Cada clic, cada conexión a una red pública o cada documento enviado desde un aeropuerto puede convertirse en una puerta de entrada para ataques dirigidos. Y los datos robados pueden tener consecuencias mucho más allá del dispositivo comprometido: desde la exposición de información confidencial hasta el secuestro de sistemas completos mediante ransomware.

Lo que está en juego

El coste de un ciberincidente durante un viaje corporativo puede ser elevadísimo. No se trata solo del valor económico directo (pérdidas financieras, costes de recuperación, sanciones regulatorias), sino también del impacto reputacional y del daño a la confianza del cliente. Además, la normativa de protección de datos, como el Reglamento General de Protección de Datos (RGPD) europeo, impone obligaciones claras respecto a las transferencias internacionales y la salvaguarda de la información.

Por ejemplo, si un dispositivo con datos personales se pierde en un país fuera del Espacio Económico Europeo, podría considerarse una transferencia internacional de datos. Y, en ese caso, la empresa debe asegurarse de que el país de destino tiene una protección equivalente, o aplicar medidas como cláusulas contractuales tipo, códigos de conducta certificados o instrumentos jurídicamente vinculantes.

“El coste de un ciberincidente durante un viaje corporativo puede ser elevadísimo. No se trata solo del valor económico directo, sino también del impacto reputacional y del daño a la confianza del cliente.”

El viaje como vector de ataque

Cuando un profesional se desplaza por motivos laborales, suele llevar consigo una buena parte de los activos digitales de su empresa: dispositivos móviles, contraseñas, archivos sensibles, acceso a servicios en la nube… Todo esto, en escenarios poco controlados: hoteles, aeropuertos, cafeterías, salas de reuniones improvisadas o incluso vehículos compartidos. Se trata de entornos de seguridad que, en muchas ocasiones, tienen estándares de seguridad mejorables.

En estos contextos, existen diferentes amenazas de las que debemos advertir a nuestros viajeros:

• Conexiones a redes Wi-Fi públicas sin cifrado, que permiten a terceros interceptar comunicaciones.
• Phishing y ataques de ingeniería social, que aprovechan la falta de atención o el estrés del viaje para engañar a los empleados y obtener credenciales.
• Robo o pérdida de dispositivos, lo que puede comprometer seriamente datos críticos si no están cifrados o protegidos adecuadamente.
• Malware en aplicaciones maliciosas o vulnerabilidades no parcheadas, especialmente en móviles y tablets.
• Accesos no autorizados a cuentas corporativas debido a la ausencia de autenticación multifactor.

Consejos para antes, durante y después del viaje

La buena noticia es que, con una estrategia clara y medidas preventivas eficaces, es posible reducir drásticamente el riesgo. La ciberseguridad en los viajes de empresa debe abordarse en tres fases: antes, durante y después del desplazamiento.

ANTES DEL VIAJE

La preparación es clave. Antes de salir, es muy recomendable actualizar todos los dispositivos con las últimas versiones del sistema operativo y antivirus. También es necesario cifrar los datos almacenados en los equipos y realizar una copia de seguridad previa.

Aunque parezca una recomendación lógica, optaremos por el uso de contraseñas robustas, combinando letras, números y símbolos, idealmente almacenadas en un gestor de contraseñas. En este capítulo, tampoco deben reutilizarse contraseñas entre cuentas personales y profesionales.

Todo ello sin olvidar configurar la ya recurrente autenticación multifactor (MFA) en el uso de los accesos corporativos.

DURANTE EL VIAJE

Aquí es donde se concentran los mayores peligros, debiendo extremar la vigilancia. Entre los consejos más importantes, hay que tener en cuenta:

• Evitar redes Wi-Fi públicas, o en su defecto, usarlas únicamente mediante una VPN corporativa.
• No conectar los dispositivos a puertos USB desconocidos (especialmente en aeropuertos o lugares públicos). Llevar siempre adaptadores propios.
• Deshabilitar el Bluetooth cuando no sea necesario.
• Bloquear la pantalla automáticamente y usar métodos de desbloqueo seguros (PIN, huella, reconocimiento facial).
• Proteger la pantalla del shoulder surfing, es decir, de miradas indiscretas.
• No escanear códigos QR de origen dudoso.
• No compartir ubicación en redes sociales durante el viaje.
• Activar herramientas como “Buscar mi dispositivo” para poder localizar, bloquear o borrar información remotamente.
• No hablar de temas sensibles en espacios públicos ni dejar documentos visibles o accesibles.

DESPUÉS DEL VIAJE

Una vez el viajero ha regresado, es importante realizar algunas comprobaciones. Para empezar, se recomienda cambiar las contraseñas utilizadas durante el viaje. No está de más analizar los dispositivos para detectar posibles infecciones o software malicioso que, de no detectarse, podrían perjudicar a otros equipos de la compañía. También eliminaremos correos electrónicos sospechosos y revisaremos accesos no autorizados en cuentas corporativas.

“Una vez el viajero ha regresado, se recomienda cambiar las contraseñas utilizadas durante el viaje y analizar los dispositivos en busca de alguna infección.”

 ¿Y si ocurre un incidente?

La seguridad absoluta no existe. Y siempre podemos ser víctimas de un ciberataque. Si es el caso, lo primero que hay que hacer es informar inmediatamente al equipo de seguridad y tecnología de la empresa. A partir de aquí, habrá que evaluar la gravedad del incidente y analizar qué información se ha visto comprometida, cuáles son las posibles consecuencias e informar a los afectados si es necesario.
En función de la gravedad, es importante valorar si debemos acudir y denunciar el evento a la Agencia Española de Protección de Datos (AEPD).
Si el incidente es muy grave y se produce en el extranjero, siempre podemos consultar en la embajada española del país de destino.
Contar con un protocolo de actuación en caso de ciberataque es la mejor forma de evitar males mayores.

“Las empresas deben formar a sus empleados en este capítulo, ofrecer guías específicas para viajes y fomentar una cultura de la ciberseguridad, especialmente entre los viajeros frecuentes.”

Más allá de la tecnología: concienciación y cultura corporativa

Las herramientas técnicas (antivirus, VPN, sistemas de cifrado, bloqueos biométricos) son fundamentales, pero no suficientes. La concienciación es la primera línea de defensa. Por ello, las empresas deben formar a sus empleados en este capítulo, ofrecer guías específicas para viajes y fomentar una cultura de la ciberseguridad.

Además de esta formación, también es importante cerciorarse que nuestros proveedores disponen de herramientas y plataformas seguras.

Desde Uber para Empresas tenemos un compromiso firme con la seguridad de nuestros usuarios, tanto física como digital. En este sentido, nuestras soluciones no solo optimizan la eficiencia de los viajes de negocios, sino que también funcionan como un escudo eficaz contra las crecientes amenazas cibernéticas. Al centralizar la gestión de dispositivos, accesos y comunicaciones dentro de plataformas seguras, las empresas pueden minimizar los riesgos asociados al uso de redes públicas, dispositivos no protegidos y ataques de phishing dirigidos a empleados en tránsito. Por ello, implementar políticas de movilidad corporativa con autenticación multifactor, VPNs empresariales y monitoreo en tiempo real es una estrategia recomendable para blindar la información sensible y evitar brechas de seguridad que puedan comprometer activos críticos.

En definitiva, en el contexto actual, viajar sin pensar en ciberseguridad es un riesgo inasumible. En cada trayecto, ya sea un vuelo intercontinental o una visita local a un cliente, la seguridad de la organización viaja también en la maleta del empleado. Proteger los datos, los dispositivos y las comunicaciones debe ser una prioridad estratégica para cualquier programa de gestión de viajes. Porque en la era digital, la ciberseguridad no puede quedarse en la oficina. Debe acompañarnos en cada paso.

Adriana Guzmán
Directora Uber para Empresas para el Sur de Europa

Baris Aksoy, jefe de protección de datos para EMEA de FCM, explica cómo los viajeros de negocios pueden proteger sus datos mientras están de viaje. Según Aksoy, «en los últimos años, el volumen de datos personales compartidos para diversas actividades ha aumentado exponencialmente. Al realizar compras en línea, pedir comida, descargar aplicaciones móviles, jugar en línea o simplemente navegar por la web, los viajeros ponen en riesgo sus datos personales. En un mundo donde esta información tiene un gran valor, es esencial protegerla, especialmente durante los viajes».

Contraseñas seguras

Antes de viajar, debemos asegurarnos que todos los dispositivos (teléfonos, portátiles y tabletas) estén bien protegidos.
Para ello, hay que establecer contraseñas seguras y aprovechar todos los métodos de protección disponibles en los dispositivos: passwords, códigos PIN o, mejor aún, métodos de autenticación biométrica.

• Crea contraseñas únicas: Usar una contraseña diferente para cada cuenta minimiza el impacto en caso de que alguna sea vulnerada.
• Mantener privadas las contraseñas: Hay que cambiarlas regularmente y evitar compartirlas.
• Cifrado de datos activados, utilizando aplicaciones de mensajería cifradas para evitar accesos no autorizados.

Redes de confianza

Si vamos a conectarnos a la red para realizar operaciones sensibles (consulta bancaria, transferencias, etc.), debemos evitar el uso de Wi-Fi públicas en aeropuertos, cafés u hoteles. Como alternativa, se recomienda:

• Optar por redes privadas, ya sea utilizando nuestra red de datos móviles o una VPN confiable.
• Desactivar Bluetooth y Wi-Fi automáticos. Si tenemos activada la conexión automática a Bluetooth o Wi-Fi, deberemos desactivar esta opción. De esta forma, podremos evitar accesos no autorizados a nuestros dispositivos.
• Verificar el cifrado HTTPS. Deberemos asegurarnos que las páginas web a las que accedemos para pagos o datos sensibles, muestren el icono de candado en la barra de direcciones.
• Cerrar las sesiones. Finalizar y cerrar la sesión en cualquier dispositivo o cuenta una vez terminemos de usarlos.

Cuidado con las redes sociales

Compartir demasiado en redes sociales puede ponerte en riesgo. De hecho, FCM recomienda esperar hasta el regreso para compartir experiencias de viaje y minimizar así los riesgos. En este sentido, se recomiendan los siguientes puntos:

• Discreción: Evita publicar información sobre tu ubicación o itinerario en tiempo real.
• Configura la privacidad: Haz que tus perfiles sean privados y controla quién tiene acceso a tus publicaciones.
• Cuidado con las fotos: Recuerda que imágenes y videos pueden incluir metadatos de ubicación que podrían ser usados por delincuentes.

Si todavía no cuentas con una guía de ciberseguridad para viajeros de negocios, es momento de desarrollarla en colaboración con todos los departamentos implicados.