Según los últimos reportes de Kaspersky, multinacional dedicada a la ciberseguridad, España es el país del mundo que más correos electrónicos peligrosos recibe. Sin irnos más lejos, incidentes como el ciberataque al SEPE o las decenas de ataques de ransomware que han sufrido diferentes instituciones, han tenido su entrada por email. ¿Qué hace tu empresa para protegerse? Te dejamos una checklist para que revises las políticas de seguridad del correo electrónico de tu organización.

¿Tus procesos son adecuados?

Normativa de uso de correo electrónico

¿Tu organización dispone de una normativa para el uso del correo electrónico? Si no es así, deberías incluirla. En ella, se especificará la utilización del email por parte de todos los miembros de tu empresa. Por ejemplo, que no pueda utilizarse con finales personales. Asimismo, se especificará el control que puede tener la empresa sobre este, siempre atendiendo al marco legal de privacidad. Esta normativa deberá ser aceptada por todos los empleados antes de incorporarse al puesto de trabajo.

Por otro lado, y de cara a ser más productivos, se debería fomentar la utilización de herramientas de comunicación como Microsoft Teams, de cara a evitar las saturaciones de la bandeja de entrada.

¿Tu equipo de IT aplica las políticas adecuadas?

Antimalware y antispam

Barreras de protección: aplicaciones antimalware y activación de filtros antispam. Estos filtros son una potente herramienta, pues previenen que los correos maliciosos sean identificados y no lleguen a la bandeja de entrada – evitando así una posible apertura. Deben activarse tanto en el servidor como en el cliente de correo siguiendo las política antimalware.

 

Cifrado y firma digital

Al abrir un correo… ¿existe alguna forma de asegurarnos de que los documentos que recibimos son de quien dice ser? ¿Tenemos certeza de que el supuesto remitente es quien ha realizado el envío? La mayoría de campañas de estafas por correo electrónico, utilizan falsos remitentes en ellas. Es por eso que la instalación de una tecnología de cifrado y firma digital ayuda a proteger la información confidencial y asegurar la autenticidad de la empresa como remitente.

 

Desactivar el formato

Aunque perdemos capacidad de formato, desactivar el formato HTML (que permite colores, negritas, enlaces…) evitamos la ejecución de otro tipo de código llamado JavaScript. Este último, puede ser utilizado con fines ilícitos; desde redirigirnos a verificar que nuestra cuenta de correo es válida. De hecho, los expertos en seguridad del gobierno de Estados Unidos (CISA) emitieron hace poco un comunicado con el demoledor mensaje: el único correo seguro es el que no tiene formato.

Dentro de este punto, también estarían medidas como deshabilitar o bloquear las macros así como la descarga de imágenes.

 

Ofuscar las direcciones de correo electrónico

Aunque gracias a la GDPR los niveles de spam han descendido de manera drástica, es una realidad que todavía llena nuestros buzones de correos. Si se publican las direcciones corporativas en webs y/o redes sociales sin las debidas técnicas de ofuscación, no sólo corremos el riesgo de tener nuestra bandeja de entrada a disposición del correo no deseado: tanto publicitario como malicioso.  Algunas de las técnicas de ofuscación más utilizadas son:

  • Utilización de imágenes en lugar de texto para mostrar el correo electrónico. Es decir, crear una imagen con el correo electrónico para su publicación en, por ejemplo, la web corporativa.
  • Reemplazo del carácter arroba por texto. Es decir, en lugar de escribir minimbre@miorganización.es podemos utilizar minimbrearrobamiorganización.es

Cualquiera de estas dos técnicas dificulta que se recopilen los emails corporativos de forma automática.

¿Tus empleados están formados?

El personal de tu empresa es la primera línea de defensa – y la principal entrada – de ciberataques. ¿Tienen todos tus empleados la capacitación suficiente para…

  • …revisar la políticas de reenvío?
  • …detectar cuándo un email es phishing?
  • …comprobar la veracidad de un remitente?
  • …determinar si un archivo adjunto es potencialmente dañino?
  • …asegurarse de que los enlaces que pincha son legítimos?

Existen múltiples maneras de formar a tus empleados, desde charlas a casos prácticos, y la que más nos gusta: simulacros. En keykumo, una vez al mes y sin tener un día fijado, realizamos simulacros de envío de phishing para detectar las capacidades de los empleados, así como una detección precoz de posibles carencias en la formación. Si quieres saber más de cómo funciona este servicio, contáctanos con el formulario:

Te ayudamos con la ciberseguridad

En keykumo apostamos fuerte por la ciberseguridad: tanto en los servicios que ofrecemos como en la formación interna y, especialmente, en la capacitación de nuestros técnicos. ¿Necesitas un socio para la ciberseguridad de tu empresa? ¡Contáctanos!

    Nombre completo *

    Empresa *

    Teléfono

    Correo electrónico *

    ¿En qué podemos ayudarte?

    Asesoramiento cibersegurosFormación seguridadPrevención phishingOtros

    Información adicional