Plantillas esenciales de políticas de ciberseguridad para pymes: PUA, BYOD y contraseñas (gratis) — 2026

Cyberlords Editorial Team

Plantillas esenciales de políticas de ciberseguridad para pymes: PUA, BYOD y contraseñas (gratis) — 2026

El ochenta por ciento de las pequeñas empresas no tienen políticas de ciberseguridad formales. Ni una sola regla documentada que gobierne cómo los empleados usan los sistemas de la empresa, qué sucede cuando un teléfono personal se conecta al Wi-Fi de la oficina, o cómo deben crearse y gestionarse las contraseñas.

Esto no es simplemente una brecha de cumplimiento — es una invitación abierta. El error humano causa el 88 % de las filtraciones de datos, y sin políticas escritas, los empleados no tienen barreras. Reutilizan contraseñas entre cuentas personales y laborales. Conectan dispositivos no gestionados a su red. Reenvían documentos sensibles a direcciones de correo personales.

La solución comienza con tres plantillas fundamentales de políticas de ciberseguridad: una Política de Uso Aceptable (PUA), una Política BYOD y una Política de Contraseñas. Esta guía proporciona las tres como plantillas gratuitas alineadas con NIST SP 800-63B-4, CIS Controls e ISO 27001 — listas para que su pyme las personalice hoy.

Resumen rápido

  • El 80 % de las pymes carecen de políticas de ciberseguridad formales.
  • El 88 % de las filtraciones son causadas por error humano.
  • El 67 % de las organizaciones dicen que los empleados carecen de conciencia de seguridad básica (SANS 2025).
  • El 70 % de los dispositivos BYOD en el lugar de trabajo no están gestionados.
  • NIST SP 800-63B-4 (2025) elimina la expiración obligatoria de contraseñas — actualice su política ahora.
  • Esta guía incluye tres plantillas gratuitas: PUA, BYOD y Contraseñas.
  • Alineadas con NIST, CIS Controls, ISO 27001 y SOC 2.

Por qué la política va antes que la tecnología

Los números cuentan la historia

Estadística Fuente
El 80 % de las pymes no tienen políticas de ciberseguridad formales StellarCyber / ElectroIQ 2025
El 88 % de las filtraciones son causadas por error humano Secureframe 2025
El 67 % de las organizaciones dicen que los empleados carecen de conciencia (subió del 56 % en 2023) SANS 2025
El 70 % de los dispositivos BYOD no están gestionados Computerworld / JumpCloud
El 90 %+ de los incidentes de dispositivos perdidos/robados llevan a filtración Computerworld 2025
El 43 % de los ciberataques apuntan a pequeñas empresas Verizon / ElectroIQ 2025
El 60 % de las pymes que sufren un ciberataque cierran en 6 meses SBA / BDEmerson 2025
La capacitación continua reduce los incidentes de empleados en un 72 % Keepnet Labs 2025
El 22 % de dispositivos BYOD se conectan a Wi-Fi inseguros mensualmente Spenza 2025
El 68 % de las filtraciones involucran un elemento humano no malicioso Verizon DBIR 2024

Puede desplegar el firewall, EDR y SIEM más avanzados. Pero si un empleado reutiliza su contraseña de Netflix para la VPN de la empresa, o conecta un portátil personal sin cifrar a su red, la tecnología no puede salvarlo.

Las políticas crean el marco de comportamiento que la tecnología aplica. Sin ellas, su pila de seguridad no tiene reglas que aplicar.

Plantilla 1: Política de Uso Aceptable (PUA)

Qué cubre esta política

Una PUA define cómo los empleados, contratistas y terceros pueden usar los recursos tecnológicos de la empresa. Establece límites para el uso personal, prohíbe actividades específicas y establece consecuencias por violaciones.

Plantilla

====================================================
POLÍTICA DE USO ACEPTABLE — [NOMBRE DE LA EMPRESA]
====================================================
Versión: 1.0
Fecha de vigencia: [FECHA]
Última revisión: [FECHA]
Propietario: [NOMBRE / CARGO]
Aprobado por: [CEO / CISO]
Frecuencia de revisión: Anual
Clasificación: INTERNO

1. PROPÓSITO
   Esta política define los usos aceptables y prohibidos de los
   recursos de tecnología de información de [Nombre de la Empresa].

2. ALCANCE
   Se aplica a todos los empleados, contratistas, consultores,
   trabajadores temporales y usuarios terceros.

3. USO ACEPTABLE
   Los recursos tecnológicos se proporcionan principalmente para
   propósitos de negocio. El uso personal limitado está permitido
   siempre que:
   - No interfiera con las tareas laborales
   - No consuma ancho de banda excesivo
   - No viole ninguna disposición de esta política
   - No exponga a la organización a riesgos de seguridad

4. ACTIVIDADES PROHIBIDAS
   a. Acceder o distribuir contenido pornográfico, violento u odioso
   b. Instalar software no autorizado sin aprobación de TI
   c. Compartir credenciales de la empresa
   d. Evadir controles de seguridad
   e. Usar email corporativo para actividades comerciales personales
   f. Almacenar datos sensibles en servicios cloud no aprobados
   g. Conectar dispositivos no autorizados a la red corporativa
   h. Enviar datos de la empresa a cuentas de email personales
   i. Usar los sistemas para actividades ilegales
   j. Intentar acceder a sistemas más allá de la autorización

5. EMAIL Y COMUNICACIÓN
   - Todo email corporativo está sujeto a monitoreo
   - No abrir adjuntos inesperados ni hacer clic en enlaces
     de remitentes desconocidos
   - Reportar phishing sospechoso a [security@company.com]
   - No transmitir datos confidenciales por email sin cifrar

6. USO DE INTERNET
   - Todo el tráfico de internet puede ser monitoreado
   - Las descargas de fuentes no confiables están prohibidas
   - El uso de servicios de anonimización está prohibido

7. MANEJO DE DATOS
   - Clasificar datos: Público, Interno, Confidencial, Restringido
   - Almacenar datos confidenciales solo en sistemas aprobados
     y cifrados
   - Seguir políticas de retención y destrucción de datos

8. MONITOREO Y APLICACIÓN
   [Nombre de la Empresa] se reserva el derecho de monitorear toda
   actividad en los sistemas, redes y cuentas de la empresa.

9. CONSECUENCIAS
   - Advertencia verbal y capacitación obligatoria
   - Advertencia escrita con período de prueba
   - Suspensión de privilegios de acceso
   - Terminación del empleo
   - Acción legal cuando corresponda

10. ACUSE DE RECIBO
    Nombre del empleado: ______________________
    Firma: __________________________
    Fecha: ______________________________
====================================================

Plantilla 2: Política BYOD

Qué cubre esta política

Con el 70 % de dispositivos BYOD no gestionados y el 22 % conectándose a redes Wi-Fi inseguras mensualmente, una política clara es esencial.

Plantilla

====================================================
POLÍTICA BYOD — [NOMBRE DE LA EMPRESA]
====================================================
Versión: 1.0
Fecha de vigencia: [FECHA]
Propietario: [NOMBRE / CARGO]
Aprobado por: [CEO / CISO]

1. PROPÓSITO
   Esta política gobierna el uso de dispositivos personales para
   acceder a los sistemas y datos de [Nombre de la Empresa].

2. ALCANCE
   Se aplica a todos los empleados y contratistas que usen
   dispositivos personales para acceder a recursos de la empresa.

3. DISPOSITIVOS PERMITIDOS
   - Smartphones con iOS [versión]+ o Android [versión]+
   - Portátiles con Windows [versión]+, macOS [versión]+, ChromeOS
   - Tablets con iPadOS [versión]+ o Android [versión]+
   Los dispositivos con jailbreak o root NO están permitidos.

4. REGISTRO E INSCRIPCIÓN MDM
   Todos los dispositivos BYOD DEBEN ser:
   a. Registrados con el departamento de TI
   b. Inscritos en la solución MDM: [Nombre del MDM]
   c. Configurados para actualizaciones de seguridad automáticas
   d. Conformes antes de que se otorgue acceso

5. REQUISITOS DE SEGURIDAD
   a. Cifrado del dispositivo habilitado
   b. Bloqueo de pantalla con PIN (6+ dígitos), contraseña o biometría
   c. Bloqueo automático después de 5 minutos de inactividad
   d. Sistema operativo y aplicaciones actualizados
   e. Protección antivirus instalada (si aplica)
   f. Servicios de ubicación habilitados
   g. Sin aplicaciones de fuentes no confiables
   h. VPN corporativa en redes públicas

6. ACCESO Y ALMACENAMIENTO DE DATOS
   - Los datos son propiedad de [Nombre de la Empresa]
   - NO almacenar datos localmente salvo si está cifrado y aprobado
   - Usar solo almacenamiento cloud aprobado
   - NO sincronizar a cuentas cloud personales

7. AUTENTICACIÓN MULTIFACTOR
   MFA es OBLIGATORIA para todas las aplicaciones corporativas.
   Métodos aprobados: app autenticadora (preferido), clave FIDO2,
   notificación push. SMS es desaconsejado.

8. DISPOSITIVOS PERDIDOS O ROBADOS
   a. Reportar inmediatamente a TI
   b. TI borrará remotamente los datos corporativos
   c. El empleado debe cambiar todas las contraseñas corporativas
   [Nombre de la Empresa] se reserva el derecho de realizar un
   borrado remoto en cualquier momento.

9. SALIDA / OFFBOARDING
   Todos los datos, perfiles y aplicaciones corporativos serán
   eliminados. La inscripción MDM será revocada.

10. PRIVACIDAD
    El MDM PUEDE ver: estado de cumplimiento, apps corporativas,
    versión OS, estado de cifrado.
    El MDM NO PUEDE ver: fotos, SMS, historial de navegación,
    apps personales, email personal.

11. ACUSE DE RECIBO
    Nombre del empleado: ______________________
    Firma: __________________________
    Fecha: ______________________________
====================================================

Plantilla 3: Política de contraseñas

Qué cubre esta política

Esta política refleja las últimas directrices NIST SP 800-63B-4 (2025), que cambiaron fundamentalmente las mejores prácticas al eliminar la expiración obligatoria y enfatizar las frases de paso, listas de bloqueo y MFA.

Plantilla

====================================================
POLÍTICA DE CONTRASEÑAS — [NOMBRE DE LA EMPRESA]
====================================================
Versión: 1.0
Fecha de vigencia: [FECHA]
Propietario: [NOMBRE / CARGO]
Aprobado por: [CEO / CISO]
Alineada con: NIST SP 800-63B-4 (2025)

1. PROPÓSITO
   Establecer estándares de contraseñas y autenticación
   alineados con NIST SP 800-63B-4.

2. CREACIÓN DE CONTRASEÑAS
   a. Longitud mínima: 15 caracteres (recomendado); mínimo absoluto 8
   b. Longitud máxima: 64 caracteres
   c. Todos los caracteres ASCII, espacios y Unicode son permitidos
   d. Las frases de paso son fuertemente recomendadas
   e. Las contraseñas NO DEBEN figurar en la lista de bloqueo

3. EXPIRACIÓN
   Conforme al NIST SP 800-63B-4:
   - Las contraseñas NO EXPIRAN en un calendario fijo
   - DEBEN cambiarse solo cuando:
     a. Hay evidencia de compromiso
     b. El usuario sospecha acceso no autorizado
     c. Notificación de filtración de datos
     d. Directiva del equipo de seguridad

4. LISTA DE BLOQUEO
   Contraseñas prohibidas:
   - Contraseñas encontradas en bases de datos de filtraciones
   - Palabras del diccionario usadas solas
   - Caracteres secuenciales o repetidos
   - Nombre de la empresa o variaciones
   - Nombre, email o usuario del empleado

5. AUTENTICACIÓN MULTIFACTOR (MFA)
   Obligatoria para:
   - Todas las cuentas admin y privilegiadas
   - Acceso remoto (VPN, RDP, SSH)
   - Email fuera de la red corporativa
   - Aplicaciones cloud
   - Sistemas con datos sensibles

6. GESTIÓN DE CONTRASEÑAS
   a. Nunca en texto plano, hojas de cálculo o notas adhesivas
   b. Gestor de contraseñas obligatorio: [Nombre]
   c. Una contraseña única por cuenta
   d. Cuentas de servicio en la bóveda del equipo

7. AUTENTICACIÓN BASADA EN CONOCIMIENTO
   Prohibida como factor primario o de recuperación
   (conforme al NIST SP 800-63B-4).

8. CUENTAS ADMINISTRATIVAS
   - Contraseñas de 20+ caracteres
   - Clave FIDO2 o autenticador obligatorio
   - Acceso revisado trimestralmente
   - Cambio tras cualquier salida de personal admin

9. RESPUESTA A INCIDENTES
   Si sospecha que su contraseña ha sido comprometida, cámbiela
   inmediatamente y reporte a [security@company.com].

10. ACUSE DE RECIBO
    Nombre del empleado: ______________________
    Firma: __________________________
    Fecha: ______________________________
====================================================

Comparación: reglas antiguas vs política moderna alineada con NIST

Práctica obsoleta Recomendación NIST SP 800-63B-4 Por qué
Cambio obligatorio cada 90 días Sin expiración obligatoria Los cambios forzados producen contraseñas débiles
Exigir mayúscula + minúscula + número + símbolo Permitir todos los caracteres; fomentar la longitud Las reglas de complejidad reducen la usabilidad
Mínimo 8 caracteres 15+ caracteres recomendados Las frases de paso largas son más difíciles de descifrar
Preguntas de seguridad para recuperación Prohibir la autenticación por conocimiento Las respuestas suelen ser información pública
Prohibir gestores de contraseñas Fomentar fuertemente los gestores Permiten contraseñas únicas y complejas
SMS como MFA principal SMS como último recurso; preferir autenticador o FIDO2 SMS es vulnerable al SIM swapping

Errores comunes en la implementación

  • Redactar políticas que nadie lee — Manténgalas concisas, en lenguaje claro, con firma anual.
  • Sin mecanismo de aplicación — Políticas sin consecuencias son sugerencias.
  • Capacitación única — La capacitación anual es insuficiente. Simule phishing mensualmente y capacite trimestralmente.
  • Ignorar el BYOD — El 67 % de los empleados usan dispositivos personales de todos modos.
  • Reglas de contraseñas obsoletas — Si su política aún exige cambios cada 90 días, viola las directrices NIST actuales.
  • Sin propietario de política dedicado — Cada política necesita un responsable nombrado.

Marcos y estándares referenciados

Marco Relevancia
NIST SP 800-63B-4 (2025) Identidad digital y autenticación — contraseñas, MFA, listas de bloqueo
CIS Controls v8 Controles 4, 5, 6 y 14
ISO 27001:2022 A.5 Controles organizacionales, A.8 Controles tecnológicos
SOC 2 Criterios comunes 6 (Acceso lógico y físico)
SANS 2025 Benchmarks de cultura de seguridad de empleados

Citas y referencias

  1. NIST SP 800-63B-4 (2025) — Sin expiración obligatoria, frases de paso 15+ caracteres, listas de bloqueo requeridas, autenticación por conocimiento prohibida.
  2. SANS 2025 Security Awareness Report — El 67 % de las organizaciones dicen que los empleados carecen de conciencia; ingeniería social amenaza n°1.
  3. Secureframe 2025 — El 88 % de las filtraciones causadas por error humano.
  4. StellarCyber / ElectroIQ 2025 — El 80 % de las pymes sin políticas; 43 % de ataques apuntan a pymes; 60 % cierran en 6 meses.
  5. Computerworld / JumpCloud 2025 — El 70 % de dispositivos BYOD no gestionados; 90 %+ de incidentes de dispositivos perdidos llevan a filtración.
  6. Verizon DBIR 2024 — El 68 % de las filtraciones involucran un elemento humano no malicioso.
  7. Keepnet Labs 2025 — La capacitación continua reduce los incidentes en un 72 %.
  8. Spenza 2025 — El 22 % de dispositivos BYOD se conectan a Wi-Fi inseguros.

Cómo Cyberlords puede ayudarle

En Cyberlords, ayudamos a las pymes a:

  • Personalizar plantillas de políticas según su industria, stack tecnológico y requisitos regulatorios.
  • Desplegar y configurar soluciones MDM para entornos BYOD.
  • Realizar capacitación de concientización con simulaciones de phishing.
  • Realizar auditorías de cumplimiento para verificar que sus políticas escritas coincidan con su postura de seguridad.

Contacte al equipo de Cyberlords hoy.

Preguntas frecuentes

¿Qué políticas de ciberseguridad necesita una pyme?

Como mínimo, cada pyme necesita tres políticas fundamentales: una Política de Uso Aceptable (PUA) que defina el uso de la tecnología, una Política BYOD que gobierne los dispositivos personales, y una Política de Contraseñas que establezca los estándares de autenticación. Estas tres cubren la mayoría de incidentes causados por humanos, que representan el 88 % de todas las filtraciones.

¿Las contraseñas deben seguir expirando cada 90 días?

No. El NIST SP 800-63B-4, finalizado en 2025, desaconseja explícitamente el cambio periódico obligatorio salvo que haya evidencia de compromiso. La investigación muestra que la expiración forzada produce contraseñas más débiles. Priorice frases de paso largas (15+ caracteres), listas de bloqueo dinámicas, autenticación multifactor y servicios de monitoreo de filtraciones.

¿Qué debe incluir una política BYOD?

Debe definir tipos de dispositivos y versiones de OS permitidos, requerir registro e inscripción MDM, exigir cifrado y bloqueo de pantalla, especificar qué datos se pueden acceder y almacenar, requerir MFA, establecer procedimientos para dispositivos perdidos o robados, definir derechos de borrado remoto, clarificar límites de privacidad y prever procedimientos de salida.

¿Con qué frecuencia deben revisarse las políticas?

Al menos anualmente, en un calendario fijo. Además, desencadene revisiones ante cualquier cambio significativo: incidente de seguridad, nuevo requisito regulatorio, adopción de nueva tecnología, cambios de personal de seguridad o retroalimentación de auditoría. Asigne un propietario nombrado a cada política.

¿Estas plantillas son compatibles con ISO 27001 y SOC 2?

Están alineadas con ISO 27001 (A.5 y A.8), SOC 2, NIST SP 800-63B-4 y CIS Controls v8. Sin embargo, el cumplimiento se determina por la implementación, no por la documentación. Personalice, aplique con controles técnicos, capacite al personal y documente evidencias de cumplimiento.

¿Cuál es el mayor riesgo del BYOD?

Los dispositivos no gestionados. El 70 % de los dispositivos BYOD no están gestionados — sin aplicación de cifrado, gestión de parches ni borrado remoto. El 90 % de incidentes de dispositivos perdidos llevan a acceso no autorizado. La solución: inscripción MDM obligatoria, requisitos claros y política firmada.

¿Cómo lograr que los empleados cumplan las políticas?

Tres pasos. Redacte en lenguaje claro comprensible para no técnicos. Capacite al menos trimestralmente con simulaciones de phishing — la investigación muestra una reducción del 72 % en incidentes. Aplique de manera coherente con consecuencias documentadas, pero también reconozca los comportamientos seguros.

¿Necesito políticas separadas o un solo documento?

Mantenga políticas separadas y enfocadas. Un mega-documento es más difícil de mantener, más difícil de consultar y crea dificultades durante auditorías. Mantenga PUA, BYOD y contraseñas como documentos separados como mínimo.

plantillas políticas ciberseguridad resumen

Decisiones clave, riesgos y acciones de implementación para las plantillas de políticas de ciberseguridad.