Contacto

Externalizar no es delegar la responsabilidad: riesgos invisibles en delegar el desarrollo web moderno

Tabla de contenidos

Si has llegado hasta este artículo, probablemente tienes un sitio web y en algún momento te has planteado delegar cambios, ajustes o desarrollos en él. Externalizar se ha convertido en algo normal, casi automático. Sin embargo, esta mañana me encontré con un caso que considero grave y que me llevó a escribir este texto.

Este artículo no nace desde la teoría, sino desde la experiencia. Aquí intento poner sobre la mesa todo lo que conviene tener en cuenta cuando decides que alguien “toque tu web”. Si es un tema que te afecta (y si tienes una web, te afecta) sigue leyendo.

Desde dónde hablo: contexto profesional y experiencia real

He trabajado muchos años como freelancer, primero en España y más tarde con mi propia agencia en Estonia y de manera esporádica con la empresa actual en Reino Unido, como consecuencia de los servicios de hosting que también prestamos. Empecé cuando esto de externalizar no estaba tan “de moda”, y no solo trabajé para clientes finales: durante mucho tiempo trabajé para agencias, tanto europeas como hispanoamericanas.

Eso me ha dado una visión bastante amplia del mercado del marketing digital, de cómo funcionan internamente las agencias, las plataformas de freelancing y los modelos de subcontratación. Y, por supuesto, del trasfondo técnico que hay detrás de todo esto.

No hablo desde la teoría o lo que se ve desde fuera, hablo desde dentro.

Plataformas, agencias y freelancers: el nuevo mercado de mano de obra digital

Hoy en día, las agencias de marketing digital operan en un mercado completamente saturado. Cualquiera desde su casa puede autopercibirse como agencia y ofrecer “de todo” (marketing 360). Este fenómeno se aceleró durante la pandemia, cuando el teletrabajo se normalizó, y se vio reforzado por dos factores adicionales:

  • La entrada masiva de profesionales de países emergentes, que redujo drásticamente los precios.
  • El uso de herramientas de inteligencia artificial que hacen creer a mucha gente que pueden “hacerlo todo”.

Al tratarse de servicios (y no de productos físicos que requieren fabricación, logística o stock) se percibe como un emprendimiento low cost. Esto genera una lucha constante por diferenciarse en lo “sofisticado”, aunque ese sea un tema para otro artículo.

El ecosistema del humo y la intermediación

A este caldo de cultivo se sumó la moda de los influencers y youtubers que vendían cursos para “montar tu agencia” subcontratando trabajo en plataformas como Fiverr, Upwork o PeoplePerHour. El resultado fue un ecosistema de startups que vendían más humo que profesionalidad.

El problema es que hablamos de servicios técnicos que el cliente final, muchas veces, no entiende. “Quiero una web, no sé cómo se hace”. Todo lo que ocurre bajo el capó queda oculto, y mientras funcione, nadie pregunta.

Esto ha generado un entorno de intermediarios en cascada.

Las agencias “grandes” captan clientes y subcontratan agencias más pequeñas por un 10 % del precio. No es una exageración: yo mismo he trabajado cobrando como autónomo 100 € al mes por servicios que la agencia en Barcelona facturaba a 1.000 € al cliente final.

Normalmente, hoy en día las agencias contratan mano de obra «más barata» que se encuentra en países emergentes de Hispanoamérica (Venezuela, Colombia…), en el sudeste asiático (Pakistán, Filipinas…) y, más recientemente, en algunos países de África como Nigeria o Egipto. Clientes finales también acuden a estos profesionales directamente para «abaratar». Muchas veces estos profesionales no están familiarizados con los requisito legales, como la protección de datos europea.

Las plataformas de freelancing actúan como intermediarios adicionales. Cobran un porcentaje al actuar como escrow (garante de los fondos) y limitan el número de propuestas que puedes enviar si no pagas una membresía. Son un eslabón más en la cadena.

¿Fuera de las plataformas? También se puede contratar, pero asumiendo riesgos enormes: clientes que no pagan, freelancers que no cumplen, o problemas peores. Intenta reclamarle algo a “gusanito64” al otro lado del mundo y valora si te compensa.

El caso de España: cuando el Estado entra en la ecuación

En España, el sector de las agencias de marketing vivió un punto de inflexión con la llegada del Kit Digital. Sobre el papel, prometía webs “gratis” para las empresas (tras pasar por un proceso burocrático). En la práctica, barrió a muchas agencias pequeñas que no podían participar.

Si el gobierno da webs gratis, nadie paga por webs.

Lejos de profesionalizar el sector, esto generó precariedad y fomentó la economía sumergida. En una primera fase, solo unas pocas agencias grandes podían acceder a las ayudas. Más tarde, entraron las medianas, y finalmente las pequeñas. El resultado fue que muchas agencias intentaron abarcar más de lo que podían gestionar.

Imagen: Ejemplo de hilos en «ForoBeta» uno de los mas conocidos foros de empredimiento digital donde se ofrecen comisiones y leads de hasta 600€ por cliente.

Había que hacer webs rápido y barato. Nadie hablaba de que fueran buenas o útiles. En muchos casos se usaban plantillas clonadas: la web de una panadería era idéntica a la de un fontanero, cambiando colores y textos.

Este sistema era, además, un regalo envenenado. La agencia tenía que asumir todos los costes y garantizar el servicio durante un año, cobrara o no la subvención. El pago llegaba meses después, si la web cumplía los requisitos marcados por la administración.

Se creó incluso un ecosistema paralelo de gestorías especializadas en tramitar el papeleo del Kit Digital. El resultado final fue una avalancha de webs hechas “para cumplir”, no para servir al cliente. Eso sí, con el logo del gobierno en el footer.

Todo esto ha contribuido a quemar profundamente el sector del marketing digital.

Externalizar ≠ delegar las consecuencias

El trabajo se delega.
La responsabilidad, no.

Más allá de la saturación del mercado, el intrusismo, las subvenciones mal planteadas o el exceso de humo, lo realmente grave son las consecuencias para el cliente.

Cuando contratas una agencia y esa agencia subcontrata a otra, que a su vez subcontrata a un freelance… ¿Quién es responsable cuando ocurre una filtración de datos? ¿El último eslabón de la cadena? ¿Uno de los intermediarios? ¿O el titular de la web?

En muchos casos, el cliente ni siquiera sabe que su proyecto ha sido subcontratado varias veces. Y, sin darse cuenta, las credenciales de su web las tienen ocho personas que no conoce.

La realidad es que el principal responsable será siempre el cliente, porque la web está a su nombre, el dominio está a su nombre y el aviso legal también. Esos textos legales que tan alegremente se copian de otras webs tienen consecuencias reales.

Aviso legal, política de privacidad, cookies, términos de servicio… todo eso no es decorativo. De eso (y de sus implicaciones técnicas y legales) va este artículo, que todavía no ha hecho más que empezar.

Cuando una web deja de ser “solo una web”

En muchas ocasiones, al acceder al WordPress de un cliente, es habitual encontrar una lista de usuarios con rol de administrador que nadie sabe quiénes son. Cada vez que alguien “toca” la web se le crean accesos, y esos accesos rara vez se eliminan.

Otras veces, varias personas comparten las mismas credenciales, haciendo imposible saber quién hizo qué. En algunos casos, incluso se da acceso directo al hosting: bases de datos, correos corporativos, copias de seguridad… todo.

Con solo acceso a WordPress y ciertos plugins (tipo File Manager), es posible escalar privilegios y acceder a carpetas del servidor que van más allá de la web. Hoy en día, en un mismo servidor conviven CRMs, ERPs, correos electrónicos, documentos internos y bases de datos completas.

Un simple archivo PHP puede establecer conexiones remotas usando credenciales almacenadas en archivos de configuración. Y esto es solo un ejemplo básico.

Piensa en la información que puede haber ahí: datos de clientes, estados financieros, documentos internos, información bancaria. En manos equivocadas, el daño puede ser enorme.

Incluso con funciones aparentemente inocuas, como el envío de correos desde PHP, se puede abusar del servidor para enviar emails desde un dominio “oficial”, saltándose filtros de seguridad. Y todo porque alguien “solo tenía que cambiar una foto”.

El problema es que muchas veces el cliente no sabe que esto es posible. Y, por experiencia, el “tipo de la agencia” muchas veces tampoco. En muchos casos he tenido yo que reunirme con clientes de una agencia, siendo yo una empresa externa subcontratada por ellos, porque la agencia no entendía lo que quería el cliente o cómo se podía facturar.

En más de una ocasión he tenido que intervenir en webs a las que «les entró malware» y están mostrando anuncios pornográficos en la home, redirigiendo a páginas de Aliexpress para cobrar por afiliación un tercero o mandando correo masivo para vender viagra. El «malware» probablemente tenía usuario y contraseña…

El perfil del intermediario y el efecto Dunning-Kruger

Este ecosistema favorece que, en muchas agencias, la persona que trata con el cliente (el «dueño» de la agencia) sea más un comercial o administrativo que un perfil técnico. En muchos casos, no tienen los conocimientos necesarios para entender ni siquiera lo que están vendiendo.

A mí me han llegado a decir que mi trabajo de desarrollo web consiste en “dar con la tecla a la que hay que darle”. Hay un efecto Dunning-Kruger brutal, alimentado porque el cliente sabe aún menos y los de la «agencia» se ven «que saben» más que el cliente.

No todas las agencias son así, pero una parte importante de mi experiencia como freelancer se basa precisamente en trabajar para este tipo de estructuras, que son las que mas subcontratan. No en vano, gran parte de mi experiencia pasando por el sector se basa en trabajar para agencias, como ya comenté, llegando a haber montado en su momento en Estonia una agencia «mayorista» para facturar soluciones a otras agencias.

¿Existen agencias con todo el personal in house? Sí. Pero son mucho más caras, porque tienen que pagar nóminas y cotizaciones haya clientes o no. Suelen trabajar con volumen y tickets altos. El mercado, sin embargo, favorece a quienes externalizan todo y reducen costes fijos. Cuando hay mucha oferta, el cliente se ve tentado por ir «a precio». Ah… pero lo barato a veces sale caro…

Y así llegamos al siguiente punto clave:

Información estratégica también es información sensible

Cuando se habla de seguridad en una web, la mayoría de la gente piensa automáticamente en datos personales: nombres, correos electrónicos, números de teléfono, tarjetas de crédito. Todo eso, sin duda, es información sensible y está protegida por la ley. Pero hay otro tipo de información que no suele aparecer en las políticas de privacidad y que, sin embargo, puede ser igual o más crítica para una empresa.

La información estratégica.

Me refiero a cosas como:

  • La arquitectura funcional de la web.
  • Los flujos internos de trabajo.
  • Los planes de monetización.
  • La lógica de un área privada o de socios.
  • La forma en la que se captan leads o se convierten clientes.
  • Las integraciones con terceros (CRMs, ERPs, pasarelas de pago, proveedores externos).

Nada de esto son “datos personales” en sentido estricto, pero exponerlo sin control tiene consecuencias muy reales.

Cuando un proyecto técnico se publica con exceso de detalle en plataformas abiertas, no solo se está pidiendo presupuesto. Se está explicando cómo funciona el negocio por dentro. Se está entregando, en bandeja, información que a un competidor, a un atacante o a alguien sin escrúpulos le costaría mucho tiempo y dinero obtener por otros medios.

Lo peor es cuando esto no lo hace ni siquiera la empresa dueña de la web, sino un eslabón de la cadena de intermediarios.

Imagen: Captura de pantalla de Workana, una plataforma de freelancers especialmente enfocada al mercado hispanohablante. En este proyecto PÚBLICO se detallan datos del cliente (la URL de su web, donde están todos los datos del cliente directamente desde el correo hasta el CIF), estrategias de captación de socios (el cliente final es una asociación profesional a nivel nacional), estrategias de monetización con afiliación de cursos de formación, proveedores de dichos cursos y hasta el principal competidor al que quieren plagiar el diseño. ESTO LO PUEDE VER CUALQUIERA. Yo he censurado los datos más sensibles en el pantallazo por cortesía, pero son perfectamente públicos para cualquiera que entre en Workana.

Y aquí aparece un riesgo del que casi nadie habla: la pérdida de ventaja competitiva. Ideas de negocio que se filtran, know-how que se copia… viendo el ejemplo que te he puesto arriba, te puedes imaginar el resto.

Sin embargo, las plataformas de freelancing no son el problema en sí. El problema es cómo se usan. En un mundo ideal todos van a hacer su trabajo de forma honesta y profesional. Pero en el mundo real no sabes quién está al otro lado de la pantalla.

Hay un meme muy viejo (de antes del boom de los memes) en el que se veía un perro frente a un ordenador (con pantalla de tubo) y decía «En internet nadie sabe que eres un perro». Esto sirve para reflexionar que, muchas veces asumimos una realidad de la persona al otro lado que puede no cumplirse. Tampoco sabes el nivel de conocimiento que puede haber detrás.

Cuando se publica un proyecto de forma rastreable hasta el cliente, el sector… etc describiendo con detalle:

  • qué hace la web,
  • qué funcionalidades nuevas se van a implementar,
  • qué modelo de negocio hay detrás,
  • qué referencias se quieren replicar,

Cualquiera puede leerlo. No solo los profesionales honestos que quieren hacer el trabajo, sino también:

  • competidores,
  • curiosos,
  • intermediarios oportunistas,
  • y personas que buscan oportunidades fáciles.

Uno de los riesgos más evidentes es que alguien contacte directamente con el cliente, saltándose a la agencia. No es ilegal, pero es una consecuencia directa de haber expuesto demasiada información. El cliente queda “levantable” porque ya está todo explicado: necesidades, alcance, contexto y urgencia.

Hoy en día hay herramientas tipo «crawl» que buscan palabras clave (o nombres de empresas) por internet. La persona a la que le interese encontrar este tipo de información, la encuentra. Por ejemplo un competidor, o alguien que quiere perjudicar a la empresa. Independientemente de eso, solo piensa en cuantas cosas «malas» pueden hacerse con la información.

Otro riesgo menos evidente es la ingeniería social. Cuanta más información pública hay sobre cómo funciona un sistema, más fácil es diseñar ataques dirigidos. Un correo falso, una llamada convincente, una petición de acceso que “parece legítima” porque quien la hace sabe exactamente qué pedir. Por ejemplo, suplantando a la agencia que ya sabe que está haciendo un trabajo en la web, con todos los detalles.

Y luego está el riesgo técnico puro: cuanto más se conoce la estructura interna de un sistema, más sencillo es buscar sus puntos débiles.

De la negligencia técnica al problema legal

Aquí es donde muchas empresas se sorprenden.

Cuando ocurre un incidente (una filtración de datos, un acceso no autorizado, un envío masivo de correos, una web infectada) la reacción habitual es buscar al culpable técnico: “la agencia”, “el informático”, “el freelance”. El que «tocó» lo que no debía, o dejó la puerta abierta.

Pero desde el punto de vista legal, la pregunta es otra:
¿Quién es el responsable del tratamiento de los datos?

Y casi siempre, la respuesta es la misma: el titular de la web.

No importa cuántos intermediarios haya habido, ni cuántas subcontratas, ni cuántas personas hayan tenido acceso. Si la web está a tu nombre, si el dominio es tuyo y si tú decides para qué se usan los datos, la responsabilidad última es tuya.

Esto es algo que mucha gente no entiende hasta que tiene un problema.

Si prestas tu coche y llega una multa por exceso de velocidad ¿A quién le llega la multa? Pues eso, al titular del vehículo. Si eso ocurre con algo «físico», imagina algo digital donde es mas complicado ver «la foto del radar».

Externalizar sin marco: el error de base

Externalizar tampoco es un error. Externalizar sin marco, sí.

Cuando no existen:

  • acuerdos de confidencialidad (NDA),
  • contratos de encargo de tratamiento (DPA),
  • control de accesos,
  • limitaciones de privilegios,
  • registros de quién hace qué,

Lo que se está creando no es un sistema profesional, sino un entorno caótico donde “nadie es responsable” hasta que pasa algo. Y cuando pasa, alguien lo es. Casi siempre el cliente. Cuando se filtra una lista de compradores de una tienda online, por ejemplo, el responsable es el que tenía que custodiar esa lista: el dueño de la tienda online.

Muchas empresas asumen que, al pagar una factura, están comprando también tranquilidad jurídica y técnica (tienen a quien «colgarle el marron»). Pero eso solo ocurre si el proceso está bien diseñado. Si no, lo único que se está comprando es ejecución rápida, no seguridad ni responsabilidad compartida. Es muy fácil decir «eso ya estaba así, yo no fui». Luego te pongo algunos ejemplos conocidos.

Pero bueno, esto también pasa con empleados internos, ex-empleados descontentos, exparejas del CEO con copia de las llaves… es un factor humano inevitable, quizás, pero cuantas menos manos tengan acceso a las cosas, es bastante mas controlable.

GDPR y protección de datos: más allá del miedo a la multa

El Reglamento General de Protección de Datos (RGPD), ya sea la versión europea GDPR o su equivalente en Reino Unido, suele percibirse como una amenaza: multas, sanciones, problemas legales. Pero esa visión es superficial.

El RGPD no inventa el problema, lo formaliza. Lo que hace es dejar claro algo que ya era cierto antes: que los datos tienen valor, que los accesos importan y que la responsabilidad no se diluye por subcontratar.

El RGPD introduce conceptos clave como:

  • responsabilidad proactiva,
  • diligencia debida,
  • seguridad del tratamiento,
  • y trazabilidad.

No se trata solo de cumplir la ley “en papel”, sino de poder demostrar que se han tomado medidas razonables para proteger la información. ¿Darle acceso a cualquiera es tomar medidas razonables? Pues no…

Y aquí volvemos al punto de partida: si cualquiera puede “tocar la web”, si no se sabe quién tiene acceso, si no hay control ni supervisión, ¿Qué se puede demostrar cuando hay un problema? Lo más probable es que no se conozca ni el autor material de los hechos.

El falso ahorro y el coste real del incidente

Externalizar barato suele justificarse como una forma de ahorrar. Pero rara vez se calcula el coste real de un incidente.

No hablo solo de multas. Hablo de:

  • tiempo perdido,
  • reputación dañada,
  • confianza rota con clientes,
  • horas de limpieza técnica,
  • estrés,
  • y, en algunos casos, pérdida directa de negocio.

He visto empresas que se gastaron más dinero arreglando un problema que el que se ahorraron durante años externalizando “a precio”. Agencias que se lavan las manos en cuanto dejan de facturar «y ahí te quedas con el problema», y freelancers que alargan los trabajos inncesariamente porque cobran por horas. Este artículo podría ser interminable si empiezo a contarte casos.

El problema es que ese coste no aparece en la hoja de cálculo inicial. Y si la web deja de funcionar, se pierde dinero, si viene una multa, se pierde dinero, y si la reputación se ve perjudicada… todo el gasto en publicidad no ha servido de nada.

Casos reales: cuando el responsable fue el titular de la web

Hasta ahora hemos hablado de riesgos y estructuras de una manera mas o menos teórica o anónima. Ahora toca aterrizarlo en la vida real con historias que han llegado a la prensa internacional y que ilustran lo que ocurre cuando no hay control, y la responsabilidad recae en quien menos se esperaba.

British Airways: millones de datos, millones de euros en multas

En 2018, la aerolínea British Airways sufrió una de las brechas de datos más sonadas desde la entrada en vigor del GDPR.

Un atacante accedió al sistema web de reservas y consiguió robar información personal y financiera de cientos de miles de clientes: nombres, direcciones y detalles de tarjetas de pago, incluyendo códigos de seguridad en algunos casos.

La investigación posterior de la autoridad británica de protección de datos (ICO) concluyó que la compañía no había aplicado medidas técnicas y organizativas apropiadas para proteger la información, permitiendo que el acceso inicial se realizara con credenciales comprometidas de un proveedor externo.

El caso se volvió paradigmático porque:

  • No fue un superhacker o algo “impredecible”.
  • Fue el resultado de fallos de control e inseguridad básica.
  • Y, sobre todo: la responsabilidad recayó sobre British Airways como titular de los datos, aunque el punto de entrada fuera una cuenta de terceros.

La ICO anunció inicialmente una multa de hasta 183 millones de libras esterlinas (basada en la capacidad de sancionar hasta el 4 % de la facturación global), aunque finalmente se redujo por varios factores, quedando en el entorno de 20 millones de libras.

Este caso es ejemplar porque demuestra que externalizar accesos no exime de responsabilidad. Si el tercero falla y tú eres el responsable del tratamiento, la sanción legal recae en ti.

Marriott International: heredar sistemas de otros no exime de culpa

Un caso similar ocurrió con Marriott International, aunque con un giro adicional: la brecha se originó en sistemas heredados tras una adquisición. Cuando Marriott compró la cadena Starwood en 2016, introdujo en su infraestructura sistemas que ya estaban comprometidos, sin hacerlo evidente en la due diligence.

Este problema existió en silencio durante años, hasta que se descubrió en 2018, exponiendo datos de centenas de millones de huéspedes en todo el mundo.

La autoridad del Reino Unido (ICO) consideró que Marriott había fallado en implementar medidas apropiadas para proteger datos heredados, carecía de monitorización adecuada y no había abordado debilidades claras en los sistemas adquiridos.

La multa final fue de 18,4 millones de libras, menos que el máximo propuesto inicialmente pero suficiente para subrayar el principio:

Tener datos te convierte en responsable de garantizar su protección, aunque no los hayas generado tú.

Este caso es útil porque muestra que ni siquiera las grandes corporaciones, con sus ejércitos de abogados, escapan al principio legal fundamental: si eres responsable del tratamiento de datos, tienes que saber qué hay bajo el capó.

Capita PLC: externalización y fallos de diligencia

Un caso más reciente, relacionado con un externalizador de servicios, es el de Capita plc, un proveedor de servicios que sufrió un ataque que comprometió datos de millones de personas, incluidas organizaciones clientes que usaban sus sistemas. Lo relevante aquí no es tanto el ataque (que puede ocurrir) sino la sanción emitida por la autoridad de protección de datos del Reino Unido por no implementar medidas de seguridad adecuadas, según los artículos 5(1)(f) y 32 del GDPR.

Aunque Capita no era el cliente final de los datos, operaba como proveedor de sistemas y fue sancionada por:

  • falta de medidas de seguridad,
  • falta de control sobre accesos privilegiados,
  • y respuesta insuficiente ante indicios de exfiltración de datos.

Este caso es interesante porque, aunque es un intermediario, el mensaje es el mismo: sin controles estrictos, la responsabilidad legal y económica puede caer en quien esperaba que la tuviera el otro. El principio de responsabilidad proactiva del GDPR no perdona la falta de diligencia.

Multas en España: grandes nombres, razones claras

En España también ha habido sanciones relevantes dictadas por la Agencia Española de Protección de Datos (AEPD) a grandes organizaciones por brechas de seguridad derivadas de mala gestión técnica y organizativa:

Estos casos son útiles porque no se trata de ataques sofisticados, sino de fallos de diligencia y control, que son precisamente los mismos errores que se cometen cuando no se controla quién tiene acceso a una web o a qué nivel.

Qué tienen en común estos casos

Al analizar estos ejemplos, hay tres patrones recurrentes:

  1. Falta de medidas mínimas de seguridad
    Ya sea falta de doble factor de autenticación, contraseñas compartidas o sistemas heredados sin auditoría, la raíz fue ausencia de controles básicos.
  2. Externalización sin marco legal ni control técnico
    En varios casos la brecha tuvo como punto de entrada credenciales o sistemas asociados a terceros, lo que subraya la necesidad de acuerdos claros y controles compartidos.
  3. Responsabilidad proactiva del titular de los datos
    Las autoridades no miran quién “tocó” por última vez. Miran quién decide para qué se usan los datos y si ese responsable aplicó medidas razonables para protegerlos.

Conectando con tu realidad

Parece cosa solamente de «grandes corporaciones» pero eso es porque son las que salen en los medios. El dia a día es diferente, igual que cualquier carterista no sale en el telediario, pero «te jode» igual que te robe la cartera. ¿No existe el problema porque no se visibilice?

Estos no son ejemplos exóticos o lejanos. Son casos conocidos, con sanciones multimillonarias, que ilustran lo que puede pasar cuando:

  • no se sabe quién tiene acceso,
  • no existen controles mínimos,
  • no hay responsabilidad distribuida con claridad,
  • o no se ha pensado qué ocurre si algo sale mal.

No se trata de miedo, sino de lecciones duramente aprendidas por otros.

Conclusión: tu web no es un folleto, es un activo crítico

Si has llegado hasta aquí, ya sabes algo que muchos olvidan: una web no es solo un escaparate digital. Es un activo estratégico, una infraestructura que contiene información sensible, y muchas veces la llave de tu negocio. Cada usuario con acceso, cada freelancer, cada agencia subcontratada, cada sistema conectado… suma riesgos que se acumulan y, en última instancia, la responsabilidad recae sobre ti.

Del mismo modo que no le darias a cualquiera la llave de tu oficina para que entre cuando le parezca, deberías tener control sobre quién tiene acceso a la parte digital de tu negocio.

Los casos de British Airways, Marriott, Capita o empresas españolas como Endesa y Carrefour muestran algo fundamental: ni siquiera los gigantes escapan al principio de responsabilidad proactiva. La multa, la reputación dañada y el estrés no dependen de si tú eras “el que tocaba la web”, sino de si tenías el control y habías implementado medidas razonables de seguridad.

Externalizar no es malo. Externalizar sin marco legal, sin control de accesos, sin acuerdos claros y sin registro de responsabilidades es una invitación al desastre. Y no importa que la agencia o el proveedor parezcan confiables; si cualquiera puede “tocar la web” y tú no sabes quién o cómo, estás exponiendo tu empresa a consecuencias reales: pérdida de datos, filtración de know-how, fuga de clientes, ataques dirigidos, sanciones legales y daño a la reputación.

El patrón que une todos estos casos es simple: la falta de diligencia, supervisión y control. Ninguna brecha es un accidente inevitable. Todas tienen un denominador común: personas con acceso que nadie supervisa y procesos que no están formalizados.

Si después de leer esto no sabes exactamente quién tiene acceso a tu web, probablemente haya más personas de las que imaginas. Tómate un momento y haz una lista: incluye agencias, freelancers, empleados actuales o antiguos, y cualquier tercero que pueda entrar en tu sistema. Si no puedes enumerarlos todos de memoria, significa que no tienes control real. Y aunque no haya control, la responsabilidad seguirá recayendo sobre ti.

Esta tarea sencilla no es solo un ejercicio: es el primer paso para proteger tu negocio, tu información estratégica y tu reputación. Todo lo demás (contratos, auditorías, políticas de seguridad…) solo funciona si sabes quién toca tu web y bajo qué reglas.

La pelota está en tu tejado, siempre lo estuvo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Ponte en contacto

Si estás explorando una colaboración profesional, una oportunidad laboral o un proyecto donde la estabilidad y el criterio importan más que el discurso, puedes escribirme desde el formulario.

Sitio web desarrollado por Liberty Dreams LTD

1