En la era digital actual, el correo electrónico se ha convertido en el alma de la comunicación para empresas de todos los tamaños, pero también representa un importante reto para la seguridad, especialmente para las pequeñas empresas.
A medida que las ciberamenazas evolucionan y se vuelven más sofisticadas, proteger la información sensible y garantizar la confidencialidad de la correspondencia electrónica nunca ha sido tan crucial.
En los últimos años, los ciberataques a través de los servidores de correo electrónico de las empresas han experimentado un aumento espectacular en todos los ámbitos. Esto no es de extrañar, teniendo en cuenta la tendencia mundial al trabajo a distancia de los últimos años.
Sin embargo, ahora que el trabajo a distancia ha llegado para quedarse, lo que sí sorprende a la mayoría de los especialistas en ciberseguridad es que muchas organizaciones (especialmente las empresas más pequeñas, que son las más vulnerables a este tipo de ataques) no hayan implantado prácticas básicas de ciberseguridad para mantener sus sistemas a salvo del Business Email Compromise, o BEC, y otras formas más tradicionales de ciberataques orientados al correo electrónico.
Business Email Compromise es un tipo grave de fraude digital y extorsión que pretende aprovecharse de la oleada diaria de comunicaciones por correo electrónico entre empresas. Mediante un complicado proceso de ingeniería social, los ciberdelincuentes se hacen pasar por un empleado o socio comercial de confianza y convencen a las víctimas de la misma empresa para que transfieran información sensible o fondos a una cuenta oculta.
Estos tipos de ataques varían en gravedad, pero suelen ser muy costosos para la empresa atacada. Por eso hemos decidido crear esta guía de buenas prácticas, directrices, protocolos y políticas de seguridad del correo electrónico, especialmente adaptada a las pequeñas empresas (no obstante, estas prácticas se aplicarán igualmente a organizaciones de cualquier tamaño).
Es hora de que te asegures de que los correos electrónicos de tu pequeña empresa son seguros y de que cualquier información confidencial está a salvo de miradas indeseadas.
Buenas prácticas para la seguridad del correo electrónico en pequeñas empresas
Las buenas prácticas de seguridad del correo electrónico para las pequeñas empresas son similares a las que se utilizan para las grandes organizaciones; protegen contra los tres tipos principales de ciberataques por correo electrónico:
- Estafas de phishing,
- Ataques de spear phishing
- Facturas fraudulentas.
Empecemos con las medidas de seguridad del correo electrónico esenciales:
Las cuentas de correo electrónico para empresas son para empresas
Aunque esto pueda parecer bastante simple y sencillo, merece la pena señalarlo por si acaso. Dado que el trabajo es una parte importante de la vida de todo el mundo, puede resultar tentador utilizar el correo electrónico de la empresa para registrarse o iniciar sesión en determinados servicios a los que las cuentas personales no tienen acceso.
Sin embargo, utilizar el correo electrónico de tu empresa para tus actividades personales en línea ofrece a un estafador la posibilidad de elaborar tu perfil con mayor facilidad, lo que podría dar lugar a un ciberataque mucho más selectivo.
Del mismo modo, si utilizas tu ordenador personal o la conexión Wi-Fi de tu casa, que no suelen ser tan seguras como una conexión de empresa o los equipos personalizados que se utilizan en tu lugar de trabajo, estás dando a los hackers más posibilidades de robar tus credenciales empresariales.
Esto también nos lleva a nuestra siguiente buena práctica.
No utilices el correo electrónico de tu empresa en redes Wi-Fi públicas
Aunque utilices el equipo seguro de tu empresa para acceder a tu cuenta de correo electrónico profesional, la Wi-Fi pública es la puerta de entrada perfecta para que los hackers y ciberdelincuentes se infiltren en tu equipo y roben tus datos confidenciales.
Cuando no sea posible evitar el uso de una conexión pública, te recomendamos que utilices una VPN para conectarte a los servidores importantes de tu empresa y mejorar la seguridad general de tus terminales.
Una Red Privada Virtual (VPN) funciona creando una especie de túnel privado cifrado entre el ordenador remoto del usuario y los servidores dedicados de la organización. Como resultado, protegerá todos los datos que envíes a través de una red no segura mediante cifrado en tiempo real.
Para saber más sobre las VPN y su funcionamiento, echa un vistazo a nuestro artículo “¿Qué es una VPN?”.
Contraseñas seguras y frases de contraseña
Cuando se trata de piratear una cuenta de correo electrónico para una empresa, el primer paso es atacar la cuenta por fuerza bruta e intentar adivinar tu contraseña o frase de contraseña.
Por eso recomendamos a todos los empleados que utilicen contraseñas o frases de contraseña “seguras”. Se considera que una contraseña es “segura” cuando es suficientemente larga (12-14 caracteres) y contiene una mezcla de caracteres especiales, números, mayúsculas y minúsculas.
Del mismo modo, las frases de contraseña “seguras” siguen prácticamente las mismas reglas, salvo que deben tener entre 15 y 20 caracteres y utilizar letras de otros idiomas (si es posible).
Para cada una de ellas, lo más importante es recordar que deben ser únicas y utilizarse sólo para una aplicación. Esto significa que vas a necesitar bastantes de estas contraseñas o frases de contraseña, dependiendo de cuántos sistemas utilices en tu lugar de trabajo.
Por lo tanto, recomendamos utilizar un administrador de contraseñas o un repositorio de contraseñas, que también proporciona un generador de contraseñas para crear contraseñas seguras, para almacenar todas tus contraseñas y frases únicas.
Aunque los repositorios y administradores de contraseñas pueden ser pirateados, tus contraseñas permanecerán seguras porque están cifradas (descifrar el cifrado estándar del sector, como el AES de 256 bits, Advanced Encryption Standard, es casi imposible).
Por tanto, aunque los piratas informáticos consigan "entrar" en el repositorio, no podrán hacer nada con tus datos cifrados.
Formación sobre estafas de phishing y concienciación sobre los archivos adjuntos
Una de las formas más fáciles de proteger tu empresa es invertir en una sencilla formación en ciberseguridad para todos tus empleados.
Si esto no es una opción para tu empresa, se recomienda enseñar al personal los peligros de los ataques de estafa de suplantación de identidad (phishing) y de los archivos adjuntos de correo electrónico, también conocidos como archivos adjuntos maliciosos o contrabando de HTML.
Los principales puntos a tratar serían:
- Conocimiento de las estafas habituales de phishing, como sitios web fraudulentos y ventanas de inicio de sesión que recopilan las credenciales de inicio de sesión del usuario e imitan ventanas emergentes habituales, como la ventana de inicio de sesión de Microsoft Outlook.
- Conocimiento de los vectores de adjuntos de correo electrónico más comunes en los que se puede ocultar el software malicioso, como .DOCX, .HTML y .EXE. Esto también incluye una forma reciente y popular de ciberataque por correo electrónico conocida como contrabando de HTML.
- Advierte a tus empleados de que nunca hagan clic en ningún enlace que parezca sospechoso o que proceda de un remitente desconocido. Los vínculos maliciosos son la forma más fácil que tienen los estafadores de llevar a cabo con éxito un ciberataque contra tus empleados y tu empresa, normalmente a través de algún tipo de sitio web de estafa por phishing.
Habilita la autenticación multifactor
Una práctica de seguridad cada vez más popular por su eficacia es la autenticación multifactor.
A veces denominada MFA, autenticación de dos factores o 2FA, la autenticación multifactor proporciona a las cuentas de correo electrónico de tu empresa varios niveles de comprobaciones de seguridad antes de que un empleado tenga acceso a sus mensajes.
Por ejemplo, una contraseña adicional, un código de un SMS seguro o la respuesta a una pregunta de seguridad predeterminada.
No olvides cerrar sesión
Una vez más, esto puede parecer lo más obvio cuando se utiliza el correo electrónico del trabajo, pero es importante recordar que una gran cantidad de ataques de ciberseguridad comienzan con empleados descontentos que buscan dañar el negocio de un antiguo empleador.
Captar la cuenta de alguien y hacerse pasar por otro empleado es una de las formas más fáciles de cometer ciberdelitos y eludir la detección.
Así que, para evitar que tú o tus empleados os convirtáis en sospechosos involuntarios, asegúrate de que todo el mundo en tu empresa recuerde cerrar siempre la sesión y no compartir nunca sus datos de acceso entre ellos.
Sistemas de análisis y protección de correo electrónico
Dada la creciente complejidad de las amenazas de ingeniería social y de los ciberataques relacionados con el correo electrónico, un sistema dedicado de análisis y protección del correo electrónico es la mejor defensa contra los archivos adjuntos maliciosos avanzados y los ataques de secuencias de comandos incrustadas.
Recomendamos una solución antivirus automatizada que incluya aprendizaje automático y análisis de código estático, que evalúa el contenido real de un correo electrónico y no sólo el tipo de archivo adjunto.
Para una solución avanzada de ciberseguridad en línea, recomendamos Kaspersky Security for Microsoft Office 365.
Nuestro paquete Premium, un sistema galardonado tanto para empresas como para usuarios particulares, incluye asistencia remota y asistencia 24 horas al día, 7 días a la semana.
Protocolos y normas de seguridad del correo electrónico
Una de las formas más importantes de proteger el sistema de correo electrónico de tu empresa es aplicar los protocolos de seguridad adecuados.
Normalmente considerados la primera línea de defensa contra los ciberataques relacionados con el correo electrónico, los protocolos de correo electrónico están diseñados para mantener seguras las comunicaciones a su paso por los servicios de correo web.
Para expresarlo más claramente, los servidores de correo entregan mensajes de correo electrónico entre los clientes de correo de los destinatarios utilizando protocolos de correo electrónico.
Los protocolos indican al servidor cómo procesar y entregar los mensajes. Los protocolos de seguridad verifican y autentifican este proceso.
Existen varios protocolos que pueden utilizarse para proteger el correo electrónico de tu empresa:
- SPF: permite a los propietarios de dominios de correo electrónico identificar y verificar quién está autorizado a utilizar sus nombres de dominio al enviar correo electrónico.
- DMARC: permite a los propietarios de dominios recibir una notificación y responder cuando un mensaje no ha podido autenticarse.
- SMTPS y STARTTLS: cifran los intercambios de correo electrónico entre clientes y servidores.
- DKIM: permite vincular el usuario a una firma digital para su autenticación.
- S/MIME: define cómo cifrar y autenticar datos formateados en MIME.
- OpenPGP: se basa en el marco Pretty Good Privacy y es un estándar de cifrado y autenticación para correos electrónicos.
- Certificados digitales: son una forma de verificar los datos del remitente mediante la titularidad de una clave pública.
- SSL/TLS: no se utiliza directamente en la seguridad del correo electrónico, pero cifra el tráfico de red entre servidores (incluidos los mensajes de correo web) porque se utiliza para HTTPS.
Muchos proveedores de clientes de correo electrónico populares utilizan SPF, DKIM y DMARC (configurados a través de los registros DNS) para proteger la privacidad de sus usuarios.
Te recomendamos que implementes al menos estas tres opciones en el sistema de correo electrónico de tu empresa.
Directivas de seguridad del correo electrónico, directrices y cumplimiento
Las directivas de seguridad del correo electrónico, las directrices y el cumplimiento definen las normas y reglamentos en torno al uso de cuentas de correo electrónico de empresa en un lugar de trabajo.
Cada uno de los puntos enumerados anteriormente debe ser una parte importante de las directivas de seguridad del correo electrónico de tu organización. Además, estas directrices también deben incluir normas sobre:
- Acceso de usuarios y uso de dispositivos.
- Tratamiento y almacenamiento de datos.
- Normas de reenvío, eliminación y conservación del correo electrónico.
- La amplitud del ámbito de aplicación de las directivas, incluido el uso de la red y del sistema.
- Conducta ética y comportamiento adecuado.
- Cifrado de contraseñas y otras herramientas de seguridad que se utilizan en los clientes de correo electrónico.
- Material de formación en ciberseguridad sobre programas maliciosos en el correo electrónico y cómo detectar archivos adjuntos, enlaces o mensajes fraudulentos.
- Monitorización del correo electrónico y prácticas de registro de empleados realizadas por tu empresa.
- Dónde y cómo denunciar los contenidos maliciosos, amenazadores o ilegales recibidos por correo electrónico.
En resumen, toda organización, desde un pequeño negocio hasta una gran empresa corporativa, debería tener un Modelo de Cumplimiento de Seguridad (SCN) que establezca y defina claramente la materia mencionada.
Estas directrices actuarán como un marco legal (aplicable por el gobierno nacional) que puede garantizar la privacidad y seguridad de todo el contenido de los correos electrónicos de la empresa.
Esto es especialmente
importante si se tiene en cuenta que los clientes y socios desconfían cada vez
más de las empresas que incumplen las normas de comunicación digital.
En el panorama digital actual, el correo electrónico se ha convertido en algo indispensable para las empresas, tanto pequeñas como grandes, pero también es un objetivo prioritario para los ciberdelincuentes.
A medida que se generaliza el trabajo a distancia, aumenta el riesgo de ciberataques relacionados con el correo electrónico. Protege tu pequeña empresa sin esfuerzo con Kaspersky Small Business Security, especialmente diseñado para satisfacer las necesidades de las pequeñas empresas.