De hecho, el proyecto se ha vuelto de código abierto y colabora con organizaciones como el FBI para mejorar la seguridad global.

Cybernews: otra gran base de datos de credenciales expuestas

Otra opción muy utilizada es la herramienta gratuita de Cybernews, que permite comprobar si tu correo y tus credenciales aparecen en una enorme recopilación de filtraciones. Su base de datos agrupa alrededor de 3.200 millones de combinaciones de email y contraseña obtenidas a partir de brechas y bases de datos robadas.

El proceso es igual de simple: accedes a la web de Cybernews, escribes tu dirección de email en la barra que indica “enter your email” y pulsas el botón CHECK NOW. En pocos segundos sabrás si tu correo se encuentra en esa gigantesca base de datos. La empresa indica que no almacena ni registra los correos que introduces, algo clave para mantener la confianza del usuario.

Si tu dirección aparece en alguna filtración, la propia herramienta te muestra un mensaje de aviso y las brechas donde se ha visto comprometida. Suele ir acompañada de recomendaciones básicas para que sepas cómo actuar: cambio inmediato de contraseña, revisión de otras cuentas vinculadas, activación de 2FA, etc.

Otras webs especializadas y servicios adicionales

Además de HIBP y Cybernews, tienes a tu disposición otras plataformas más específicas o centradas en datos concretos. Por ejemplo, DeHashed permite buscar filtraciones por IP, email, nombre de usuario o número de teléfono, y muestra estadísticas con el enorme volumen de cuentas comprometidas que alberga.

También existen servicios como Secureito, con una página muy sencilla donde introduces tu correo electrónico y recibes un mensaje indicando si han encontrado filtraciones asociadas a esa dirección. Si aparece alguna brecha, recomiendan cambiar contraseñas y revisar la actividad en las cuentas afectadas.

Otra herramienta interesante es Identity Leak Checker, que, aunque está en inglés, resulta fácil de usar. Escribes tu email en el campo indicado y la web te envía un informe por correo electrónico detallando si se han divulgado tus datos personales (incluidos teléfono, fecha de nacimiento o dirección) y qué riesgo existe de que tu cuenta haya sido o pueda ser hackeada.

Firefox Monitor y otros servicios integrados en navegadores

Además de las webs independientes, los propios navegadores han empezado a incorporar comprobaciones automáticas de contraseñas filtradas. Mozilla ofrece Firefox Monitor, un servicio vinculado a HIBP que te permite consultar tus correos y recibir alertas cuando se detecten nuevas filtraciones donde aparezcan.

Chrome incluye funciones como Password Checkup o comprobación de contraseñas en su gestor integrado, que revisan las claves guardadas y te avisan si alguna ha sido expuesta, es débil o se está reutilizando demasiado. Microsoft Edge cuenta con Password Monitor, con un enfoque muy similar.

Incluso si no utilizas gestores externos, es muy recomendable aprovechar estos chequeos automáticos del navegador, ya que te avisarán cuando una contraseña guardada se encuentre en una base de datos de filtraciones conocida y podrás cambiarla antes de que alguien la explote.

Gestores de contraseñas y comprobaciones desde el móvil

Si tienes muchas cuentas, lo más cómodo y seguro es recurrir a un gestor de contraseñas serio. Herramientas como 1Password, Dashlane, LastPass, Bitwarden, KeePass o Passwarden guardan tus claves de forma cifrada, generan contraseñas robustas y, en muchos casos, incluyen funciones de vigilancia en la dark web.

En 1Password, por ejemplo, tienes Watchtower, que te avisa si alguna contraseña guardada ha sido filtrada, si la estás reutilizando o si es demasiado débil. LastPass ofrece Dark Web Monitoring y Dashlane incluye Dark Web Insights, que usan comparaciones cifradas con bases de datos de filtraciones para lanzar alertas proactivas si tus datos aparecen en nuevas brechas.

Si no quieres instalar nada adicional, los propios sistemas operativos móviles también ayudan. En Android puedes usar el gestor de contraseñas de Google (Google Password Manager) para revisar las claves que tienes guardadas en tu cuenta de Google y detectar filtraciones, contraseñas inseguras o repetidas. En iOS, en la sección de Contraseñas de los ajustes, encontrarás avisos cuando alguna clave almacenada esté en riesgo por haber aparecido en una fuga de datos.

Controversia y riesgos al usar herramientas de comprobación

Aunque estas webs y servicios son muy útiles, llevan años generando debate. Hay quien sostiene que introducir tu correo en una página externa ya plantea dudas de privacidad, incluso aunque el proveedor asegure que no registra ni almacena nada. Además, muchas de estas bases de datos provienen de filtraciones que también circulan por foros de la dark web, lo que añade otro punto delicado.

Los responsables de proyectos como Have I Been Pwned recalcan la transparencia sobre el origen de sus datos y el tratamiento que les dan, e incluso han abierto su código y colaboran con organismos oficiales para ganar credibilidad. Aun así, algunos usuarios avanzados prefieren combinar estas herramientas con buenas prácticas de seguridad permanentes en lugar de depender exclusivamente de ellas.

En cualquier caso, más allá de la polémica, la realidad es que estas comprobaciones son una ayuda extra, no un sustituto de cambiar contraseñas con cierta frecuencia, usar claves únicas, activar la autenticación en dos pasos y mantener un ojo encima de tus cuentas más sensibles.

Qué pueden hacer con tus datos cuando se filtran

Cuando tu correo, contraseña y otros datos personales acaban en una de estas bases de datos, las posibilidades de abuso son muchas. Con acceso a tu email, un atacante podría cambiar contraseñas de otros servicios, leer mensajes privados o acceder a información bancaria si la tienes vinculada a esa dirección.

También es frecuente que estos datos se vendan o compartan en la dark web, donde otros ciberdelincuentes los aprovechan para campañas de phishing dirigidas, suplantación de identidad, fraudes financieros o envío masivo de spam. Si además se filtran números de tarjeta de crédito, direcciones físicas o datos laborales, el riesgo se multiplica.

Otro escenario preocupante es que utilicen tu correo para lanzar ataques de phishing a tus contactos personales o laborales. Al venir los mensajes supuestamente de ti, tus contactos confían más y es más fácil que caigan en trampas, descargas maliciosas o enlaces fraudulentos. Esto puede dañar tus relaciones, tu reputación profesional e incluso tener consecuencias legales.

Credential stuffing: el ataque silencioso que aprovecha tus errores

El credential stuffing es un tipo de ataque que explota directamente el mal hábito de repetir contraseñas. En lugar de intentar adivinar claves, los atacantes trabajan con listas reales de credenciales robadas en incidentes previos. Con esas combinaciones de correo y contraseña alimentan bots que las prueban, a toda velocidad, en infinidad de webs y servicios.

Estos bots son capaces de cambiar de dirección IP, imitar el comportamiento de usuarios legítimos y apoyarse en técnicas de inteligencia artificial para evitar bloqueos y sistemas de seguridad. Como hacen miles de intentos repartidos en muchas plataformas, resulta difícil detectarlos a simple vista.

El riesgo es alto porque las credenciales son auténticas: si usas la misma clave en varios sitios, una pequeña filtración se transforma en un problema enorme. De ahí que los expertos insistan en no reutilizar contraseñas y en acompañarlas siempre que puedas de autenticación en dos pasos.

Qué hacer si descubres que tus cuentas han sido filtradas

Enterarte de que tu correo o tus contraseñas han aparecido en una base de datos de filtraciones puede asustar, pero lo importante es actuar rápido y con cabeza. No significa que ya hayan entrado en tus cuentas, pero sí que tienen las herramientas para intentarlo.

1. Cambia la contraseña afectada (y todas las que compartan esa clave)

Lo primero es modificar de inmediato la contraseña de la cuenta comprometida, creando una combinación completamente nueva, larga y robusta que no hayas usado en ningún otro servicio. Si esa clave (o una muy parecida) se reutilizaba en más sitios, tendrás que actualizar también todas esas cuentas.

Para construir buenas contraseñas, lo ideal es mezclar mayúsculas, minúsculas, números y símbolos y apuntar a una longitud mínima de 12 caracteres. Puedes apoyarte en generadores de contraseñas, ya sean integrados en tu navegador, en tu gestor de contraseñas o en webs especializadas que no mantengan registros de lo que generan.

2. Cierra sesiones activas y revisa inicios de sesión recientes

En muchos servicios (correo, redes sociales, plataformas de streaming, etc.) puedes ver un registro de dispositivos conectados e inicios de sesión recientes. Echa un vistazo a esa lista para detectar accesos sospechosos en ubicaciones o dispositivos que no reconoces.

Si ves algo raro, utiliza la opción de cerrar todas las sesiones abiertas y fuerza un nuevo inicio de sesión con tu contraseña recién cambiada. Así cortarás el acceso a cualquiera que estuviera dentro de tu cuenta sin permiso.

3. Activa la autenticación en dos pasos (2FA)

El siguiente paso clave es habilitar la verificación en dos pasos en todas las cuentas importantes: correo principal, redes sociales, banca online, tiendas donde tengas métodos de pago guardados, etc. Con 2FA, aunque alguien conozca tu contraseña, necesitará un segundo código temporal generado en una app, enviado por SMS o validado en otro dispositivo.

La autenticación en dos factores es hoy por hoy una de las medidas más efectivas para evitar accesos no autorizados, incluso cuando tus contraseñas ya estén circulando por bases de datos filtradas. Muchos ataques se quedan en nada en cuanto se topan con este segundo paso.

4. Revisa otras cuentas vinculadas y supervisa la actividad

Si un correo ha sido filtrado, los atacantes pueden usarlo para intentar recuperar contraseñas de otros servicios enlazados o para probar las mismas credenciales en diferentes plataformas. Revisa especialmente todas las cuentas de alto valor: bancos, plataformas de inversión, correo corporativo, redes sociales principales y servicios de almacenamiento en la nube.

Comprueba si hay movimientos extraños, mensajes enviados que tú no recuerdas, cambios de datos de perfil o transacciones que no hayas hecho. En caso de duda, ponte en contacto con el soporte técnico, especialmente en bancos o servicios financieros, para que revisen tu caso y bloqueen operaciones sospechosas.

5. Informa a tus contactos si es necesario

En ciertos escenarios, sobre todo si se trata de cuentas de empresa o correos utilizados en el trabajo, puede ser necesario advertir a tus contactos de que tu cuenta ha podido verse comprometida. Así estarán prevenidos por si reciben correos raros, enlaces sospechosos o archivos adjuntos que en realidad no has enviado tú.

Este pequeño gesto puede evitar que la brecha se extienda y acabe afectando a más personas de tu entorno, tanto a nivel personal como profesional.

Buenas prácticas para que no te pille el toro la próxima vez

Comprobar de vez en cuando si tus contraseñas se han filtrado está muy bien, pero la clave es adoptar hábitos de seguridad a largo plazo para que, aunque se produzca una nueva brecha, el impacto sea el mínimo posible.

Contraseñas únicas y robustas para cada servicio

La regla de oro es clara: ni se te ocurra reutilizar contraseñas. Cada cuenta debe tener su propia clave, larga y difícil de adivinar. Evita nombres de familiares, fechas de cumpleaños o patrones obvios que alguien que te conozca mínimamente pueda deducir.

También es mala idea usar contraseñas casi iguales con ligeras variaciones, como PatitoFeo1, PatitoFeo2, PatitoFeo3. Si un atacante ve uno de esos ejemplos, no tardará en probar el resto de secuencias. La variedad real es tu mejor defensa.

Renovar contraseñas y organizar tus cuentas por importancia

No todas tus cuentas valen lo mismo. No es igual el acceso a una newsletter olvidada que la cuenta de correo desde la que recuperas todas tus demás contraseñas o tu banca electrónica. Clasifica tus servicios según su criticidad y define cada cuánto tiempo merece la pena cambiar las claves.

Ten en cuenta que no siempre nos enteramos de todas las filtraciones, ni suelen hacerse públicas de inmediato. Por eso, cambiar contraseñas de forma periódica, sobre todo en las cuentas más sensibles, reduce significativamente el impacto de una brecha silenciosa que aún no haya salido a la luz.

Usar un gestor de contraseñas en lugar de tu memoria

Pretender recordar a mano docenas de contraseñas largas y diferentes es una misión imposible. Para eso existen los gestores de contraseñas, que actúan como una caja fuerte cifrada donde solo tienes que memorizar una clave maestra.

Aplicaciones como KeePassXC (que incluso integra comprobaciones basadas en HIBP), 1Password, Dashlane, LastPass o Bitwarden generan contraseñas aleatorias, las guardan de forma segura y las rellenan automáticamente cuando inicias sesión. Muchos de ellos incluyen auditorías internas para avisarte de contraseñas débiles, reutilizadas o filtradas.

Desconfiar de enlaces y correos sospechosos

Las filtraciones de datos suelen ir acompañadas de un aumento de correos de phishing muy convincentes. Nunca pulses en enlaces que te pidan iniciar sesión o actualizar tus datos, aunque parezcan de bancos, redes sociales, servicios muy conocidos o en sitios de películas piratas. Es mejor entrar escribiendo la dirección oficial en el navegador o desde la app oficial.

Mantener tus dispositivos y programas siempre actualizados también es clave. Muchos ataques se aprovechan de vulnerabilidades ya corregidas, así que activar las actualizaciones automáticas en tu sistema operativo, navegador y aplicaciones minimiza la superficie de ataque.

Comprobar si tus cuentas han sido filtradas y reaccionar con rapidez no es un capricho, es una de las formas más sencillas de mantener el control sobre tu identidad digital y tu dinero. Un simple chequeo en herramientas como Have I Been Pwned, Cybernews o los gestores de contraseñas, combinado con claves únicas, autenticación en dos pasos y cierta disciplina a la hora de cambiar contraseñas, marca la diferencia entre un susto controlado y un auténtico caos con robos, suplantaciones y pérdida de acceso a tus servicios más importantes. Comparte esta información para que más usuarios estén al tanto de la situación.

Cuando vas a grabar una imagen en una memoria USB en Linux, una de las dudas más habituales es saber con total certeza qué dispositivo es el que corresponde a tu pendrive: ¿es /dev/sda, /dev/sdb, /dev/sdc…?. Un error aquí puede significar sobrescribir el disco duro en lugar de la memoria USB, así que conviene ser meticuloso y disponer de varios métodos fiables para identificarlo sin liarla.

En este artículo vamos a ver, de forma detallada y práctica, cómo detectar el identificador de tu pendrive en Linux sin cometer errores, qué herramientas gráficas y de consola puedes usar, cómo aprovechar el UUID para montarlo siempre igual, cómo actuar si el sistema no lo reconoce o da fallos raros, y hasta cómo comprobar si la memoria es falsa o defectuosa y qué hacer con ella.

¿Por qué es tan importante identificar bien tu pendrive?

En Linux, todos los dispositivos de almacenamiento se representan como ficheros especiales en /dev (por ejemplo, /dev/sda, /dev/sdb1, etc.). Cuando escribes una imagen con dd, Ventoy o cualquier herramienta similar, si te equivocas de dispositivo puedes acabar borrando el disco duro en lugar del pendrive. Por eso es fundamental saber con seguridad cuál es el identificador correcto.

Además, cuando trabajas con varios discos o pendrives, puede ocurrir que el orden cambie: hoy tu memoria es /dev/sdb y mañana sea /dev/sdc. Para evitar disgustos, es muy útil aprender a consultar el sistema, identificar el USB recién conectado y, cuando proceda, usar identificadores más estables como el UUID.

Usar herramientas gráficas: el ejemplo de CPU-G

Si prefieres algo visual, existen aplicaciones como CPU-G que no solo muestran información del sistema, sino que también ayudan a identificar los discos y particiones. En una de sus versiones recientes incorpora una pestaña llamada “Discos” donde puedes ver de un vistazo las unidades de almacenamiento conectadas.

En esa pestaña se listan las distintas particiones montadas, indicando para cada una su nombre de dispositivo (por ejemplo, /dev/sdb1), el punto de montaje (por ejemplo, /media/usuario/USB), la capacidad total y el uso actual. De esta forma puedes reconocer fácilmente qué es cada cosa, sobre todo si enchufas el pendrive y ves qué nuevo dispositivo aparece.

Esta información de un solo vistazo resulta muy cómoda: basta con fijarse en la capacidad aproximada de tu pendrive (8 GB, 16 GB, 64 GB, etc.) y su punto de montaje para saber exactamente qué /dev/sdX1 le corresponde. Es especialmente útil si luego quieres usar esa ruta para grabar una ISO desde la terminal o ajustar la configuración de montaje.

CPU-G, además de este apartado de discos, incluye una sección dedicada a la batería del equipo. Ahí muestra datos como el voltaje real, el voltaje de diseño, la carga actual, la carga de diseño y la corriente, todo en tiempo real. Esto es útil para controlar el estado de salud de la batería y prever cuándo será recomendable cambiarla.

En versiones anteriores la aplicación daba errores en equipos de sobremesa sin batería, precisamente al intentar consultar esos datos. En las versiones nuevas se ha corregido el problema: si el equipo no tiene batería, esa pestaña simplemente no se muestra y el programa funciona con normalidad.

También se corrigieron errores en la pestaña de Sistema, relacionados con la forma de obtener la versión de Xorg en algunos equipos, de manera que ahora la página de información del sistema se muestra correctamente en más configuraciones.

En distribuciones como Ubuntu, CPU-G no suele venir en los repositorios oficiales, pero puedes instalarlo fácilmente desde un PPA ejecutando en un terminal comandos como add-apt-repository, apt update y apt install cpu-g. Una vez instalado, la pestaña de discos se convierte en una forma sencilla de asegurar qué dispositivo es tu pendrive antes de hacer nada delicado.

Comprobar si el sistema reconoce la memoria USB

Antes de entrar en detalles, conviene saber si tu Linux detecta realmente la memoria USB. Hay dos escenarios típicos: el sistema ni siquiera ve el dispositivo, o lo detecta pero no puedes acceder a su contenido o montarlo correctamente.

Una primera comprobación muy útil es usar lsusb, un comando pensado para listar todos los dispositivos USB que el sistema ve en ese momento. Simplemente abre un terminal y ejecuta:

lsusb

La salida mostrará líneas con el bus, el número de dispositivo, el ID de fabricante y producto, y una breve descripción. Por ejemplo, podrías ver algo como:

Bus 003 Device 002: ID 13fe:1d00 Kingston Technology Company Inc. DataTraveler 2.0 1GB Flash Drive

Si tu pendrive aparece listado aquí, significa que el sistema lo reconoce como dispositivo USB, aunque todavía no sepamos qué /dev/sdX le corresponde. Si no aparece en absoluto, el problema suele estar en el hardware (puerto USB, cable, memoria dañada) o en niveles muy bajos del sistema.

El comando lsusb sirve no solo para memorias, sino para ratones, teclados, cámaras, adaptadores de red USB, etc.. Admite varias opciones interesantes: con -v obtienes un listado muy detallado de cada dispositivo, con -t ves la topología en forma de árbol, con -d fabricante:producto filtras por un dispositivo específico, y con -s bus:dispositivo te quedas con una única entrada concreta.

Por ejemplo, para mostrar toda la información de un dispositivo concreto puedes hacer:

lsusb -v | less

O para ver la jerarquía de dispositivos USB:

lsusb -t

Y si necesitas el detalle de un dispositivo concreto representado por un archivo en /dev/bus/usb/, puedes ejecutar:

sudo lsusb -D /dev/bus/usb/001/002

Con estas variantes, lsusb se convierte en una herramienta muy útil de diagnóstico: te permite confirmar que tu pendrive está conectado, ver su fabricante y modelo, y descartar de entrada un problema físico grave (si no aparece, algo serio pasa).

Identificar el dispositivo /dev correcto con comandos de sistema

Confirmado que el pendrive está en el sistema, el siguiente paso es averiguar qué nombre de dispositivo en /dev se le ha asignado. En Linux, las unidades de disco suelen aparecer como /dev/sda, /dev/sdb, /dev/sdc, y sus particiones como /dev/sda1, /dev/sdb1, etc..

Consultar blkid para ver dispositivos y sistemas de ficheros

Una forma muy práctica de ver los dispositivos de almacenamiento detectados y su sistema de archivos es usar el comando blkid. Puedes ejecutarlo con permisos de superusuario para obtener toda la información:

sudo blkid

La salida mostrará líneas similares a:

/dev/sda1: UUID="xxxx-xxxx" TYPE="ext4"
/dev/sdb1: UUID="yyyy-yyyy" TYPE="vfat"

Aquí verás, para cada dispositivo de almacenamiento, su identificador único (UUID) y el tipo de sistema de archivos (ext4, vfat, ntfs, etc.). Esto, además de ayudarte a identificar el pendrive por su sistema de archivos o tamaño aproximado, será clave más adelante para montar siempre el mismo dispositivo mediante su UUID.

Si ya sabes cuál es el dispositivo que te interesa (por ejemplo, sospechas que es /dev/sdb1), puedes acotar la consulta directamente:

sudo blkid /dev/sdb1

Con este comando obtienes de golpe el UUID de la partición, que es un identificador estable aunque cambie la ruta /dev/sdX con la que el sistema la vea. Esto se usa mucho en /etc/fstab para evitar problemas cuando el orden de los discos varía.

Usar vol_id como alternativa (cuando esté disponible)

En algunos sistemas más antiguos o con determinadas herramientas instaladas puedes encontrarte con el comando vol_id, que también sirve para mostrar la información de un dispositivo de almacenamiento. Se emplea de forma similar a blkid:

vol_id /dev/sdb1

Esta herramienta suele mostrar de forma bastante clara la etiqueta, el UUID y el tipo de sistema de archivos. Aunque hoy en día blkid es más habitual y estándar, si tienes vol_id instalado, puedes usar indistintamente uno u otro para obtener el UUID del pendrive.

Montar manualmente el pendrive usando su identificador

Cuando ya sabes qué dispositivo corresponde a tu memoria USB (por ejemplo, /dev/sdb1), puedes montarlo manualmente si por algún motivo el entorno de escritorio no lo hace automáticamente. El procedimiento típico es crear un punto de montaje y luego usar mount:

sudo mkdir -p /media/externaldisk
sudo mount /dev/sdb1 /media/externaldisk

La sintaxis general es sencilla: mount dispositivo ruta_donde_montar. A partir de ese momento, podrás acceder al contenido de la memoria USB en el directorio que has elegido (en el ejemplo, /media/externaldisk o /media/usb si prefieres ese nombre).

Este enfoque es muy útil cuando el entorno gráfico no monta automáticamente la memoria, como ocurre a veces en algunos escritorios o en sistemas minimalistas. Eso sí, si te equivocas de dispositivo al montar, normalmente no romperás nada, pero sí puedes montarte por error otra partición y confundirte con los datos.

Detectar la memoria USB en entornos donde no se monta sola

En algunos escritorios, como ciertas configuraciones de KDE, puede pasar que enchufes una llave USB y no se monte automáticamente, mientras que en otros entornos como GNOME sí funciona sin problemas. En estos casos hay que hacer de “detective” para saber qué dispositivo del sistema representa tu pendrive.

Una estrategia consiste en usar las herramientas del paquete sg3-utils, que permiten trabajar con dispositivos SCSI genéricos. Primero instalarías el paquete (por ejemplo, con apt-get install sg3-utils en sistemas basados en Debian/Ubuntu) y luego usarías comandos como sg_map y sg_scan.

El comando sg_map muestra un mapeo entre dispositivos /dev/sgX (genéricos SCSI) y sus equivalentes tipo disco o CD/DVD, por ejemplo:

/dev/sg0 /dev/sda
/dev/sg1 /dev/scd0
/dev/sg2 /dev/scd1

Si ejecutas sg_map antes de insertar el pendrive y vuelves a ejecutarlo después de enchufarlo, puedes ver qué nueva línea ha aparecido. El dispositivo nuevo (por ejemplo, /dev/sg3 /dev/sdb) será tu memoria USB, y ahí sabrás que el disco asociado es /dev/sdb.

Para obtener más información sobre estos dispositivos, sg_scan -i es muy revelador. Muestra detalles como el modelo, el tipo de dispositivo, etc. Podrás ver algo tal que así:

/dev/sg3: Kingston DataTraveler 2.0 PMAP

Esto te indica claramente que ese /dev/sg3 corresponde al pendrive Kingston que acabas de conectar. Combinando esa información con el resultado de sg_map, confirmarás definitivamente que tu memoria se ve como /dev/sdb en el sistema (y normalmente su partición será /dev/sdb1).

Si además quieres validar lo que ha visto el kernel, puedes ejecutar:

dmesg | tail

Tras enchufar la memoria, las últimas líneas de dmesg suelen mostrar mensajes indicando que se ha detectado un nuevo disco , su tamaño en sectores, el estado de protección contra escritura, y, muy importante, la aparición de particiones como sdb1. Algo parecido a:

sdb: sdb1
sd 3:0:0:0: Attached SCSI removable disk

Con esto ya tienes todo: sabes que tu memoria está vista como /dev/sdb1 y puedes montarla con:

sudo mount /dev/sdb1 /media/usb

Este proceso parece un poco de “investigación forense”, pero en situaciones donde el entorno gráfico falla es extremadamente útil para seguir trabajando con tus dispositivos USB sin depender del automontaje.

Aprovechar el UUID del pendrive para montajes sin errores

Una forma muy robusta de identificar tu memoria USB (y cualquier otro dispositivo de almacenamiento) es usar su UUID, el identificador único universal asociado al sistema de ficheros. A diferencia de /dev/sdb1 o /dev/sdc1, que pueden cambiar según el orden de conexión, el UUID permanece constante mientras no reformatees la unidad.

Esto es especialmente interesante si quieres configurar en /etc/fstab un montaje con determinadas opciones por defecto (por ejemplo, para resolver problemas de idioma y acentos al montar pendrives con sistemas de ficheros como vfat o ntfs). En lugar de indicar el dispositivo por su ruta /dev, puedes usar directamente su UUID.

Como hemos visto antes, puedes obtener el UUID con blkid o con vol_id, por ejemplo:

sudo blkid /dev/sdb1

La salida incluirá algo del estilo:

UUID="1234-ABCD" TYPE="vfat"

Con ese valor, puedes editar /etc/fstab y añadir una línea del estilo:

UUID=1234-ABCD /media/usb vfat defaults,uid=1000,gid=1000,utf8 0 0

Así te aseguras de que ese pendrive concreto se monte siempre con las opciones adecuadas, independientemente de qué /dev/sdX le asigne el sistema en cada arranque. Este enfoque se puede aplicar igualmente a discos duros, cámaras, tarjetas SD, etc., siempre que tengan sistema de ficheros.

Qué hacer cuando la memoria USB da errores o parece falsa

No todos los problemas con pendrives se reducen a identificarlos correctamente. A veces el sistema los detecta, pero no puedes copiar muchos datos, aparecen errores de E/S, el tamaño reportado no cuadra con la realidad, o herramientas como f3probe avisan de que algo huele mal.

En el mundo real es bastante común encontrar memorias USB falsificadas que anuncian, por ejemplo, 64 GB en la carcasa, pero internamente solo tienen 16 GB funcionales. El firmware se encarga de engañar al sistema operativo para que éste crea que la capacidad es mucho mayor de la real, y cuando superas el tamaño físico empiezan los errores, la corrupción de datos o los fallos de escritura.

Herramientas como f3 (Fight Flash Fraud) son ideales para detectar estas situaciones. Una de sus utilidades, f3probe, permite probar la unidad, escribir y leer datos y determinar si la memoria es auténtica o está trucada. Al ejecutarla sobre el dispositivo (por ejemplo, f3probe –destructive /dev/sdb), comprobará el espacio y mostrará un informe.

Si la herramienta detecta que el dispositivo es sospechoso, puede mostrar mensajes del tipo: “Bad news: The device `/dev/sda` is a counterfeit of type limbo”, o indicar directamente que el dispositivo está dañado. La clasificación interna “limbo” suele utilizarse cuando f3probe no puede mapear la memoria de forma fiable por errores graves: en la práctica, significa que la unidad es falsa o irrecuperable para un uso de confianza.

En otros casos, f3probe informa de que el dispositivo tiene menos capacidad útil de la que declara. En sus resultados suele aparecer un campo “usable size” que muestra el tamaño real, tanto en gigabytes como en número de bloques. Si, por ejemplo, una memoria dice ser de 64 GB pero f3 indica que solo dispone de 16 GB utilizables, estás ante un pendrive trucado pero potencialmente reutilizable hasta su tamaño real.

Ante este escenario tienes básicamente dos caminos: reclamar la garantía o intentar adaptar la memoria a su tamaño real. Lo ideal es reclamar, sobre todo si la has comprado recientemente y tienes factura; pero si decides quedarte con ella y aprovechar lo que funcione, f3 incluye la herramienta f3fix para ajustar la unidad.

El proceso pasa por usar el valor de bloques indicado por f3probe y ejecutar algo como:

sudo f3fix --last-sec=<numero_de_bloques> /dev/sda

Con esto se reconfigura la unidad para que el sistema operativo solo vea el espacio realmente utilizable. Una vez terminada la operación, es recomendable desconectar y volver a conectar la memoria y luego formatear la partición resultante. A partir de entonces, el sistema la verá con un tamaño menor, pero al menos será coherente con la realidad y reducirá la posibilidad de pérdida de datos por intentar escribir más allá de lo que realmente existe.

Por supuesto, este tipo de operaciones modifican la estructura del pendrive y borran los datos, así que deben hacerse con pleno conocimiento de causa y siempre sobre el dispositivo correcto para no afectar a otros discos del sistema.

Si en lugar de una memoria falsificada estás ante una unidad realmente defectuosa (por ejemplo, una USB que con apenas uso ya da errores graves y f3probe solo muestra sectores dañados), la mejor opción suele ser no fiarse de ella. Aunque a veces puedas forzarla un poco más, usarla para datos importantes es un riesgo innecesario.

En contextos donde aparecen errores de escritura y lectura, el anillo de mensajes del kernel (accesible con dmesg) es muy útil: verás mensajes sobre errores de E/S, desconexiones repentinas, reintentos, etc. Eso ayuda a distinguir si el problema es de hardware (memoria, puerto, cable) o de sistema de archivos (corrupción lógica que quizás se pueda reparar formateando o pasando fsck).

Con todo este conjunto de herramientas (lsusb, blkid, sg3-utils, dmesg, f3probe, f3fix) puedes no solo detectar con precisión el identificador de tu pendrive en Linux, sino también diagnosticar su estado, verificar si es auténtico y tomar decisiones informadas sobre cómo usarlo o si merece la pena reemplazarlo cuanto antes.

Dominar estos comandos y conceptos te permite trabajar con memorias USB en Linux con mucha más seguridad: sabrás siempre qué dispositivo estás tocando, podrás montarlo de forma manual o automática usando su UUID, tendrás recursos para investigar cuando algo no se monta solo y, si una memoria resulta ser falsa o estar medio muerta, tendrás claro qué herramientas usar para confirmarlo y, si procede, exprimir al menos el espacio realmente utilizable sin sorpresas desagradables. Comparte este tutorial para que más personas aprendan a detectar el identificador de pendrive en Linux sin errores.

Si tus copias de seguridad no están cifradas, estás dejando tu información más sensible en una caja fuerte… pero con la puerta entreabierta. En un contexto en el que ransomware, robo de datos y errores humanos son el pan de cada día, proteger solo los sistemas de producción ya no vale: los atacantes apuntan también a los backups, porque saben que son tu última línea de defensa, por eso recuerda hacer copias de seguridad.

Implementar backups cifrados con una estrategia bien pensada no es solo un tema técnico; afecta al cumplimiento normativo (RGPD y otras regulaciones), a la continuidad de negocio y a la confianza de tus clientes. A continuación verás, paso a paso, qué es el cifrado de copias de seguridad, qué métodos existen, cómo encajarlo en estrategias como 3-2-1, qué herramientas puedes usar y qué puntos debes vigilar para que todo esto funcione de verdad cuando haya un incidente.

¿Qué es el cifrado de copias de seguridad y por qué te debería importar?

Cuando hablamos de cifrar un backup nos referimos a aplicar un algoritmo de encriptación fuerte (como AES‑256) a los datos antes o durante el proceso de copia, de modo que, aunque alguien consiga acceder al fichero o al dispositivo que contiene la copia, solo vea datos ilegibles sin la clave adecuada.

En la práctica, el cifrado transforma los datos en texto ininteligible, de forma que el acceso físico al soporte de copia ya no es suficiente. Hace falta la clave o contraseña correcta para devolver esos datos a un estado legible. Esto marca la diferencia entre un incidente grave de fuga de información y un susto controlado del que puedes informar a la AEPD y a tus clientes con mucha más tranquilidad.

Además, el cifrado de backups se ha convertido en un requisito de facto para cumplir con regulaciones como el RGPD, ISO 27001 o PCI‑DSS, que exigen medidas “técnicas y organizativas apropiadas” para proteger datos personales y críticos. En muchos sectores (sanitario, financiero, legal, administración pública) ya no se ve como un plus, sino como algo básico.

Ventajas y riesgos del backup cifrado

Beneficios clave del cifrado de backups

La primera gran ventaja es la protección frente a accesos no autorizados. Si pierdes un disco externo, alguien roba un NAS o se filtra un bucket en la nube, un backup sin cifrar es oro puro para un atacante; en cambio, un backup cifrado de extremo a extremo es prácticamente inservible sin la clave.

Otra ventaja fundamental es la resistencia frente al ransomware. Aunque el ransomware intente cifrar o borrar tus copias, si has aplicado buenas prácticas (copias inmutables, offline y cifradas), podrás restaurar datos limpios de antes del ataque sin sucumbir al chantaje. Esto es especialmente relevante en ataques que ya apuntan deliberadamente a los repositorios de copia de seguridad.

El cifrado también ayuda con los requisitos de cumplimiento y confidencialidad. En sectores regulados o bajo acuerdos de confidencialidad (NDA), poder demostrar que los backups están cifrados, con gestión formal de claves y registros de acceso, reduce el riesgo de sanciones y mejora tu posición en auditorías y certificaciones.

Inconvenientes y puntos delicados

El principal “pero” del cifrado es la complejidad de gestión de claves. Si la clave se pierde, se filtra o se gestiona a base de post‑its pegados en la pantalla, el sistema deja de ser seguro o directamente inutiliza tus copias. Por eso suele ser imprescindible usar gestores de contraseñas, módulos HSM, bóvedas de claves en la nube o servicios KMS bien configurados.

Otro aspecto a tener en cuenta es que el cifrado introduce sobrecarga de rendimiento en copia y restauración. En grandes volúmenes de datos, cifrar y descifrar puede alargar los tiempos de ventana de backup y de recuperación; esto exige planificar bien los RPO/RTO, elegir algoritmos eficientes y dimensionar el hardware para evitar cuellos de botella. También conviene saber cómo limitar el ancho de banda en Windows para priorizar tareas críticas durante las ventanas de backup.

Por último, si no se diseña bien el proceso, pueden darse escenarios de “backups cifrados, pero inservibles”: copias que no se prueban nunca, restauraciones que fallan porque falta una clave antigua, versiones mezcladas o políticas de retención que borran justo la copia limpia previa a un ataque. La seguridad no sirve de nada si no eres capaz de recuperar tus datos cuando toca; conviene por eso saber cómo gestionar versiones y recuperar cambios en entornos colaborativos.

Métodos de cifrado para copias de seguridad

Cifrado basado en software

La opción más habitual es usar soluciones de backup que llevan cifrado integrado en el propio software. Herramientas como Veeam, Acronis, NAKIVO, HYCU, Backblaze, Carbonite o los sistemas nativos de los SO (Time Machine, Historial de archivos de Windows, etc.) permiten que los datos se cifren durante el proceso de copia, antes de llegar al repositorio.

La gran ventaja es que el cifrado se integra de forma transparente en el flujo de backup: eliges la política, configuras la contraseña o la clave y todo el proceso (copias completas, incrementales, diferenciales, versiones) se guarda ya cifrado. Eso sí, es fundamental verificar que el software usa algoritmos robustos y actualizados, y que la clave no se almacena en texto plano ni en lugares inseguros.

En entornos de escritorio, soluciones como Time Machine junto con FileVault cifran tanto el disco como las copias, lo que simplifica la protección de portátiles. En Windows, lograr algo equivalente requiere combinar Historial de archivos o soluciones de terceros con BitLocker o cifrado específico del software de copia; por ejemplo, también conviene complementarlo con prácticas para hacer copias de seguridad del registro de Windows cuando corresponda.

Cifrado basado en hardware

Otra alternativa es usar dispositivos que incorporan cifrado por hardware, como algunos discos externos, cabinas de almacenamiento o módulos HSM. En estos casos, el propio dispositivo se encarga de cifrar y descifrar, y la clave se almacena en el hardware, no en el sistema operativo.

Este enfoque proporciona un nivel de seguridad muy alto y buen rendimiento, porque el cifrado se realiza en chips dedicados. Es muy útil para copias que se sacan físicamente del entorno (por ejemplo, discos enviados a otra sede o guardados en un búnker). El punto delicado es la dependencia de ese hardware y de sus métodos de desbloqueo (PIN, token, tarjeta, etc.), y la necesidad de prevenir problemas físicos o estafas en soportes removibles mediante guías para evitar estafas en memorias USB.

Cifrado en la nube y E2EE

En el entorno cloud, muchos proveedores ofrecen cifrado en reposo y en tránsito de forma estándar, pero para tener control real sobre la privacidad conviene apostar por cifrado de extremo a extremo (E2EE), donde los datos se cifran en el dispositivo del cliente antes de subirlos.

Servicios como algunas versiones de HiDrive u otras soluciones de backup E2EE permiten que solo tú tengas la clave de descifrado. Ni el proveedor de la nube ni terceros pueden ver el contenido, aunque accedan al almacenamiento. Lo ideal es combinar este cifrado con TLS para el transporte y políticas de residencia de datos que respeten el RGPD.

Subir backup sin cifrar a servicios como cloud de propósito general (Drive, Dropbox, etc.) implica confiar en sus controles internos, pero pierdes parte del control sobre quién, cómo y desde dónde podría acceder a tu información. En datos sensibles o empresariales es mucho más sensato aplicar cifrado propio antes de enviar nada.

Tipos de copias de seguridad y cómo encajan con el cifrado

Backup completo

La copia completa genera una instantánea íntegra de todos tus datos. Es la opción más sencilla de entender y la más rápida a la hora de restaurar, porque solo necesitas esa copia para volver a un punto concreto.

Como contrapartida, consume más espacio de almacenamiento y tarda más en realizarse, especialmente cuando los volúmenes de datos crecen. Suele utilizarse para copias semanales o mensuales, migraciones y configuraciones iniciales, casi siempre combinada con incrementales o diferenciales para el día a día.

Backup incremental

El backup incremental solo guarda los cambios ocurridos desde la última copia (completa o incremental). Esto lo hace muy eficiente en tiempo y espacio, porque en cada ejecución se transfieren pocos datos.

La parte menos amable aparece al restaurar: muchas veces hay que reconstruir el estado usando la copia completa más todas las incrementales posteriores, lo que complica y alarga la recuperación. Con cifrado, es importante garantizar que las claves y políticas se mantienen consistentes en toda la cadena para que ninguna pieza “se quede fuera”.

Backup diferencial

El backup diferencial copia los cambios respecto a la última copia completa, ignorando las incrementales. La restauración es más simple que con incrementales puros, porque solo necesitas la última completa y la última diferencial.

A cambio, las diferenciales tienden a crecer en tamaño a medida que pasa el tiempo desde la copia completa, ocupando más espacio que las incrementales. Muchas empresas optan por esquemas mixtos (completa semanal + incrementales diarias) y combinan este enfoque con cifrado transparente en el software.

Estrategias de backup: de la regla 3‑2‑1 a 3‑2‑1‑1‑0

La regla 3‑2‑1

Una de las recomendaciones más aceptadas en el sector es la estrategia de copia 3‑2‑1, formulada inicialmente en el mundo de la fotografía digital, pero hoy aplicada en entornos corporativos de todo tipo.

La regla dice que debes mantener tres copias de tus datos (el original y dos copias de seguridad), almacenadas en dos tipos de soportes distintos (por ejemplo, discos locales y nube, o NAS y cinta), y que al menos una de esas copias esté fuera de la sede principal, en otra ubicación física o en la nube.

Este planteamiento distribuye el riesgo: un fallo de hardware, una inundación, un incendio o un robo local no deberían dejarte con las manos vacías. Y si combinas esta regla con cifrado robusto, te aseguras de que ni siquiera una copia externa perdida comprometa la confidencialidad.

Evolución a 3‑2‑1‑1‑0

En entornos donde la seguridad debe ser extrema se habla ya de estrategia 3‑2‑1‑1‑0, que añade dos requisitos: una copia offline o inmutable y cero errores verificados.

La copia extra “1” implica mantener al menos un backup desconectado o inmutable (por ejemplo, cinta almacenada fuera de línea o almacenamiento de objetos con bloqueo de borrado), inmune a ransomware u otras modificaciones maliciosas. El “0” hace referencia a realizar pruebas de restauración periódicas para comprobar que no hay errores y que las copias se pueden usar de verdad en un escenario de desastre.

Copias de seguridad locales, en nube y entornos híbridos

Soluciones locales: control y velocidad

Las copias de seguridad en local (discos, cabinas, NAS, cintas en la propia oficina o CPD) ofrecen control total sobre la infraestructura y, en muchos casos, la velocidad de restauración más alta, ya que no dependen del ancho de banda de Internet.

Sin embargo, exigen una inversión inicial significativa en hardware, además de mantenimiento continuo y renovaciones periódicas. Además, siguen expuestas a catástrofes locales como incendios, inundaciones, subidas de tensión o robos, por lo que deben complementarse sí o sí con copias externas. Para entornos de escritorio y equipos personales es habitual protegerse sincronizando carpetas con FreeFileSync como capa adicional.

Backup en la nube: escalabilidad y resiliencia

Las copias de seguridad basadas en la nube almacenan los datos fuera de tus instalaciones, en centros de datos remotos gestionados por proveedores especializados. Esto te permite dimensionar el almacenamiento de forma flexible, pagando solo por lo que utilizas, y aprovechar la redundancia geográfica sin montar tu propio CPD distribuido.

Además, muchas soluciones cloud ofrecen automatización, versionado, deduplicación y cifrado integrado, lo que simplifica enormemente la gestión respecto a sistemas propios. La contrapartida es la dependencia de la conexión a Internet y la necesidad de vigilar la residencia de datos, las tarifas de tráfico de salida y el cumplimiento regulatorio.

Enfoque híbrido y almacenamiento de objetos

En la práctica, la mayoría de organizaciones terminan adoptando estrategias híbridas: combinan copias locales rápidas (por ejemplo, en un NAS o cabina SAN) con réplicas en la nube u otro CPD para cubrir desastres y ciberataques.

En este contexto cobra mucho peso el almacenamiento de objetos (S3 y compatibles), que organiza los datos como objetos con metadatos y un identificador único, en lugar de archivos en carpetas o bloques en discos. Sus puntos fuertes son la escalabilidad masiva, la redundancia integrada entre nodos o regiones y funciones como versionado, políticas de ciclo de vida o bloqueo de objetos.

Para backups a gran escala es ideal, ya que permite guardar miles de millones de objetos con buen rendimiento, aplicar cifrado en reposo, replicar entre regiones y establecer retenciones inmutables que frustran buena parte de los ataques de ransomware.

Herramientas y soluciones para gestionar backups cifrados

Opciones para usuarios individuales

En el entorno doméstico o profesional individual, herramientas como Time Machine en macOS, Historial de archivos en Windows o utilidades como AOMEI Backupper y Macrium Reflect permiten automatizar copias completas e incrementales hacia discos externos, NAS o incluso la nube.

Time Machine, cuando se combina con FileVault y dispositivos compatibles, facilita que tanto el sistema como las copias estén cifrados sin demasiadas complicaciones. En Windows el camino es algo menos directo, pero se puede lograr un nivel de protección equivalente mezclando BitLocker con software de backup que soporte cifrado robusto.

Soluciones cloud de propósito general y backup online

Para datos esenciales, servicios como Google Drive, OneDrive, Dropbox, iCloud, Azure o Huawei Cloud resultan cómodos para mantener copias sincronizadas. Sin embargo, en muchos casos estas plataformas no son, por sí solas, una solución de backup completa, sino más bien de sincronización o almacenamiento.

Servicios de backup online como Backblaze o Carbonite están más orientados a copias automáticas de sistemas enteros o grandes conjuntos de archivos, con cifrado fuerte, automatización y restauración sencilla desde cualquier lugar. Son una buena opción para usuarios y pequeñas empresas que quieren algo “instalar y olvidarse”.

Plataformas profesionales para empresas

En entornos corporativos, herramientas como Veeam Backup & Replication, Acronis Cyber Protect, NAKIVO, HYCU o soluciones específicas de fabricantes de NAS (Synology, QNAP) se han convertido en estándar de facto.

Estas plataformas permiten definir estrategias 3‑2‑1 o 3‑2‑1‑1‑0, realizar copias completas e incrementales basadas en snapshots, replicar entre sedes y nubes, cifrar datos en tránsito y en reposo, integrar con almacenamiento de objetos y aprovechar capacidades avanzadas como copias inmutables o detección de ransomware. Complementar estas plataformas con medidas para blindar tu sistema contribuye a reducir la superficie de ataque.

Buenas prácticas para diseñar tu estrategia de backup cifrado

Planificación: qué proteger, cómo y cada cuánto

El primer paso es hacer un inventario de fuentes de datos y clasificarlas por criticidad: bases de datos, servidores de aplicaciones, escritorios, móviles, cargas en la nube, SaaS, etc. A partir de ahí podrás definir qué necesita copias diarias, qué se puede copiar semanalmente y qué puede quedarse en copias de archivo poco frecuentes.

Es clave establecer RTO (tiempo máximo de recuperación) y RPO (puntos de recuperación) para cada tipo de dato. No es lo mismo un ERP de facturación, que quizá requiera perder como máximo minutos u horas de información, que un repositorio de documentación histórica donde perder un día de cambios puede ser asumible.

Automatización, supervisión y alertas

Las copias de seguridad no deben depender de la memoria humana. Hay que programar los backups de forma automática en ventanas de baja actividad y configurar alertas de fallo para evitar sorpresas el día que realmente necesitas restaurar.

Además de la planificación, conviene contar con monitorización en tiempo real que muestre el estado de los trabajos, el uso de almacenamiento, las tendencias de crecimiento y posibles anomalías (picos de datos cifrados que puedan sugerir ransomware, tiempos excesivos, errores recurrentes, etc.).

Gestión de claves y control de acceso

Un sistema de copias cifradas es tan fuerte como su gestión de claves y permisos. Las claves deben guardarse en gestores seguros o servicios KMS, con backups redundantes de las propias claves (o material de recuperación) y procedimientos claros de rotación, recuperación y revocación.

Paralelamente, hay que aplicar controles de acceso estrictos y MFA para administración de backups y repositorios. Solo personal de confianza y con formación específica debería poder modificar políticas, borrar copias o acceder al almacenamiento de backup. Registrar y auditar estos accesos es esencial tanto para la seguridad como para el cumplimiento normativo.

Seguridad adicional y pruebas de restauración

Más allá del cifrado, merece la pena reforzar la infraestructura con copias inmutables, entornos de backup aislados de la red principal y escaneos antimalware periódicos sobre las copias, evitando que se conviertan en un “almacén de virus congelados”. Además, conviene aplicar medidas adicionales para donde sea posible.

Igual de importante es mantener una disciplina de pruebas de recuperación: simular desastres, restaurar sistemas y datos críticos, medir si se cumplen los RTO definidos y comprobar que los archivos restaurados son íntegros. Esto te dirá si tu estrategia es solo bonita en el papel o realmente sirve cuando la empresa está parada y cada minuto cuenta.

En última instancia, una estrategia sólida de backups cifrados, bien automatizada y probada, combinando copias locales rápidas, réplicas en la nube, reglas 3‑2‑1‑1‑0 y una gestión seria de claves, se convierte en una especie de airbag digital: puede que no lo necesites a diario, pero cuando algo falla de verdad, marca la diferencia entre un susto controlado y un golpe que ponga en jaque todo tu negocio. Comparte este tutorial y otros sabrán hacer backups cifrados.

La última ceremonia de los Premios Oscar ya ha dejado su lista definitiva de triunfadoras y, como suele pasar cada año, a más de uno le han entrado las prisas por ponerse al día. La buena noticia es que gran parte de las ganadoras ya se pueden ver en casa, bien en plataformas de streaming o en alquiler digital, y el resto está todavía en salas españolas.

Con ‘Una batalla tras otra’ como gran vencedora, seguida muy de cerca por títulos como ‘Los pecadores’ o ‘Frankenstein’, el menú de cine para las próximas semanas es de los que quitan el hipo. En esta guía reunimos, ordenadas y sin líos, dónde ver las películas que se han llevado estatuilla, priorizando su disponibilidad en España y en Europa y sin dejarnos fuera ni la animación, ni el cine internacional, ni los documentales.

Las grandes ganadoras: dónde verlas en streaming

‘Una batalla tras otra’ – Mejor Película y gran triunfadora

La comedia política y de acción de Paul Thomas Anderson se ha ido de la gala con seis Oscar (incluyendo Mejor Película y Mejor Dirección), y está pensada para verse y revisitarse. En España, la película se puede ver en HBO Max, y además está disponible en alquiler digital en Movistar Plus+, Filmin y Google Play, así que no hace falta rebuscar demasiado para encontrarla.

‘Los pecadores’ – Récord de nominaciones y cuatro estatuillas

El thriller sobrenatural con vampiros y blues dirigido por Ryan Coogler, con un desdoblado Michael B. Jordan, se ha convertido en un fenómeno de crítica y taquilla. Pese a sus 16 nominaciones históricas, finalmente sumó cuatro premios clave, como Mejor Actor y Mejor Fotografía. En territorio español, puede verse en HBO Max y en el catálogo de ficción de Movistar Plus+, una combinación que la hace muy accesible para quienes ya pagan alguna de estas plataformas.

‘Frankenstein’ – Terror gótico y tres premios técnicos

La nueva versión del clásico de Mary Shelley firmada por Guillermo del Toro ha arrasado en los apartados visuales y de diseño: Mejor diseño de producción, mejor vestuario y mejor maquillaje y peluquería. Para ver esta reinvención gótica ambientada en una Europa marcada por la guerra basta con tener Netflix, ya que la película está disponible en exclusiva dentro de su catálogo global.

‘F1: La película’ – Velocidad y Oscar al mejor sonido

El espectáculo automovilístico protagonizado por Brad Pitt y con Javier Bardem como jefe de escudería se ha llevado el Oscar al Mejor Sonido, un premio que recompensa su despliegue técnico en las carreras. En España, la producción está incluida en Apple TV, donde forma parte de su oferta de cine original, y también puede encontrarse en alquiler digital en plataformas como Amazon Prime Video o Rakuten TV.

‘Hamnet’ – Oscar a la mejor actriz

La adaptación de la novela de Maggie O’Farrell, dirigida por Chloé Zhao, ha valido a Jessie Buckley el premio a Mejor Actriz por su retrato de Agnes, la esposa de William Shakespeare, rota por la muerte de su hijo. Actualmente, la cinta sigue en salas españolas, y además se puede conseguir en alquiler o compra digital en Apple TV, Prime Video, Filmin, Rakuten TV y YouTube, algo ideal si prefieres verla sin depender de un abono mensual.

Cine internacional y europeo: las premiadas que llegan desde fuera de Hollywood

Más allá de los grandes estudios, la edición ha vuelto a reforzar la presencia de cine europeo e internacional. Para quienes buscan algo distinto al blockbuster de turno, hay varias candidatas que ya están o estarán pronto disponibles en España.

‘Valor sentimental’ – Mejor película internacional

La cinta noruega de Joachim Trier ha sido reconocida con el Oscar a Mejor Película Internacional gracias a su retrato de una familia marcada por el cine, la pérdida y los conflictos intergeneracionales. Ahora mismo continúa proyectándose en cines, y su llegada a las plataformas ya está calendarizada: aterrizará en Filmin y Movistar Plus+ el 27 de marzo, una fecha marcada en rojo para los aficionados al cine de autor europeo.

‘Sirât’ – La aspirante española que se queda sin premio

Aunque finalmente no se llevó ninguna estatuilla, la producción de Óliver Laxe ha tenido una presencia destacada con sus dos nominaciones (película internacional y sonido). La historia de un padre y un hijo que buscan a su hija y hermana entre raves en el desierto marroquí se ha convertido en uno de los títulos españoles más comentados del año. En España, ‘Sirât’ puede verse en Movistar Plus+, donde forma parte de su oferta de cine europeo reciente.

‘Mr. Nobody contra Putin’ – Mejor largometraje documental

Este documental, dirigido por Pavel Ilyich Talankin y David Borenstein, sigue a un profesor de una pequeña ciudad rusa que empieza a grabar cómo la escuela se transforma en una herramienta de adoctrinamiento patriótico tras el inicio de la guerra en Ucrania. La película se ha llevado el Oscar a Mejor Documental y, en España, se puede ver tanto en Filmin como en Movistar Plus+, dos plataformas que suelen cuidar especialmente este tipo de contenidos.

Animación, terror y otros géneros premiados que ya están en tu mando

No todo son dramas históricos y thrillers políticos. Entre las ganadoras de esta edición hay animación para toda la familia, terror con carga social y propuestas híbridas que se han abierto hueco en el palmarés con un solo premio, pero mucho tirón entre el público.

‘Las guerreras K-pop’ – Mejor película de animación y mejor canción

Convertida en uno de los fenómenos del año, ‘Las guerreras K-pop’ mezcla el universo de los idols con la fantasía sobrenatural: el grupo Huntrix compagina giras y conciertos con la misión de proteger a sus fans de demonios y amenazas ocultas. La cinta se ha llevado el Oscar a Mejor Película de Animación y también el de Mejor Canción Original. En España, el acceso no tiene misterio: está disponible en Netflix, donde acumula cifras récord de visionado.

‘Weapons’ – Terror y premio a la mejor actriz de reparto

El filme de Zach Cregger se mueve en el terreno del terror y el misterio, con una premisa inquietante: todos los alumnos de una clase desaparecen a la vez, en la misma noche y a la misma hora, dejando a una comunidad entera en shock. La interpretación de Amy Madigan le ha valido el Oscar a Mejor Actriz de Reparto. En España, la película se puede ver en HBO Max y también se ofrece en alquiler o compra digital en plataformas como Apple TV, Filmin, Prime Video o Rakuten TV, según la tienda que utilices habitualmente.

‘Avatar: Fuego y ceniza’ – Mejores efectos visuales

La tercera entrega de la saga de James Cameron introduce al Pueblo de las Cenizas, una facción Na’vi que no duda en recurrir a la violencia para defender sus intereses, aunque sea contra otros clanes. El despliegue tecnológico y la construcción de un nuevo entorno volcánico le han asegurado el Oscar a Mejores Efectos Visuales. En España, la película sigue en salas de cine y está previsto que llegue a Disney+ en los próximos meses, siguiendo la pauta habitual de la franquicia, aunque sin fecha exacta confirmada.

Guía rápida de plataformas: dónde encontrar las principales ganadoras

Para no perderte entre tanto servicio, conviene hacer un repaso de dónde se concentra el grueso de las películas premiadas. En España, las grandes protagonistas están bastante repartidas entre las plataformas más conocidas.

• HBO Max: alberga pesos pesados como ‘Una batalla tras otra’ y ‘Los pecadores’, además de títulos como ‘Weapons’ o el documental ‘The Alabama Solution’ en el apartado de nominadas.
• Movistar Plus+: es clave para seguir el rastro de las ganadoras en España, con ‘Los pecadores’, ‘Sirât’, el futuro estreno en catálogo de ‘Valor sentimental’ y el acceso a ‘Mr. Nobody contra Putin’ junto a Filmin.
• Netflix: apuesta fuerte por la animación y el género, con ‘Frankenstein’, ‘Las guerreras K-pop’ y también con candidatas como ‘Sueños de trenes’ o el corto documental ‘Todas las habitaciones vacías’.
• Apple TV: se queda con producciones de alto presupuesto como ‘F1: La película’, y ofrece en alquiler digital ‘Hamnet’ o varios de los títulos nominados en categorías internacionales y documentales.
• Filmin: sigue siendo el refugio del cine independiente e internacional, con la llegada de ‘Valor sentimental’, la disponibilidad de ‘Mr. Nobody contra Putin’ y un buen número de nominadas menos comerciales.

En la práctica, con la combinación de dos o tres servicios de los más habituales es posible ver prácticamente todo el cuadro de honor de esta edición, dejando solo contadas excepciones para el cine que todavía resiste en las salas.

Con las ganadoras ya repartidas entre HBO Max, Movistar Plus+, Netflix, Filmin, Apple TV y las salas, organizarse un maratón de cine oscarizado este año es más cuestión de tiempo que de encontrar dónde verlo. Desde la gran vencedora, ‘Una batalla tras otra’, hasta propuestas más pequeñas como el documental ‘Mr. Nobody contra Putin’ o el terror de ‘Weapons’, el mapa de plataformas en España deja claro que casi todo el palmarés está al alcance del mando, ya sea en suscripción, en alquiler digital o todavía en pantalla grande.

La industria del cine ha vivido un momento que muchos consideraban pendiente desde hace décadas: Autumn Durald Arkapaw se ha convertido en la primera mujer en ganar el Oscar a mejor dirección de fotografía. Su trabajo en la película de Ryan Coogler, conocida como «Sinners» («Los pecadores») en el mercado hispanohablante, ha roto una de las barreras más resistentes de los premios de la Academia.

Hasta ahora, la categoría de fotografía era un terreno prácticamente vetado a las mujeres, pese a su peso clave en la puesta en escena. La victoria de Durald Arkapaw en los 98º Premios Oscar, celebrados en Los Ángeles, supone un giro histórico en una disciplina considerada una de las más técnicas del cine, y lanza un mensaje claro a las nuevas generaciones de cineastas, también en Europa y España, donde la presencia femenina en los departamentos de cámara sigue siendo minoritaria.

Un hito histórico en una categoría dominada por hombres

La directora de fotografía estadounidense, de 46 años y ascendencia filipina y criolla, ha puesto su nombre en los libros de historia de la Academia. Nunca antes una mujer había logrado el Oscar a mejor fotografía, a pesar de que algunas habían estado cerca. La propia Durald Arkapaw ya era un referente como primera mujer de color nominada en esta categoría, y ahora remata ese camino con la estatuilla.

Antes de esta edición solo tres profesionales habían logrado colarse entre los finalistas: Rachel Morrison por «Mudbound», Ari Wegner por «The Power of the Dog» y Mandy Walker por «Elvis». Ninguna de ellas se fue a casa con el premio, lo que hacía aún más significativa la victoria de Durald Arkapaw. En más de nueve décadas de Oscars, solo cuatro mujeres han llegado a la nominación y una ha conseguido imponerse, lo que ilustra la magnitud del cambio.

La cineasta ya sonaba como firme candidata desde el estreno de «Sinners» en la temporada de premios, y muchos la vieron siguiendo una guía para ver en streaming. Su propuesta visual, que combina grandes formatos, luz natural y una narrativa muy física de los personajes, fue destacada por la crítica especializada tanto en Estados Unidos como en diferentes festivales europeos donde la película se proyectó en pases de industria.

Este reconocimiento llega, además, en un contexto de discusión global sobre la diversidad en la Academia y en los rodajes: el triunfo de Durald Arkapaw se interpreta como un paso más en la apertura de un área donde las mujeres han tenido históricamente muy poco margen de maniobra, a pesar de que en escuelas de cine europeas y españolas cada vez hay más alumnas en las especialidades de cámara y foto.

Un discurso convertido en declaración colectiva

El momento de recoger la estatuilla fue tan simbólico como el propio premio. Durante su discurso, Autumn Durald Arkapaw pidió a todas las mujeres presentes en el Dolby Theatre que se pusieran de pie. El gesto convirtió un reconocimiento individual en una escena coral que, en cuestión de segundos, dio la vuelta al mundo.

“Siento que no estaría aquí sin vosotras”, dijo ante la audiencia, subrayando el apoyo de las compañeras de profesión y de todas las mujeres que, dentro y fuera de la industria, han ido abriendo camino. La cineasta agradeció el cariño recibido de las mujeres que la han acompañado durante la campaña de premios y remarcó que veía el Oscar como una victoria compartida.

La directora de fotografía también dedicó palabras a su entorno más cercano. Agradeció a su marido y a sus padres, y pidió ver a su hijo pequeño, Aidan, que fue acercado al escenario para compartir con ella unos segundos de ese momento histórico. Con la estatuilla en la mano, resumió el impacto del reconocimiento con una frase sencilla: “Es un honor”.

Durante su intervención, Durald Arkapaw saludó a varios miembros del equipo de «Sinners» que se encontraban en la sala y volvió a destacar el papel del director Ryan Coogler en su trayectoria. Según relató, cada vez que ella le da las gracias por la oportunidad, él responde que es él quien está agradecido por su confianza y su mirada detrás de la cámara.

«Sinners» / «Los pecadores»: una colaboración que ya venía de lejos

El triunfo de Autumn Durald Arkapaw no se entiende sin su estrecha colaboración con Ryan Coogler, uno de los directores más influyentes del cine comercial reciente. Ambos habían trabajado juntos previamente en «Black Panther: Wakanda Forever», consolidando una relación creativa que ha continuado y se ha intensificado en «Sinners».

En esta nueva película, traducida como «Los pecadores» en algunos territorios de habla hispana, la responsable de fotografía ha desarrollado una puesta en escena que combina espectáculo visual y un tratamiento muy cuidadoso de los personajes. Una de las secuencias que más ha llamado la atención es la presentación de Remmick, un vampiro irlandés interpretado por Jack O’Connell, perseguido por un grupo de choctaw en una escena filmada como si fuera un western al atardecer.

Durald Arkapaw ha explicado que esa escena, con complejos movimientos de grúa y momentos muy íntimos, fue inicialmente concebida para rodarse en un formato menos exigente, ya que las cámaras IMAX son grandes y ruidosas, algo poco práctico para secuencias cargadas de diálogo. Finalmente, el equipo decidió asumir el reto y rodarla igualmente en gran formato, una decisión que ella misma celebra: ahora, asegura, le cuesta imaginar esa secuencia en otro sistema.

El trabajo de cámara recurre a planos panorámicos para registrar los paisajes y al mismo tiempo a movimientos de Steadicam en interiores, un sello muy característico del cine de Coogler. A la cineasta le gusta recordar que al director le fascinan los pasillos, y que esa obsesión se nota en cómo la cámara se mueve por los espacios cerrados de la película.

Un proyecto que rompe límites técnicos: IMAX y gran formato

Más allá del Oscar, «Sinners» ya era un título señalado en la historia de la cinematografía por una razón muy concreta: antes de esta producción, ninguna mujer había rodado una película en formato IMAX en cine. Durald Arkapaw venía de trabajar con IMAX digital en «Black Panther: Wakanda Forever», pero dar el salto al celuloide planteaba un nuevo conjunto de desafíos.

Las cámaras IMAX en película son conocidas por ser equipos voluminosos, pesados y especialmente ruidosos. Ese ruido complica las escenas dialogadas, y el tamaño de los cuerpos de cámara limita, en teoría, la agilidad de ciertos movimientos. Ante esas dudas, la directora de fotografía decidió consultar con Hoyte van Hoytema, responsable de la fotografía de «Oppenheimer» y uno de los especialistas más reconocidos en este formato.

El consejo de Van Hoytema fue directo: le recomendó que no se obsesionara con el tamaño ni el peso del equipo y que abordara la película como cualquier otro proyecto, concentrándose en contar la historia. Para Durald Arkapaw, escuchar eso al comienzo del proceso fue “inspirador y alentador”, hasta el punto de que se convirtió en una especie de brújula durante el rodaje.

Finalmente, el equipo optó por una combinación de película IMAX y Ultra Panavision 70, un formato todavía más inusual que algunos recuerdan por su uso en «Los odiosos ocho» de Quentin Tarantino. Esa mezcla de tecnologías permitió jugar con distintas relaciones de aspecto y texturas de imagen, algo que ha sido muy comentado en círculos de crítica y foros especializados europeos, donde se valora especialmente la experimentación formal.

Para muchas jóvenes directoras de fotografía que se forman en escuelas de cine de España, Francia o Alemania, el trabajo de Durald Arkapaw es ya un ejemplo concreto de cómo es posible manejar grandes formatos sin renunciar a una mirada personal, y demuestra que el acceso a tecnologías habitualmente reservadas a superproducciones no tiene por qué estar limitado a un perfil muy concreto de profesionales.

Trayectoria: del arte y la fotografía a la élite de Hollywood

La carrera de Autumn Durald Arkapaw no surgió de la nada. Originaria del norte de California, estudió Historia del Arte en la Universidad Loyola Marymount, una formación que, según ha comentado en varias entrevistas, influyó profundamente en su manera de entender la composición, la luz y el color.

Posteriormente cursó un posgrado en el American Film Institute (AFI), una de las instituciones de referencia para cineastas de todo el mundo, incluidas muchas procedentes de Europa y España que buscan especializarse en fotografía. Allí aprovechó su base en fotografía fija para dar el salto a la dirección de fotografía cinematográfica.

Antes de llegar a las grandes superproducciones, Durald Arkapaw trabajó en publicidad, videoclips y proyectos independientes. Entre sus primeros títulos como directora de fotografía figuran películas como «Palo Alto» y «The Last Showgirl», además de numerosos anuncios y vídeos musicales, incluido un trabajo para Rihanna. Con el tiempo, esa combinación de proyectos más pequeños y encargos comerciales fue perfilando un estilo propio marcado por la sensibilidad hacia los rostros y la atmósfera.

Su salto definitivo al gran escaparate internacional llegó con «Black Panther: Wakanda Forever», donde ya experimentó con IMAX digital y universos de gran escala. Esa colaboración con Ryan Coogler abrió la puerta a seguir trabajando juntos en «Sinners», un proyecto que, además de su éxito en los Oscars, ha consolidado a Durald Arkapaw como una de las directoras de fotografía más influyentes de la actualidad.

Competencia en la categoría y balance de la noche

Para conquistar el Oscar, Autumn Durald Arkapaw tuvo que imponerse a una terna de directores de fotografía con carreras muy consolidadas. Entre los nominados de este año figuraban Adolpho Veloso por «Train Dreams» / «Sueños de trenes», Michael Bauman por «One Battle After Another» / «Una batalla tras otra», Dan Laustsen por «Frankenstein» y Darius Khondji por «Marty Supreme».

La victoria de «Sinners» en fotografía se produjo en una ceremonia especialmente reñida en lo técnico. «Los pecadores» llegaba como una de las grandes favoritas con un récord de dieciséis nominaciones, una cifra que la colocaba en el centro de todas las quinielas. Finalmente, la película de Coogler se fue a casa con cuatro estatuillas: Fotografía, Guion original (Ryan Coogler), Banda sonora (Ludwig Göransson) y Actor protagonista (Miguel B. Jordan).

Pese a esa cosecha, la gran vencedora de la noche fue «Una batalla tras otra», que se alzó con seis premios, incluyendo Mejor película, Dirección y Guion adaptado para Paul Thomas Anderson, además de Actor de reparto (Sean Penn), Montaje (Andy Jurgensen) y Casting (Cassandra Kulukundis). El reparto de galardones dejó una gala muy repartida, con varias producciones de alto perfil compartiendo protagonismo.

En Europa y concretamente en España, la prensa especializada ha destacado el valor simbólico de que el Oscar a mejor fotografía recaiga por primera vez en una mujer, al tiempo que se señala la necesidad de que este tipo de reconocimientos se traslade también a los premios locales. No son pocos los festivales europeos que, en los últimos años, han empezado a incorporar debates y secciones específicas sobre la presencia femenina en los equipos de cámara.

Referencia para nuevas generaciones de directoras de fotografía

El impacto del triunfo de Autumn Durald Arkapaw va más allá de una sola noche de premios. Su figura se ha convertido en un espejo en el que pueden mirarse muchas jóvenes que aspiran a trabajar en fotografía cinematográfica, un campo en el que la brecha de género sigue siendo evidente, también en la industria europea.

La propia cineasta ha comentado en varias ocasiones que, cuando empezó, le resultaba difícil encontrar referentes femeninos. Uno de los pocos nombres que aparecían con frecuencia era el de Ellen Kuras, directora de fotografía de «Eterno resplandor de una mente sin recuerdos». Hoy la situación ha mejorado, pero las cifras siguen siendo modestas si se comparan con otros departamentos del cine donde hay mayor presencia de mujeres.

Durald Arkapaw suele citar una frase que le marcó: “necesitas verte para poder ser”. Para ella, el hecho de que más mujeres puedan acceder a rodajes en gran formato o en producciones de alto presupuesto no solo amplía el abanico de voces que cuentan historias, sino que también inspira a chicas que quizá no se imaginaban en esos puestos. El Oscar a mejor fotografía refuerza ese mensaje con una visibilidad que trasciende fronteras.

En escuelas y facultades de cine de España y de otros países europeos, profesorado y alumnado empiezan a utilizar casos como el de Durald Arkapaw para ilustrar cómo se está transformando el panorama profesional. La combinación de una sólida formación artística, experiencia en proyectos independientes y manejo de tecnologías avanzadas refuerza la idea de que hay múltiples caminos posibles hacia la dirección de fotografía, y de que ninguno debería estar condicionado por el género.

Todo lo ocurrido alrededor de «Sinners» y de la figura de Autumn Durald Arkapaw se percibe ya como un punto de inflexión en la historia de los Oscars y, por extensión, en la del propio oficio de director de fotografía. Un premio largamente esperado, un discurso que convirtió la alegría individual en una celebración colectiva y un trabajo visual que rompe límites técnicos y simbólicos sitúan a esta cineasta en el centro de una conversación global sobre quién cuenta las historias y desde qué mirada se filman. Para la industria, para las nuevas generaciones y para el público europeo, su victoria funciona como recordatorio de que los cambios llegan despacio, pero cuando aterrizan pueden abrir una puerta que ya no se cierra.

Con la gala de los Premios Oscar a la vuelta de la esquina, muchos espectadores andan haciendo malabares para ponerse al día con las cintas más comentadas del año. La lista de nominadas es larga, las plataformas se han multiplicado y no siempre está claro dónde ver en streaming las películas nominadas sin volverse loco comparando catálogos.

Si vives en España (o en buena parte de Europa) y quieres llegar a la alfombra roja con los deberes hechos, esta guía reúne en un solo lugar las principales películas nominadas, con especial atención a las favoritas a mejor película, mejor película internacional y algunos títulos clave de animación, efectos visuales y apartados interpretativos. También repasamos qué sigue en cines y qué solo puede verse mediante alquiler digital.

Las grandes favoritas: dónde ver las más nominadas

El duelo de este año está protagonizado por dos títulos que se han colado en casi todas las quinielas: Los pecadores y Una batalla tras otra. Entre ambas suman casi treinta nominaciones, así que son las primeras que conviene tachar de la lista si quieres seguir la gala con algo de criterio.

Los pecadores, el ambicioso thriller sobrenatural de Ryan Coogler, ha hecho historia con 16 candidaturas, el récord absoluto de la Academia. La historia sigue a dos hermanos gemelos interpretados por Michael B. Jordan que regresan a su pueblo sureño para abrir un club de música en plena época de segregación, mezclando terror de vampiros, blues y drama racial. En España puede verse en HBO Max y también está disponible en Movistar Plus+, además de aparecer en algunas listas de títulos destacados previas a la gala.

En el otro lado del ring está Una batalla tras otra, la nueva película de Paul Thomas Anderson, adaptando la novela Vineland de Thomas Pynchon. Con 13 nominaciones, se ha convertido para muchos en la verdadera favorita al Oscar a mejor película. El filme sigue a un ex revolucionario, interpretado por Leonardo DiCaprio, que debe volver a la acción cuando su hija desaparece y reaparece un viejo enemigo ligado al estamento militar. En España puede verse en HBO Max y, en algunos casos, en Movistar Plus+ bajo alquiler o dentro de paquetes de cine según la oferta vigente.

Por detrás de estas dos gigantes se sitúa un bloque de títulos con 9 nominaciones cada uno: Marty Supreme, Frankenstein y Valor sentimental. Junto a ellas, Hamnet se coloca muy cerca con 8 candidaturas, consolidando un grupo de películas que será difícil esquivar durante la ceremonia.

Para los que van con el tiempo justo, basta con centrarse en este puñado de obras: si has visto Los pecadores, Una batalla tras otra, Frankenstein, Marty Supreme, Valor sentimental, Hamnet y la española Sirat, tendrás controladas prácticamente todas las categorías grandes, desde película y dirección hasta interpretación y guion.

Dónde ver las nominadas a mejor película

La categoría de mejor película es la que marca buena parte del consumo previo a la gala. Las plataformas han movido ficha para tener en catálogo la mayoría de los títulos clave, aunque todavía hay alguna producción que solo se puede ver en cines o en alquiler digital.

Los pecadores está disponible en HBO Max y en Movistar Plus+ en España, y figura además en la selección de títulos destacados en algunos canales temáticos dedicados a los Oscar. La cinta, que mezcla vampiros, música y racismo en la Misisipi de principios del siglo XX, también opta a premios técnicos como sonido, montaje, fotografía, diseño de producción, vestuario, maquillaje o efectos visuales, además de contar con tres interpretaciones nominadas.

Una batalla tras otra, que combina sátira política y relato de acción, se puede ver en HBO Max. En varios catálogos europeos también está disponible en alquiler digital a través de plataformas como Movistar Plus+, Filmin o Google Play, algo útil si quieres ver la película sin suscribirte a otra plataforma más.

Frankenstein, la versión largamente acariciada por Guillermo del Toro del clásico de Mary Shelley, se encuentra en Netflix. Se trata de una de las grandes bazas de la plataforma en esta temporada de premios, con 9 nominaciones que abarcan mejor película, director, actor de reparto para Jacob Elordi, guion adaptado, sonido, fotografía, diseño de producción, vestuario y maquillaje y peluquería.

La intimista Sueños de trenes también forma parte del grupo de títulos destacados a mejor película para muchos analistas. Adaptación de la novela de Denis Johnson, sigue a un trabajador del ferrocarril a principios del siglo XX mientras asiste al avance imparable del progreso industrial. En España está disponible en Netflix, y en algunos territorios europeos continúa además con un pequeño recorrido en salas, lo que permite elegir entre sala oscura o sofá.

F1: la película, el gran espectáculo de carreras dirigido por Joseph Kosinski y protagonizado por Brad Pitt, se puede ver en Apple TV en España. La plataforma ofrece la cinta dentro de su catálogo y, en determinados mercados, también en modalidad de alquiler en otros servicios como Amazon Prime Video, aunque el foco principal está en Apple TV+ como hogar de la producción.

En lo que respecta a Marty Supreme, el biopic deportivo sobre Marty Reisman protagonizado por Timothée Chalamet, en España la situación es algo distinta. La película sigue estando en cines con una presencia importante en la cartelera, de modo que quienes quieran verla antes de los Oscar tendrán que pasar, por ahora, por taquilla. En otros territorios, especialmente en Estados Unidos, se ha anunciado su llegada a Apple TV+ y Prime Video en alquiler, pero en el mercado español esa ventana aún no se ha abierto.

La noruega Valor sentimental, otra de las favoritas del año con 9 nominaciones, se proyecta igualmente en salas españolas y ha tenido un recorrido notable en festivales europeos. Para quienes prefieran esperar al sofá, se ha fijado su llegada a las plataformas: en España aterrizará en Filmin y en Movistar Plus+ a partir del 27 de marzo, una fecha posterior a la gala pero clave para seguir la conversación que se genere tras los premios.

Por su parte, Hamnet, la adaptación de la novela de Maggie O’Farrell dirigida por Chloé Zhao, se ha convertido en uno de los dramas más comentados del año, con 8 candidaturas. En España se estrena en cines con una amplia distribución, y también se puede encontrar en alquiler digital en Prime Video, Apple TV, Filmin, Rakuten TV y YouTube, lo que facilita bastante el acceso para quienes no tengan una gran sala cerca.

Películas internacionales y la presencia de España

La categoría de mejor película internacional siempre despierta especial interés en Europa, y este año la presencia española añade un plus. El título que representa al país es Sirat (o Sirât en algunas grafías), dirigida por Oliver Laxe, que compite con dos nominaciones: mejor película internacional y mejor sonido.

La cinta narra la odisea de un padre y su hijo pequeño que viajan a raves en el sur de Marruecos buscando a la hija mayor desaparecida. Entre montañas, desierto y música electrónica, el filme se convierte en un viaje físico y emocional sobre la familia, la culpa y el choque con un entorno que les resulta ajeno. En España, Sirat se puede ver en Movistar Plus+, que ofrece la película en streaming, y en paralelo mantiene copias en cines de todo el país, desde salas independientes hasta cadenas comerciales.

Junto a la española, la sección internacional reúne otros títulos muy presentes también en plataformas europeas. La ya mencionada Valor sentimental representa a Noruega, combinando melodrama familiar y reflexión sobre el arte, y su ventana en Filmin y Movistar Plus+ será una de las más seguidas después de la gala. En Francia, uno de los títulos clave es Un simple accidente, que mezcla drama carcelario y conflicto moral, disponible en España tanto en Movistar Plus+ como en Filmin y en distintos servicios de alquiler digital.

Otro nombre que se repite en las quinielas es La voz de Hind, coproducción franco-tunecina que reconstruye, mezclando ficción y material de archivo, la llamada desesperada de una niña atrapada bajo el fuego en Gaza. En territorio español puede verse en Filmin y en Movistar Plus+, y compite directamente con Sirat en la categoría internacional.

En el frente latinoamericano destaca El agente secreto, dirigida por Kleber Mendonça Filho y ambientada en el Brasil de la dictadura militar de finales de los años setenta. La película sigue a un profesor y experto en tecnología que se refugia en Recife huyendo de un poderoso empresario vinculado al régimen. En España, la cinta se estrenó en cines el 20 de febrero y todavía no ha llegado a las plataformas; su desembarco en Filmin y Movistar Plus+ está previsto para junio, cuando se espera que pase a engrosar el catálogo de cine de autor internacional.

Esta combinación de títulos hace que, para un espectador europeo, la categoría internacional sea probablemente una de las más accesibles en streaming: basta con tener Movistar Plus+ y Filmin (o acceso ocasional mediante alquiler digital) para poder ver casi todas las candidatas fuertes antes o después de la gala.

Animación, efectos visuales y otros títulos recomendables

Más allá de las grandes categorías de interpretación y guion, la edición de este año presenta una cosecha especialmente llamativa en animación y efectos visuales, donde también resulta fácil encontrar opciones en streaming desde España y otros países europeos.

En animación, una de las sensaciones globales ha sido Las guerreras k-pop (estrenada internacionalmente como K-Pop Demon Hunters), que combina aventura fantástica y fenómeno fan. La película sigue a tres integrantes de un grupo de K-pop que, cuando no están llenando estadios, se convierten en cazadoras de demonios para proteger a sus seguidores de amenazas sobrenaturales. Cuenta con nominaciones a mejor película animada y mejor canción original, y en España se puede ver en Netflix, donde ha funcionado muy bien entre el público más joven.

Otra pieza clave es Elio, la apuesta de Pixar para esta temporada de premios. El filme pone el foco en un niño con una imaginación desbordante que es confundido con el representante oficial de la Tierra al ser abducido y llevado a una organización intergaláctica. La película está nominada a mejor largometraje animado y en España se puede ver en Disney+, tanto en versión original como doblada a varios idiomas europeos.

La secuela Zootrópolis 2 (o Zootopia 2) también figura entre las nominadas a mejor película de animación. Retoma a Judy Hopps y Nick Wilde en un nuevo caso que les obliga a infiltrarse en distintas zonas de la ciudad animal, poniendo a prueba su relación profesional y personal. En España, el título está disponible en Disney+, donde se ha convertido en uno de los grandes éxitos de visionado del último año.

ARCO, producción europea de ciencia ficción animada ambientada en 2075, ha sido otra de las sorpresas del año. La historia sigue a una niña que encuentra a un misterioso chico con un traje de arcoíris que ha llegado desde el futuro por error. Aunque todavía no se puede ver en streaming en España, algunos operadores han anunciado su futura incorporación a catálogos como Movistar Plus+, lo que mantendrá vivo el interés a medio plazo.

En el terreno de los efectos visuales, varios grandes títulos comerciales comparten nominaciones. F1: la película, ya comentada, compite en esta categoría y se puede ver en Apple TV. Junto a ella aparecen producciones como Avatar: Fuego y cenizas (con exclusiva en cines y llegada posterior a Disney+), Jurassic World: El renacer (disponible en Movistar Plus+, SkyShowtime y Filmin, además de otros servicios de alquiler) o Laberinto en llamas, el drama de supervivencia de Paul Greengrass que se puede ver en Apple TV.

Entre los títulos con nominaciones interpretativas o de guion que también están fáciles de localizar en plataformas conviene apuntar algunos nombres. Blue Moon, centrada en el compositor Lorenz Hart e interpretada por Ethan Hawke, está disponible en alquiler digital en Prime Video, Apple TV, Movistar Plus+, Rakuten o Google Play. Weapons, por la que Amy Madigan compite a mejor actriz de reparto, se puede ver en HBO Max y en Filmin, consolidándose como otra de las opciones importantes para los aficionados al terror.

El apartado documental también llega bien surtido a las plataformas españolas. La solución al estilo Alabama, que analiza el sistema penitenciario del estado desde dentro de las prisiones, está en HBO Max y Movistar Plus+. La vecina perfecta y Todas las habitaciones vacías, ambas nominadas y centradas en problemáticas sociales de los Estados Unidos, se pueden encontrar en Netflix. Y Abrázame en la luz, que sigue a la poeta Andrea Gibson tras un diagnóstico de cáncer, está disponible en Apple TV.

Cómo seguir la gala y exprimir las plataformas en España

Además de saber en qué plataforma está cada película, muchos espectadores en España se preguntan cómo ver la gala y qué servicios se han volcado más con la programación especial de los Oscar. Este año, la retransmisión en directo vuelve a recaer en Movistar Plus+, que ofrece la ceremonia desde el Dolby Theatre con programa previo, alfombra roja y comentarios de críticos y especialistas.

La plataforma de pago ha creado también un canal específico, Los Oscar por M+, en el que se programan a lo largo de las semanas previas una selección de títulos nominados este año y ganadores de ediciones anteriores. Muchas de las películas mencionadas en esta guía, desde Los pecadores hasta Un simple accidente o Sirat, pasan por este canal en algún momento, de modo que es una vía cómoda para ir encadenando visionados sin tener que buscar uno a uno en el buscador.

La televisión en abierto también se suma a la fiebre por los premios. La 1 de RTVE ha programado durante el fin de semana un maratón de títulos oscarizados, con cintas como Barbie, El discurso del rey, Emma, Spotlight o El silencio de los corderos. No son candidatas de este año, pero ayudan a mantener el ambiente y recuerdan algunos de los grandes éxitos recientes y clásicos de la Academia.

Otros servicios gratuitos, como RunTime Cine y Series, han preparado ciclos de clásicos de los Oscar con películas como Las nieves del Kilimanjaro o Adiós a las armas. Para quienes no tengan suscripciones, estas propuestas son una forma de sumarse a la fiesta del cine sin coste adicional, mientras que los suscriptores de pago pueden combinar estos contenidos con las nominadas actuales en sus plataformas habituales.

Al final, si se mira el mapa completo, la mayoría de las películas clave de la temporada de premios están ya disponibles en una combinación de HBO Max, Netflix, Disney+, Apple TV, Movistar Plus+, Filmin y Prime Video. Entre estas plataformas se reparten casi todas las favoritas a mejor película, película internacional, animación, efectos visuales y principales apartados interpretativos, lo que facilita mucho preparar una maratón previa a la gala sin necesidad de recurrir a importaciones ni rodeos complicados.

Quien llegue a la madrugada de la ceremonia con unas cuantas de estas cintas vistas tendrá una buena panorámica de lo que la Academia ha querido destacar este año: desde la reinvención de clásicos como Frankenstein hasta el cine de género más arriesgado de Los pecadores, pasando por el pulso político de Una batalla tras otra, el intimismo de Hamnet o la energía desértica de la española Sirat, todo ello accesible ya en streaming o a tiro de clic en alquiler digital para quien quiera ponerse al día antes de que empiecen a repartirse las estatuillas.

Durante casi dos años, miles de jugadores de PC han confiado en que descargar un juego desde Steam era sinónimo de entorno seguro, pero una investigación abierta del FBI ha demostrado que esa sensación de tranquilidad no era tan sólida como parecía. Varios títulos aparentemente inocuos se habrían utilizado como caballo de Troya para introducir malware capaz de robar datos personales, bancarios y criptomonedas directamente desde los ordenadores de los usuarios; un ejemplo reciente detectó un juego en Steam que esconde malware que ilustra bien el riesgo.

La Oficina Federal de Investigación de Estados Unidos ha hecho un llamamiento público a quienes hayan instalado ciertos juegos en Steam entre mayo de 2024 y enero de 2026. El objetivo es localizar a todas las posibles víctimas de esta campaña maliciosa, determinar el alcance real del ataque y reforzar un caso que, según el propio organismo, podría formar parte de un entramado criminal complejo y no de incidentes aislados.

Qué está investigando exactamente el FBI

La División del FBI en Seattle ha publicado un aviso oficial en el que detalla que está recabando información sobre una campaña de malware distribuido a través de videojuegos publicados en Steam, la tienda de PC gestionada por Valve. Según la agencia, un actor o grupo de actores habría conseguido subir varios títulos a la plataforma, superar los controles iniciales y, en algunos casos, aprovechar actualizaciones posteriores para introducir el código malicioso.

El periodo en el punto de mira se sitúa entre mayo de 2024 y enero de 2026, una ventana de tiempo relativamente amplia que indica que los responsables habrían operado con cierta continuidad. Los juegos señalados se presentaban como productos funcionales —muchos de ellos modestos, sin grandes campañas de marketing—, lo que les permitió pasar desapercibidos entre el enorme catálogo de Steam, que supera los cien mil títulos.

La agencia explica que el objetivo inmediato es identificar a las víctimas de los delitos federales que se investigan. Más allá del plano penal, ese paso es imprescindible porque, en el marco legal estadounidense, las personas afectadas pueden tener derecho a servicios específicos, restitución económica y otros derechos de protección tanto a nivel federal como estatal.

Por ahora, el FBI evita dar detalles técnicos exhaustivos sobre el malware en cuestión —algo habitual en investigaciones en curso—, pero sí aclara que se trataría de software orientado a robar credenciales, datos personales y bienes digitales, incluidas criptomonedas y acceso a servicios financieros online.

Los juegos de Steam en el punto de mira

En la documentación difundida por el FBI y recogida por distintos medios especializados se repiten una y otra vez los mismos nombres. La investigación se centra en al menos siete u ocho juegos de Steam que actuaron como vector de infección: BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi y Tokenova. En algunos listados Dashverse y DashFPS se agrupan como un único caso, pero el fondo del problema es el mismo: títulos pequeños que sirvieron para colar malware en los equipos.

Estos juegos, en apariencia, cumplían con las normas formales de la tienda de Valve. Muchos se publicaron como proyectos de bajo presupuesto o en acceso anticipado, lo que encaja bien con el perfil de la escena independiente. Una vez ganada cierta tracción y tras superar los filtros iniciales, los responsables habrían aprovechado parches y actualizaciones para introducir componentes maliciosos que no estaban presentes en las primeras versiones o que, en cualquier caso, no habían sido detectados.

El caso de PirateFi ilustra bien la situación. Se trataba de un juego gratuito de supervivencia que llegó a Steam a principios de 2024. Poco después, investigadores y usuarios empezaron a detectar código diseñado para robar credenciales de cuentas y otra información sensible. Valve terminó retirando el título de la tienda, pero para entonces ya lo habían descargado cientos o incluso más de un millar de jugadores, que pudieron quedar expuestos sin ser conscientes del problema.

Otro título muy citado es BlockBlasters, un juego de estética sencilla que llegó a la plataforma en 2025. Según las pesquisas posteriores, en una actualización publicada meses después se introdujo un componente que actuaba como drenador de criptomonedas. Aprovechando el acceso al sistema, el malware habría robado en torno a 150.000 dólares en activos digitales, vaciando billeteras y cuentas asociadas a los equipos comprometidos.

En el caso de Chemia, presentado como una propuesta de supervivencia en acceso anticipado, los análisis hablan de varias variantes de malware integradas en el juego, con capacidad para capturar contraseñas, datos bancarios y otros datos personales. Títulos como Dashverse, DashFPS, Lampy, Lunara y Tokenova completan la lista bajo la lupa de las autoridades, todos ellos con un patrón común: juegos funcionales, de baja visibilidad mediática, que servían como transporte de software malicioso.

Cómo actuaba el malware y por qué es tan preocupante

Detrás de esta campaña no había simples virus ruidosos que bloquean el ordenador al primer reinicio, sino infostealers y troyanos discretos pensados para pasar desapercibidos el máximo tiempo posible. El código malicioso incrustado en estos juegos de Steam estaba orientado principalmente a robar información y acceso, más que a destruir archivos de forma visible.

En muchos casos, el malware se encargaba de capturar contraseñas, cookies de sesión y credenciales de servicios variados, desde cuentas bancarias hasta plataformas de criptomonedas, pasando por correos electrónicos, redes sociales o tiendas digitales. Con esas cookies y credenciales, los atacantes podían eludir en parte medidas como la autenticación en dos pasos, iniciando sesión como si fueran el propio usuario legítimo desde otros dispositivos.

También se han documentado casos en los que este tipo de software incorpora módulos capaces de instalar otros programas maliciosos en segundo plano, como mineros de criptomonedas o herramientas específicas de robo de contraseñas almacenadas en navegadores. Ese comportamiento encaja con lo que se ha visto en otros ataques recientes dirigidos a jugadores, tanto en Steam como en títulos descargados desde webs de terceros —por ejemplo, jugadores de Roblox sufren ciberataques—.

Para el usuario medio, el gran problema es que el juego aparentemente se comporta con normalidad. Los títulos afectados se podían ejecutar, permitían jugar y no siempre mostraban fallos graves, lo que reducía las sospechas. Mientras tanto, en segundo plano, el malware recogía datos, cifraba información y la enviaba a servidores controlados por los atacantes, sin grandes señales visibles más allá, quizá, de un ligero empeoramiento del rendimiento del equipo.

Todo esto se agrava por la enorme base de usuarios de Steam, que supera ampliamente los 100 millones de cuentas activas. Aunque el número de víctimas reales de estos juegos concretos no se ha hecho público, cualquier operación maliciosa en una plataforma de este tamaño tiene potencial para alcanzar una escala considerable, incluso si los títulos implicados no son superventas.

El papel de Valve y las críticas a la seguridad de Steam

La existencia de juegos con malware en Steam plantea una cuestión incómoda para Valve: hasta qué punto son suficientes los controles de seguridad actuales de la tienda. La compañía revisa la ficha de los juegos, su contenido visible, posibles infracciones de derechos y otros aspectos formales, pero según apuntan varias fuentes, no realiza un análisis profundo y sistemático de todos los ejecutables y actualizaciones que suben los desarrolladores.

Ese enfoque, comprensible en una plataforma con un catálogo tan grande y un flujo constante de nuevos lanzamientos, abre sin embargo una puerta que los atacantes han sabido aprovechar. Al no existir una inspección exhaustiva de cada archivo ejecutable ni de cada parche, un estudio o desarrollador malicioso puede colar un título aparentemente inocente y, más adelante, camuflar una actualización que introduzca el código malicioso sin levantar demasiadas sospechas.

Cuando algunos de estos juegos empezaron a dar señales extrañas —ya fuera por reportes de usuarios, análisis de empresas de ciberseguridad o investigaciones periodísticas—, Valve reaccionó retirándolos de la tienda y enviando correos a los jugadores potencialmente afectados. En esos mensajes, la compañía recomendaba revisar el sistema, cambiar contraseñas y, en los casos más graves, incluso formatear el PC si se sospechaba una infección profunda.

Además de la retirada, Valve habría ofrecido ciertas compensaciones y soporte técnico a las personas afectadas, aunque los detalles económicos no se han hecho públicos de forma generalizada. Pese a ello, para el FBI este no es solo un incidente de seguridad ya resuelto, sino un posible síntoma de una operación criminal más amplia, con desarrolladores, afiliados y proveedores de infraestructura colaborando para rentabilizar al máximo la campaña.

Entre la comunidad de jugadores y desarrolladores se ha reavivado un debate que lleva tiempo sobre la mesa: la necesidad de que Steam endurezca sus filtros y revise con más detalle los títulos procedentes de estudios poco conocidos o sin historial previo en la plataforma. El reto, claro, es encontrar un equilibrio entre mantener una puerta abierta a la escena independiente y evitar que esa apertura sea usada como vía de entrada de malware.

Cómo está afectando esto a los jugadores europeos y españoles

Aunque el aviso oficial del FBI parte de Estados Unidos, los efectos de una campaña de malware en Steam no se limitan a un único país. La plataforma de Valve es global y, por tanto, los juegos afectados podían ser descargados desde prácticamente cualquier territorio, incluido España y el resto de Europa. Esto significa que usuarios españoles y europeos podrían haber instalado alguno de los títulos en cuestión sin ser conscientes del riesgo.

Por ahora, no se han publicado cifras desglosadas por región que indiquen cuántos jugadores europeos se han visto implicados, pero el propio diseño de Steam —sin barreras geográficas para la mayoría de lanzamientos— apunta a que la campaña tuvo alcance internacional. En consecuencia, las recomendaciones de seguridad del FBI y de las autoridades estadounidenses son perfectamente aplicables a los jugadores de la Unión Europea.

Desde el punto de vista regulatorio, este tipo de incidentes encaja de lleno con las preocupaciones actuales de organismos europeos en materia de protección de datos personales y seguridad digital. Normas como el Reglamento General de Protección de Datos (RGPD) y las iniciativas de ciberseguridad de la UE ponen el foco en la responsabilidad de las plataformas a la hora de proteger la información de sus usuarios, independientemente de que la empresa tenga su sede en otro continente.

En el caso de Valve, que opera Steam para millones de cuentas europeas, este episodio puede aumentar la presión regulatoria para que las grandes tiendas de software refuercen sus mecanismos de detección de amenazas, mejoren la transparencia sobre incidentes de seguridad y agilicen la notificación a usuarios potencialmente afectados en la región.

Para los jugadores españoles, la situación deja una idea clara: descargar un juego desde una tienda conocida no implica blindaje absoluto. Es recomendable combinar la confianza en plataformas consolidadas con medidas básicas de autoprotección digital, algo especialmente relevante para quienes manejan billeteras de criptomonedas, banca online o grandes cantidades de datos personales en el mismo equipo desde el que juegan.

Qué está pidiendo exactamente el FBI a los usuarios

Con la investigación en marcha, el FBI ha dado un paso poco habitual: ha pedido de forma abierta la colaboración de los jugadores. La agencia ha habilitado un formulario oficial en línea para que quienes hayan instalado alguno de los juegos investigados entre mayo de 2024 y enero de 2026 puedan ponerse en contacto con los investigadores y aportar toda la información que consideren relevante.

En ese formulario se solicita a los usuarios que detallen, entre otros aspectos, qué títulos descargaron, cuándo los instalaron, si detectaron comportamientos anómalos en sus ordenadores o en sus cuentas y si han sufrido robos de datos, accesos no autorizados o movimientos extraños en sus cuentas bancarias o billeteras digitales.

Las autoridades insisten en que la participación es voluntaria, pero subrayan que esos datos pueden resultar fundamentales para dimensionar el alcance de la campaña, identificar patrones comunes y, en último término, acercarse a los responsables. El FBI deja claro que todas las identidades de las víctimas se tratarán con confidencialidad, aunque avisa de que quienes respondan al formulario podrían ser contactados más adelante por los agentes.

Resulta especialmente relevante el aviso de la propia Valve a sus usuarios, en el que recomienda acceder al formulario únicamente a través de los canales oficiales de la agencia estadounidense o de los enlaces facilitados directamente por la compañía, precisamente para evitar que otros actores oportunistas aprovechen el ruido mediático para lanzar nuevas estafas disfrazadas de “ayuda” a las víctimas.

En paralelo, el FBI recuerda que, más allá de colaborar con la investigación, las personas que creen haber sido afectadas deberían tomar medidas inmediatas para proteger sus cuentas y dispositivos, algo que también recomiendan las principales empresas de ciberseguridad y las propias autoridades europeas en casos similares.

Medidas de seguridad recomendadas si has descargado alguno de estos juegos

Si en tu biblioteca de Steam ha estado presente alguno de los títulos bajo sospecha —BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi o Tokenova— durante el periodo investigado, lo más sensato es asumir una actitud de prudencia máxima, incluso aunque no hayas detectado nada extraño de momento.

Los especialistas y las propias autoridades coinciden en una serie de pasos básicos. En primer lugar, conviene desinstalar el juego afectado y realizar un análisis completo del sistema con un antivirus o solución de seguridad fiable y actualizada. Es recomendable complementar ese análisis con herramientas específicas contra infostealers y otros tipos de malware orientado al robo de credenciales.

El siguiente paso, aunque pueda resultar pesado, es cambiar las contraseñas de las cuentas más sensibles: correos electrónicos principales, banca online, monederos de criptomonedas, servicios en la nube, redes sociales y, por supuesto, la propia cuenta de Steam. Siempre que sea posible, merece la pena activar la autenticación en dos pasos y revisar qué dispositivos y sesiones están actualmente conectados.

También se aconseja echar un vistazo detallado a los movimientos bancarios y a la actividad de las billeteras digitales, por si se detecta alguna operación no reconocida. En caso de sospecha, es importante contactar con la entidad financiera o el servicio de criptomonedas correspondiente para bloquear el acceso y seguir sus protocolos de seguridad.

Por último, si tras estas comprobaciones crees que puedes haber sido víctima de esta campaña, es recomendable guardar los correos de aviso que hayas recibido, capturas de pantalla y cualquier otro indicio de actividad sospechosa. Esa información puede ser de utilidad tanto para las autoridades estadounidenses como para las fuerzas de seguridad y organismos de protección de datos en tu propio país, en caso de que decidas presentar una denuncia.

Todo lo ocurrido con estos juegos de Steam deja una lección clara tanto para los jugadores como para las propias plataformas: incluso en los ecosistemas más consolidados cabe la posibilidad de que aparezcan títulos que actúen como troyanos modernos, y solo la combinación de controles técnicos más estrictos, mayor transparencia y una actitud vigilante por parte de los usuarios permitirá reducir el margen de maniobra de campañas como la que ahora investiga el FBI.