CAMPAÑA de
SEGURIDAD DIGITAL
INAP
Menú

El correo electrónico es una de las principales fuentes de ataque: mensajes falsos, estafas, robo de contraseñas...

¿Y por qué… debo ser especialmente cuidadoso en el uso del correo electrónico?

El correo electrónico constituye actualmente uno de los principales, sino el principal, medio de comunicación y sistema de intercambio de información, consolidándose como una herramienta fundamental en el puesto de trabajo, y en consonancia, uno de los principales vectores de ataque.

El acceso al correo electrónico está disponible desde múltiples dispositivos, como el ordenador, el móvil, o un navegador web, y diferentes lugares, tanto desde dentro de la organización como incluso remotamente desde Internet (estando en casa, de viaje, etc.). Pero además de todas sus ventajas, es un medio que puede ser usado maliciosamente para contactar de manera sencilla y directa con los usuarios y distribuir mensajes falsos, publicidad, timos, estafas o incluso intentar robarte tus contraseñas. También facilita la filtración y robo de información hacia el exterior, y, además, simplifica la distribución de virus o software dañino dentro de una organización.

El correo electrónico, por tanto, debe ser utilizado con precaución y de manera responsable, sospechando del contenido de sus mensajes y cuestionando el origen real de los mismos.

Recomendaciones

No visites ningún sitio web desde un enlace recibido de un remitente desconocido

1. Desconfía y no pulses o visites ningún enlace o dirección web incluida en los mensajes de correo electrónico de un remitente desconocido, o incluso si viene supuestamente de alguien conocido, si el contenido resulta sospechoso. Estos enlaces pueden haber sido especialmente preparados para robarte tus contraseñas o infectar tu ordenador. Si el contenido del mensaje te sugiere acceder a una dirección web, llamar a un número de teléfono, responder, o cualquier otra acción (especialmente con cierta urgencia), no hagas caso del mismo. Empieza desde cero (como si no hubieras recibido el contenido del mensaje) y utiliza directamente la página web o el número de teléfono oficiales de la organización con la que quieres contactar.

Si has entrado en un sitio por error, no introduzcas datos confidenciales

Si has seguido por error un enlace incluido en un mensaje de correo electrónico, en ningún caso introduzcas en la página web obtenida como respuesta tu contraseña, código de acceso u otra información sensible, confidencial o protegida. ¡Existen miles de web falsas intentando capturar tus datos y credenciales, promovidas a través de campañas de mensajes de correo electrónico maliciosos (phishing)!

Cualquiera puede ser suplantado por correo electrónico

Debes tener en cuenta que es trivial suplantar a cualquier otra persona u organización en Internet y enviar un correo electrónico en su nombre; en realidad, tan sencillo como enviar una carta postal en nombre de otro en el mundo real. Para realmente identificar si el mensaje viene de la persona que dice venir, debemos fijarnos en los pequeños detalles, como, por ejemplo, el formato, el vocabulario empleado, los errores gramaticales, el contenido, los enlaces web, si pretende que llevemos a cabo alguna acción, etc. Utiliza el sentido común: si un mensaje parece demasiado bueno para ser cierto, muy probablemente se trata de un ataque.

No respondas a mensajes de desconocidos o que no te inspiran confianza

Nunca respondas a estos mensajes de correo electrónico no esperados o que provienen de desconocidos o de personas u organizaciones con las que no tienes relación. Haciéndolo desvelas que tú estás detrás de tu dirección de correo electrónico, y te conviertes en un objetivo más atractivo.

Y mucho menos evita abrir o descargar archivos adjuntos de remitentes desconocidos

Evita abrir o descargar ficheros adjuntos de mensajes de correo electrónico de un remitente desconocido, o incluso si viene supuestamente de alguien conocido, si el contenido resulta sospechoso o se trata de un mensaje no esperado. Estos ficheros adjuntos pueden contener documentos o software malicioso que puede infectar tu ordenador con solo abrirlos. ¡Piénsatelo dos veces antes de abrirlos, e incluso de descargarlos!

Puedes ser tanto víctima de ataques masivos (phishing), como de ataques dirigidos

Puedes ser tanto víctima de ataques masivos (phishing), basados en mensajes muy genéricos con contenidos muy llamativos que despierten tu interés o curiosidad, como de ataques dirigidos (spear phishing, mucho más efectivos, peligrosos y difíciles de detectar) que hacen uso de información disponible públicamente asociada a ti, basados en mensajes personalizados y que parecen provenir de alguien de tu círculo de confianza. ¡Debes estar siempre alerta y preparado ante ambos tipos de ataques!

Los buzones genéricos están más expuestos. Ten cuidado al gestionarlos

Deben de tener especial cuidado en la gestión de los mensajes de correo electrónico aquellas personas a cargo de buzones de correo genéricos, cuya dirección está expuesta públicamente en la página web de la organización, y que puede ser utilizada por cualquiera para remitir todo tipo de mensajes.

Evita el envío de información sensible, confidencial y protegida a través del correo electrónico

Cuando hayas terminado de usar una página web donde te hayas identificado con usuario y contraseña (o con certificado digital), no te olvides de cerrar tu sesión en la aplicación web, ya que, si no, alguien podría aprovecharla y suplantarte y, de nuevo, “ser tú” en Internet.

¿Qué es el cifrado?

El cifrado es un mecanismo de protección que convierte los datos o la información en un formato no legible a través de cálculos matemáticos y de una clave. Únicamente el poseedor de la clave podrá descifrar los contenidos protegidos y disponer así de los datos originales para poder visualizarlos.

Sé cuidadoso si accedes al correo de forma remota

Si debes acceder a tu cuenta de correo electrónico remotamente, actúa con cautela, accede desde un ordenador de confianza, que no pueda ser usado para robar tus credenciales, y asegúrate de cerrar tu sesión tan pronto hayas acabado de hacer uso del servicio.

No sigas las cadenas de correos

No contribuyas a la difusión de rumores, noticias falsas o de dudosa reputación, ofertas o regalos, típicamente propagadas mediante cadenas formadas por envíos y reenvíos de correos electrónicos. Contribuyendo a estas, estás consumiendo los recursos de almacenamiento y de red corporativos innecesariamente y, más importante, malgastando tu valioso tiempo. ¡Si despiertan tu sensibilidad, conciencia social o codicia… seguro que hay mejores formas de alimentarlas!

Sé precavido al reenviar correos

A la hora de reenviar correos electrónicos a múltiples destinatarios, presta mucha atención y no incluyas a todos ellos en la lista de destinatarios principales (Para:) o en copia (CC: Con Copia), y utiliza en su lugar la copia oculta (CCO: Con Copia Oculta). De esta forma evitarás desvelar innecesariamente las direcciones de correo del resto de usuarios.

Sé consciente de donde utilizas tu dirección de correo profesional

No facilites tu dirección de correo electrónico profesional para asuntos personales o en webs públicas o de dudosa reputación. En caso de tener que facilitarla durante el proceso de registro, sé especialmente cuidadoso y no reutilices la contraseña asociada a esa cuenta de correo electrónico. Continuamente se recopilan direcciones de nuevos usuarios para enviarles mensajes de correo electrónico no deseados (spam), normalmente con contenido publicitario y enviados de forma masiva, o mensajes maliciosos (phishing).

Si detectas algo sospechoso, comunícalo

Por último, si identificas algún mensaje de correo electrónico sospechoso dirigido hacia ti o hacia tu organización específicamente, notifica la incidencia lo antes posible a través de la Intranet. Una vez el mensaje haya sido analizado, simplemente bórralo. Una actitud de sospecha, así como aplicar el sentido común, te ayudarán a detectar y parar la mayoría de ataques recibidos por correo electrónico.

Recuerda, tú también puedes ser un hacker bueno, identificar anomalías, incidentes de seguridad y comportamientos sospechosos, por lo que tu colaboración y ayuda para proteger a la organización es fundamental.