- 91% de los ciberataques comienzan con un email de phishing
- 60% de las PyMEs argentinas usa cuentas personales para comunicacion laboral
- USD 7-12 por usuario/mes cuesta un email corporativo con Google Workspace o Microsoft 365
- 0% de control tiene la empresa sobre un Gmail personal cuando el empleado se va
Los riesgos reales del email personal en la empresa
Perdida de informacion cuando el empleado se va
Si el vendedor usa juan.perez@gmail.com para comunicarse con clientes, toda esa correspondencia —presupuestos, ordenes, reclamos, acuerdos— se va con el. La empresa no puede recuperarla porque la cuenta pertenece a Juan, no a la empresa. No hay recurso legal: es su casilla personal.
Con email corporativo (juan@tuempresa.com), cuando Juan se va, la empresa puede reasignar la casilla, exportar los correos, configurar una redireccion temporal y mantener la continuidad comercial. La informacion queda donde debe: en la empresa.
Sin auditoria ni control
Gmail personal no tiene logs de acceso centralizados, no permite ver quien envio que a quien, no tiene politicas de retencion y no ofrece e-discovery en caso de una disputa legal. Si un empleado filtra informacion confidencial desde su Gmail, la empresa no tiene forma de probarlo ni de prevenirlo.
Un email corporativo administrado permite ver logs de acceso, configurar alertas por actividad inusual, aplicar politicas de retencion (cuanto tiempo se guardan los mails) y, en caso de conflicto legal, hacer busquedas forenses en el archivo.
Percepcion de marca
Un mail de ventas@tuempresa.com transmite profesionalismo. Un mail de carlos_ventas_87@hotmail.com transmite improvisacion. Para clientes corporativos, recibir una propuesta comercial desde un email gratuito es una senal de alerta. Para proveedores internacionales, directamente puede ser motivo de descarte.
Seguridad comprometida
Las cuentas personales suelen tener contrasenas debiles, sin autenticacion de dos factores, compartidas con otros servicios (Netflix, redes sociales) y sin las protecciones que ofrece un entorno corporativo administrado. Si la cuenta personal se compromete, el atacante accede a toda la correspondencia laboral.
Como implementar email corporativo
Paso 1: dominio propio
Lo primero es tener un dominio. Si tu empresa se llama "Metalurgica del Sur SRL", el dominio podria ser metalurgicadelsur.com.ar o mdelsur.com. El costo de un dominio .com.ar es de $0 (NIC Argentina lo ofrece gratis) y un .com cuesta ~USD 12/ano.
Paso 2: elegir proveedor
| Proveedor | Costo/usuario/mes | Almacenamiento | Incluye |
|---|---|---|---|
| Google Workspace Starter | USD 7 | 30 GB | Gmail, Drive, Meet, Docs |
| Microsoft 365 Basic | USD 6 | 50 GB mail + 1 TB OneDrive | Outlook, Teams, Office web |
| Zoho Workplace | USD 3 | 30 GB | Mail, Docs, Chat |
| Zoho Mail Lite | USD 1 | 5 GB | Solo email |
Para la mayoria de las PyMEs argentinas, Google Workspace es la opcion mas practica porque el equipo ya sabe usar Gmail y Google Drive. Microsoft 365 es preferible si la empresa trabaja con Excel pesado, Access o necesita integracion con sistemas Windows. Zoho es la alternativa economica si el presupuesto es muy ajustado.
Paso 3: configurar SPF, DKIM y DMARC
Estos tres protocolos son la base de la seguridad del email. Sin ellos, cualquiera puede enviar mails que parezcan venir de tu dominio (spoofing). Explicados de forma simple:
- SPF (Sender Policy Framework): un registro DNS que dice "solo estos servidores pueden enviar mail en nombre de mi dominio". Si alguien intenta enviar desde otro servidor, el receptor lo marca como sospechoso.
- DKIM (DomainKeys Identified Mail): una firma digital que se agrega a cada mail saliente. El receptor verifica la firma contra una clave publica en el DNS. Si no coincide, el mail fue alterado en transito o no viene de donde dice.
- DMARC (Domain-based Message Authentication): una politica que le dice al receptor que hacer si un mail no pasa SPF o DKIM: dejarlo pasar (none), ponerlo en spam (quarantine) o rechazarlo (reject). Ademas, envia reportes al administrador sobre intentos de suplantacion.
Configurar los tres toma 30 minutos si se tiene acceso al DNS del dominio. Google Workspace y Microsoft 365 proporcionan las instrucciones exactas para cada proveedor de DNS. No hacerlo es como tener una puerta blindada y dejar la ventana abierta.
Requisitos legales en Argentina
La Ley 25.326 de Proteccion de Datos Personales establece que quien trata datos personales debe adoptar medidas de seguridad tecnicas y organizativas para protegerlos. El email empresarial contiene datos personales de clientes, empleados y proveedores. Usar cuentas personales sin control ni encriptacion dificulta demostrar cumplimiento ante la Agencia de Acceso a la Informacion Publica (AAIP).
Ademas, la retencion de comunicaciones comerciales puede ser relevante en disputas contractuales, fiscales o laborales. Un email corporativo con politica de retencion configurada permite conservar la correspondencia el tiempo necesario. Un Gmail personal puede ser borrado en cualquier momento por el titular.
Como detallamos en nuestro articulo sobre phishing en Argentina, el email es el vector de ataque numero uno. Un email corporativo con SPF/DKIM/DMARC, MFA obligatorio y filtrado avanzado reduce drasticamente la superficie de ataque.
Plan de migracion: de personal a corporativo
La migracion no tiene que ser traumatica. Un plan realista para una PyME de 10-30 personas:
- Semana 1: contratar el servicio (Google Workspace o Microsoft 365), configurar el dominio, crear las casillas, configurar SPF/DKIM/DMARC
- Semana 2: migrar los correos historicos importantes (Google ofrece herramientas de importacion desde Gmail/Outlook/Yahoo), capacitar al equipo en el uso de la nueva casilla
- Semana 3-4: periodo de transicion donde ambas casillas estan activas. Los empleados configuran respuesta automatica en la personal redirigiendo a la corporativa
- Mes 2: la casilla personal deja de usarse para fines laborales. Se actualiza la firma, las tarjetas de presentacion y los listados de contacto
El costo es modesto: 10 usuarios en Google Workspace Starter son USD 70/mes (~$65.000 ARS al tipo de cambio actual). Un solo incidente de phishing exitoso, una sola perdida de cartera de clientes o una sola multa por incumplimiento de la Ley 25.326 supera ampliamente esa inversion anual.
Plataformas de seguridad como Eleion pueden monitorear la configuracion de seguridad de tu email corporativo, verificar que SPF/DKIM/DMARC esten correctamente configurados, detectar intentos de suplantacion de tu dominio y alertar sobre cuentas comprometidas. Es la capa de vigilancia que complementa la configuracion base.
El email corporativo no es un gasto: es una de las inversiones mas rentables que puede hacer una PyME. Protege la informacion, profesionaliza la comunicacion, cumple con la ley y cuesta menos que un almuerzo de equipo por mes. La pregunta no es si te lo podes permitir, sino si te podes permitir no tenerlo.