Al revisar una empresa que ofrece servicios digitales —plataformas, aplicaciones, proveedores de software como servicio o integradores— no basta evaluar funcionalidades y precio. La seguridad de la información y la protección de datos personales determinan riesgos legales, reputacionales y económicos. Una mala valoración puede exponer a usuarios o a la propia organización a fugas de datos, incumplimientos normativos y pérdidas financieras. Este texto ofrece un marco práctico y detallado para evaluar esos aspectos con ejemplos, criterios técnicos y un listado de comprobación aplicable.
Consideraciones preliminares: gestión y cumplimiento normativo
- Responsabilidad y roles: verificar si la empresa declara un responsable de seguridad y un delegado de protección de datos o puesto equivalente. La existencia de políticas internas, comité de seguridad y procesos documentados es indicativa.
- Cumplimiento normativo: solicitar evidencias de cumplimiento con normativas aplicables: Reglamento General de Protección de Datos (RGPD) en la Unión Europea, leyes locales de protección de datos, normativas sectoriales (por ejemplo, normativa sanitaria equivalente en cada país). Revisar si han realizado evaluaciones de impacto de protección de datos (EIPD o DPIA).
- Políticas públicas: analizar la política de privacidad y la política de seguridad disponibles en su web. Deben ser claras sobre finalidad del tratamiento, bases legales, plazos de retención, derechos de los interesados y transferencia internacional de datos.
Protección técnica: medidas fundamentales
- Cifrado en tránsito y en reposo: verificar que emplean cifrado TLS 1.2/1.3 para las comunicaciones y un esquema sólido de cifrado en el almacenamiento, como AES-256, además de solicitar información sobre cómo administran y rotan las claves.
- Gestión de credenciales y autenticación: evaluar si disponen de autenticación multifactor tanto para cuentas administrativas como para las de los clientes, junto con políticas de contraseñas y mecanismos de bloqueo frente a intentos reiterados.
- Control de acceso e identidad: analizar el sistema de permisos basado en el principio de mínimo privilegio, el uso de accesos por roles, la separación de responsabilidades y la necesidad de aprobar accesos con privilegios elevados.
- Seguridad de la infraestructura: determinar si trabajan con proveedores de nube reconocidos, cómo aplican configuraciones seguras, la segmentación de la red y las medidas implementadas contra ataques de denegación de servicio.
- Protección de datos sensibles: comprobar si recurren a la pseudonimización o la anonimización y si incluyen cifrado especializado para datos especialmente delicados, como identificadores personales, información financiera o datos sanitarios.
- Registro y auditoría: confirmar que generan y mantienen registros de accesos, modificaciones y eventos de seguridad con una sincronización horaria adecuada y una política de conservación claramente definida.
Gestión de riesgos, pruebas y respuesta a incidentes
- Evaluaciones periódicas: solicitar informes recientes de pruebas de penetración y análisis de vulnerabilidades; en lo posible, contar con auditorías externas anuales y ensayos internos cada trimestre.
- Programa de gestión de vulnerabilidades: verificar que exista un procedimiento claro para aplicar parches, priorizar riesgos y reducir hallazgos dentro de plazos establecidos.
- Plan de respuesta a incidentes: comprobar la presencia de un plan documentado, equipos designados, flujos de comunicación —incluida la notificación a autoridades y personas afectadas— y la realización de simulacros.
- Historial de incidentes: solicitar información sobre incidentes previos, sus causas, las acciones correctivas aplicadas y los tiempos empleados para su resolución; la franqueza en estos datos suele ser un buen signo.
Proveedores, tareas subcontratadas y transferencias
- Cadena de suministro: reconocer a los terceros esenciales, incluidos proveedores de nube, servicios de pago y plataformas de análisis, verificando sus métodos de auditoría y las cláusulas contractuales aplicables.
- Contratos y acuerdos: solicitar el modelo vigente del contrato de tratamiento de datos, con sus cláusulas de resguardo, obligaciones ante incidentes y los acuerdos de nivel de servicio correspondientes.
- Transferencias internacionales de datos: validar los fundamentos jurídicos utilizados, como las cláusulas contractuales tipo, decisiones de adecuación u otras medidas adicionales que garanticen una protección apropiada.
Privacidad desde el diseño y facultades de los interesados
- Minimización y limitación de finalidad: verificar que la recopilación de información se reduce a lo imprescindible y que existen fundamentos debidamente registrados.
- Medidas técnicas de privacidad: inclusión de procesos de seudonimización, anonimización reversible, entornos segregados por cliente y mecanismos que impidan cualquier reidentificación.
- Atención a derechos ARCO/LOPD o equivalentes: disponibilidad de procedimientos para acceso, rectificación, eliminación, objeción y portabilidad, junto con plazos y vías definidos para que los interesados gestionen sus solicitudes.
- Consentimiento y comunicaciones: analizar la forma en que se administra el consentimiento cuando aplica, los registros correspondientes y un método sencillo para anularlo.
Certificaciones, procesos de auditoría y medidas de rendimiento
- Certificaciones útiles: ISO/IEC 27001, ISO/IEC 27701 dedicadas a la gestión de la privacidad, junto con credenciales sectoriales como PCI DSS para operaciones de pago o certificaciones de seguridad exigidas en cada país. Contar con estas certificaciones no reemplaza las auditorías, aunque sí incrementa la confianza.
- Informes y auditorías: conviene solicitar informes SOC 2 tipo II o alternativas equivalentes cuando existan, verificando tanto el periodo cubierto como el alcance específico de cada evaluación.
- Métricas operativas: incluir promedios de tiempos de parcheo, tiempo medio de detección (MTTD) y tiempo medio de recuperación (MTTR), además del porcentaje de pruebas de penetración donde las vulnerabilidades críticas se corrigen dentro de X días.
Ejercicios prácticos que un revisor tiene la posibilidad de efectuar
- Revisión documental: analizar políticas, contratos, EIPD y resultados de auditorías.
- Revisión técnica superficial: comprobar certificados TLS en sus servicios web, cabeceras HTTP de seguridad, expiración de sesiones y prácticas de almacenamiento en navegadores.
- Solicitar pruebas en entorno de demostración: pedir acceso controlado para verificar controles de acceso, niveles de permiso y trazabilidad de operaciones.
- Revisión de código o dependencias: cuando sea posible, verificar prácticas de seguridad en el ciclo de desarrollo (CI/CD), revisiones de código y gestión de dependencias vulnerables.
Ejemplos y situaciones demostrativas
- Configuración incorrecta en servicios de almacenamiento en la nube: en ocasiones, empresas han dejado buckets sin protección adecuada, exponiendo millones de datos. La lección es clara: verificar de forma periódica las reglas de acceso y los registros de actividad en los recursos de almacenamiento.
- Privilegios excesivos sin supervisión: muchas filtraciones internas surgen cuando cuentas administrativas acumulan permisos innecesarios y carecen de MFA. Establecer un control de acceso por roles y auditar las sesiones con privilegios ayuda a disminuir este tipo de amenazas.
- Anonimización insuficiente de la información: incluso bases de datos que parecen anónimas pueden reconstruirse mediante cruces con fuentes públicas. Es esencial usar métodos sólidos y evaluar con detenimiento las posibilidades de reidentificación.
Checklist práctica para una revisión rápida
- ¿Existe responsable de seguridad y delegado de protección de datos?
- ¿Publican políticas de privacidad y seguridad claras y actualizadas?
- ¿Cifran datos en tránsito y en reposo? ¿Cómo gestionan las claves?
- ¿Ofrecen autenticación multifactor y control de acceso granular?
- ¿Realizan pruebas de penetración y auditorías externas periódicas?
- ¿Tienen plan de respuesta a incidentes documentado y ejercitado?
- ¿Gestionan terceros con contratos y auditorías? ¿Hay cláusulas para transferencias internacionales?
- ¿Aplican privacidad por diseño y permiten ejercer derechos de los interesados?
- ¿Cuentan con certificaciones relevantes y métricas operativas divulgadas?
Recursos y herramientas para la evaluación
- Examen de encabezados y certificados TLS tanto con navegadores como con diversas utilidades en línea.
- Pedir informes de auditoría (SOC, ISO) y comprobar su cobertura junto con las fechas correspondientes.
- Examinar las políticas públicas y los documentos contractuales para identificar cláusulas de responsabilidad, compensaciones y comunicación de incidentes.
- Aplicación de matrices de riesgo y modelos de EIPD con el fin de valorar el impacto según el sector y la naturaleza del dato.
Fallas habituales que conviene identificar
- Falta de separación de entornos de desarrollo y producción.
- Retención indefinida de datos sin justificación.
- Subcontratación sin controles contractuales ni revisiones periódicas.
- Ausencia de pruebas periódicas o corrección lenta de vulnerabilidades críticas.
Una evaluación exhaustiva integra revisión documental, análisis técnicos y verificación contractual. Más allá de respetar normativas o mostrar certificaciones, es esencial apreciar cómo la empresa gestiona su operación para identificar incidentes, reaccionar ante ellos y extraer aprendizajes, así como su nivel de transparencia y su compromiso activo con la privacidad desde el diseño. Contar con una lista de verificación contextualizada y solicitar pruebas tangibles ayuda a distinguir a los proveedores que sólo afirman ofrecer seguridad de aquellos que realmente la respaldan con acciones y resultados.



