3 consejos para elaborar una política eficaz de seguridad de la información en el correo electrónico

19 de marzo de 2020
Kaseya
Seguridad del correo electrónico

A pesar de la popularidad de las redes sociales y la mensajería instantánea, el correo electrónico sigue siendo una importante herramienta de comunicación para las empresas. Por desgracia, su popularidad también lo convierte en una plataforma ideal para la ciberdelincuencia.

Según informes recientes, el 94% de todo el malware se distribuye a través del correo electrónico. A veces, el malware se envía como un simple archivo adjunto y, otras, se trata de un enlace engañoso a una página web que contiene malware. Pero, independientemente de la estrategia que elijan los hackers, al proteger el correo electrónico de la empresa, proteges el futuro de la empresa.

Para las pequeñas y medianas empresas (pymes), la información es su activo más importante, por lo que protegerla es fundamental. La seguridad de la información (o «infosec») es un conjunto de prácticas destinadas a proteger los datos frente al acceso no autorizado o a posibles alteraciones. Se compone de tres elementos básicos: confidencialidad, integridad y disponibilidad.

Para elaborar una política de seguridad de la información específica para el correo electrónico que aborde estos tres componentes básicos, es necesario que todo el personal de la empresa reciba la formación adecuada. De este modo, se garantizará que las comunicaciones por correo electrónico sean seguras y que los empleados sean conscientes de los riesgos que entraña una posible violación de la seguridad debido a errores humanos, así como al uso indebido de Internet y otras actividades peligrosas.

Tómese un minuto para conocer las tres amenazas más comunes del correo electrónico y nuestras recomendaciones sobre cómo abordarlas en una política de infoseguridad:

Phishing y spear phishing

Los correos electrónicos de phishing utilizan técnicas de manipulación psicológica para engañar a los destinatarios y que estos revelen información confidencial, que luego puede venderse o utilizarse con fines maliciosos. Por lo general, el phishing incluye un remitente que parece auténtico y un mensaje diseñado para ocultar sus intenciones maliciosas. Si el mensaje resulta convincente, los usuarios harán clic en archivos adjuntos que contienen malware, en enlaces a sitios web fraudulentos o en una combinación de ambos.

El spear phishing es una versión más selectiva del phishing que emplea contenidos e información muy personalizados dirigidos a personas concretas. En estos casos, los estafadores investigan exhaustivamente a sus víctimas para aumentar la credibilidad de sus correos electrónicos.

Infosec tip: Tanto los ciberdelincuentes como los estafadores utilizan diversas tácticas de ingeniería social para presionar a sus objetivos para que descarguen archivos o faciliten información crítica. Por ejemplo, los estafadores utilizan tácticas de miedo en falsos correos electrónicos que amenazan con desactivar cuentas si el destinatario no sigue las "instrucciones". Como el empleado se siente presionado, sucumbe al señuelo del estafador. Forme a sus empleados sobre cómo evitar los ataques de phishing enseñándoles cómo funcionan el phishing y el spear phishing.

También puedes utilizar ejercicios de simulación para ilustrar situaciones reales. Si tu software de seguridad incluye estas medidas contra el phishing, plantéate enviar correos electrónicos falsos de phishing a tus empleados al menos una vez al mes para mantenerlos alerta.

Spam

El correo basura sigue planteando una serie de retos a las pymes. Lo que lo hace tan peligroso es que la mayoría de la gente lo considera una simple molestia, en lugar de lo que realmente es: una amenaza plagada de malware. Al igual que los correos de phishing, el correo basura también puede diseñarse para que parezca proceder de fuentes legítimas, como tiendas online, lo que aumenta la probabilidad de que los usuarios, sin darse cuenta, descarguen archivos sospechosos.

Consejo de seguridad de la información: Los administradores de red deben asegurarse de que los filtros antispam —incluida la gestión de políticas y los umbrales de detección de amenazas— estén correctamente configurados. Si ya dispone de soluciones de seguridad para el correo electrónico, asegúrese de utilizar funciones como el seguimiento de la reputación web y la detección de vulnerabilidades en documentos. Estas funciones están diseñadas para filtrar los ataques dirigidos antes de que lleguen a los usuarios.

Correo electrónico comercial comprometido (BEC)

En esta estafa, los hackers se conectan al correo electrónico de un ejecutivo de alto nivel y envían mensajes desde esa cuenta. Las estafas BEC suelen consistir en que los ciberdelincuentes piden a los empleados que transfieran fondos a una cuenta controlada por el ciberdelincuente.

Las estafas BEC son populares entre los ciberdelincuentes porque son muy sencillas de ejecutar y los estafadores no necesitan codificación avanzada, habilidades técnicas o malware complejo. El Informe sobre Delitos en Internet 2019 del FBI revela que las estafas BEC fueron el tipo de ciberdelincuencia más dañino y efectivo el año pasado.

Consejo de seguridad informática: Las pymes deberían utilizar software de seguridad de correo electrónico automatizado. Familiarice a sus técnicos de TI, directivos y empleados con los indicadores habituales del BEC, de modo que todos los miembros de su equipo estén preparados para examinar minuciosamente el origen y el contenido de los correos electrónicos entrantes y salientes.

Es imprescindible contar con una política de seguridad de la información sólida y eficaz para el correo electrónico de su empresa. Es su responsabilidad proteger la información confidencial de sus clientes y empleados. La Graphus le permite comunicarse con total tranquilidad, sabiendo que sus bandejas de entrada están a salvo de ciberataques y estafas de ingeniería social. Llámenos hoy mismo para empezar.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Los entresijos de la estafa de las facturas de OpenAI: explicación del uso indebido de SendGrid y del phishing por devolución de llamada

Los ciberdelincuentes nunca se detienen y reinventan constantemente sus tácticas para aprovecharse de la confianza, la familiaridad y el instinto humano. INKY vigilando las amenazasSeguir leyendo

Leer la entrada del blog

Cómo defender su cuenta de Microsoft 365

Lea el blog para saber por qué las cuentas de Microsoft 365 son los principales objetivos de los atacantes y qué puede hacer para protegerlas.

Leer la entrada del blog

Seis razones por las que una sólida seguridad del correo electrónico es la clave para el éxito en materia de seguridad

Descubre seis razones por las que una sólida seguridad del correo electrónico es la clave para garantizar la seguridad y cómo determinar qué solución es la más adecuada para ti.

Leer la entrada del blog