Correo electrónico

Correo electrónico

Uso del correo electrónico

Antecedentes

El correo electrónico es una herramienta de comunicación imprescindible para el funcionamiento de una empresa. Sus beneficios son evidentes: accesibilidad, rapidez, posibilidad de enviar documentos adjuntos, etc., aunque cuando se creó, no se hizo pensando en sus aplicaciones actuales ni en la seguridad.

Como toda herramienta de comunicación corporativa es necesario definir su uso correcto y seguro, ya que, además de abusos y errores no intencionados en su uso que puedan causar perjuicio en la empresa, el correo electrónico se ha convertido en uno de los medios que utilizan los ciberdelincuentes para llevar a cabo sus ataques.

Los empleados pueden enviar documentos confidenciales a quien no deberían por error, desvelar, sin querer, la dirección del correo electrónico (que es un dato personal) de clientes o usuarios, o utilizar su correo corporativo para usos no permitidos.

También es habitual que a los buzones corporativos llegue spam, correos de phishing que intentan robar credenciales o correos que suplantan entidades o personas. En estos casos utilizan técnicas de ingeniería social para conseguir sus fines maliciosos por ejemplo: infectarnos, robar credenciales o que les demos datos confidenciales. En un correo malicioso tanto el remitente como el asunto, el cuerpo, los adjuntos o los enlaces que contiene, pueden estar diseñados para engañar al receptor del mensaje. Para evitar caer en la trampa de los ciberdelincuentes debemos además de utilizar medios tecnológicos (antivirus, antimalware, antispam, etc.), concienciar a nuestros empleados para que sepan distinguir estos mensajes.

Para evitar los riesgos que conlleva el uso del correo corporativo debemos concienciar a nuestros empleados para que hagan un uso seguro del mismo e informarles de las normas que regulan las condiciones y circunstancias en las que puede utilizarse, así como las posibles sanciones y acciones a tomar en caso de detectarse un mal uso.

Objetivos

Establecer unas normas de uso permitido y seguro del correo electrónico corporativo que sirva para impedir errores, incidentes y usos ilícitos, y para evitar ataques por esta vía.

Puntos clave

Los puntos clave de esta política son:

  • Normativa de uso de correo electrónico. La empresa dispondrá de una normativa referente al uso del correo electrónico que el empleado aceptará al incorporase a su puesto de trabajo. Se informará de la prohibición del uso del correo corporativo con fines personales que no tengan que ver con la empresa. El contenido del correo deberá cumplir con la normativa y su uso inadecuado podrá conllevar sanciones. El correo corporativo puede ser supervisado por la dirección de la empresa incluyendo una cláusula en la normativa que firma el empleado. 

  • Antimalware y antispam. Debes instalar aplicaciones antimalware y activar los filtros antispam tanto en el servidor como en el cliente de correo según la Política Antimalware. Estos filtros permitirán que los correos maliciosos sean identificados y no lleguen a la bandeja de entrada evitando así su posible apertura. 

  • Cifrado y firma digital. Se debe instalar una tecnología de cifrado y firma digital para proteger la información confidencial y asegurar la autenticidad de la empresa como remitente.  

  • Desactivar el formato HTMLla ejecución de macros y la descarga de imágenesEl formato HTML permite utilizar colores, negritas, enlaces, etc. También permite incluir un lenguaje de programación denominado JavaScript. Este lenguaje puede ser usado con fines ilícitos, por ejemplo para verificar que nuestra cuenta de correo es válida o para redirigirnos a un sitio web malicioso. Por ello es más seguro tenerlo desactivado. Como seguridad complementaria también se deberían deshabilitar las macros y las descargas de imágenes. 

  • Ofuscar las direcciones de correo electrónico. No se deben publicar las direcciones de correo corporativas en páginas web ni en redes sociales sin utilizar técnicas de ofuscación. De lo contrario esas cuentas pueden ser captadas para incluirlas en listas de envío de spam. Técnicas que puedes utilizar: 

    • crea una imagen con la dirección de correo que quieras publicar y utiliza la imagen en lugar de introducir el correo como texto; 

    • reemplazar ‘@’ y ‘.’ por texto; de esta forma, nombre@miempresa.com se sustituiría por nombrearrobamiempresapuntocom. 

  • Uso apropiado del correo corporativo. El empleado conoce y acepta la normativa relativa al uso del correo corporativo. 

  • Contraseña segura. Todas las cuentas deben utilizar contraseñas de acceso de acuerdo con la Política de contraseñas se recomienda: 

    • usar una contraseña segura para evitar accesos no autorizados; 

    • utilizar doble factor de autenticación para las cuentas críticas;  

    • si se accede al correo a través desde una interfaz web nunca se marcará la opción de recordar contraseña

  • Correos sospechosos. Los empleados deben aprender a identificar correos fraudulentos y sospechar cuando:  

    • el cuerpo del mensaje presente cambios de aspecto (logotipos, pie de firma, etc.) con respecto a los mensajes recibidos anteriormente por ese mismo remitente; 

    • el mensaje contiene una «llamada a la acción» que nos urge, invita o solicita hacer algo no habitual; 

    • se soliciten credenciales de acceso a una web o aplicación (cuenta bancaria, ERP, etc.) 

  • Identificación del remitente. El empleado no abrirá un correo sin identificar el remitente. Si el remitente no es un contacto conocido habrá que prestar especial atención ya que puede tratarse de un nuevo cliente o de un correo malicioso. 

Si el remitente es un contacto conocido pero por otros motivos (cuerpo del mensaje, archivos adjuntos, enlaces,…) sospechas que se ha podido suplantar su identidad, debes contactar con éste por otro medio para confirmar su identidad.

Análisis de adjuntos. Al recibir un mensaje con un adjunto, este se debe analizar cuidadosamente antes de abrirlo. Aunque el remitente sea conocido puede haber sido suplantado y no apercibirnos. La descarga de adjuntos maliciosos podría infectar nuestros equipos con algún tipo de malware. Tener el antivirus activo y actualizado puede ayudarnos a identificar los archivos maliciosos. Estas son algunas medidas para identificar un adjunto malicioso:

    • tiene un nombre que nos incita a descargarlo, por ser habitual o porque creemos que tiene un contenido atractivo; 

    • el icono no corresponde con el tipo de archivo (su extensión), se suelen ocultar ficheros ejecutables bajo iconos de aplicaciones como Word, PDF, Excel, etc.; 

    • tiene una extensión familiar pero en realidad está seguida de muchos espacios para que no veamos la extensión real (ejecutable) en nuestro explorador de ficheros, por ejemplo: listadoanual.pdf             .exe; 

    • nos pide habilitar opciones deshabilitadas por defecto como el uso de macros; 

    • no reconoces la extensión del adjunto y puede que se trate de un archivo ejecutable (hay muchas extensiones con las que no estamos familiarizados); es o encubre un archivo JavaScript (archivos con extensión .js). 

  • Inspección de enlaces. Al recibir un mensaje con un enlace, antes de hacer clic el receptor debe: 

    • revisar la URL, sitúate sobre el texto del enlace, para visualizar la dirección antes de hacer clic en él; 

    • identificar enlaces sospechosos que se parecen a enlaces legítimos fijándonos en que:  

      • pueden tener letras o caracteres de más o de menos y pasarnos desapercibidas; 

      • podrían estar utilizando homógrafos, es decir caracteres que se parecen entres sí en determinadas tipografías (1 y l, O y 0). 

  • No responder al spam (correo basura). Cuando recibimos correo no deseado no respondemos al mismo. De lo contrario confirmaremos que la cuenta está activa y seremos foco de futuros ataques. Agrégalo a tu lista de spam y elimínalo. Tampoco lo reenviaremos en caso de cadenas de mensajes. 

  • Utilizar la copia oculta (BCC o CCO). Cuando se envíen mensajes a múltiples destinatarios, envíatelo a ti mismo y utiliza la opción de copia oculta, (CCO o BCO en la mayoría de los clientes de correo) en lugar de la copia normal CC. La copia oculta impide que los destinatarios vean a quién más ha sido enviado. De esta forma evitaremos que cualquiera pueda hacerse con unas cuantas direcciones de correo válidas a las que enviar spam o mensajes fraudulentos. Recuerda que el correo electrónico es un dato personal de nuestros clientes y usuarios, que no debemos utilizar para otros fines distintos de aquellos para los que fue solicitado. No debemos divulgarlo o comunicarlo a terceros sin su consentimiento. 

  • Reenvío de correos. Se informará de la prohibición del reenvío de correos corporativos a cuentas personales salvo casos excepcionales que deben ser autorizados por la dirección. 

  • Evitar utilizar el correo electrónico desde conexiones públicas (la wifi de una cafetería, el ordenador de un hotel, etc.) de acuerdo con la Política de uso de wifis y conexiones externas ya que nuestro tráfico de datos puede ser interceptado por cualquier usuario de esta red. Como alternativa, es preferible utilizar redes de telefonía móvil como el 3G o 4G.  

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.