Decálogo de medidas de seguridad en el correo electrónico

Publicado el 09/10/2015, por INCIBE
Decálogo de medidas de seguridad en el correo electrónico

¿Cuántas cuentas de correo electrónico gestionas en tu día a día? ¿Cuántos correos electrónicos lees en tu empresa a lo largo de un mes? El correo electrónico en las empresas es una herramienta que en muchas ocasiones tiene una importancia estratégica. Esta herramienta ha sustituido casi por completo al correo tradicional e incluso a los servicios de mensajería ahorrando a la empresa mucho dinero, eso sin contar los grandes beneficios en cuanto a disponibilidad, accesibilidad, rapidez, posibilidad de enviar a múltiples destinatarios, múltiples documentos adjuntos, acuse de recibo, y por supuesto ahorro en tiempo y dinero en sobres, papel y sellos.

Sin embargo, al mismo tiempo, al ser una herramienta tan utilizada es también una de las fuentes más comunes de ataques y de introducción de malware en la empresa por parte de los ciberdelincuentes. En un correo electrónico se pueden enviar todo tipo de documentos, videos, audio,… La tendencia natural es leer todos los correos y abrir todos adjuntos que nos llegan, pero este el primer error de los muchos que podemos cometer al trabajar con el correo electrónico.

Por este motivo, es importante definir una política clara sobre el uso «seguro» y adecuado del correo electrónico, junto con otras medidas de carácter técnico.

Aprovechando el día mundial del correo, os vamos a proponer un decálogo de buenas prácticas en el uso del correo electrónico para la empresa:

1 - Siempre tener cuidado al abrir correos electrónicos de remitentes desconocidos con documentos adjuntos.

Es muy extraño que una persona que contacta por primera vez te envíe un documento adjunto para tu consulta. Hay que desconfiar de estas situaciones. Podría ocurrir que ese documento adjunto escondiera algún tipo de malware un troyano e infectara nuestro ordenador.

Es necesario explicar a los empleados de los riesgos que supone abrir los adjuntos que se reciben a través del correo electrónico.

2 - Siempre tener cuidado al hacer clic en enlaces incluidos en correos electrónicos de remitentes desconocidos

Quienes nos envían correo basura, spam , con malas intenciones, saben que la gran mayoría de los adjuntos con virus son detectados y eliminados por las aplicaciones antivirus, así que utilizan una segunda técnica consistente en el envío de enlaces al malware en el cuerpo del correo.

La tendencia natural es hacer clic en los enlaces. Es necesario enseñar al empleado a tener cautela ante estas situaciones, sobre todo si el correo procede de remitentes desconocidos. S hiciéramos clic podríamos encontrarnos en la situación anterior y los dispositivos de nuestra empresa, ser verían comprometidos.

3 - Instalar aplicaciones antimalware y activar los filtros antispam

Es necesario que la empresa disponga de una solución antimalware empresarial que entre otras tareas, escanee los correos electrónicos que reciban los empleados.

Muy probablemente, dicha aplicación disponga de un filtro antispam que impida que los correos sospechosos de ser correo basura, spam, lleguen al buzón de los empleados. Este filtro debe estar activado y configurado, y revisarse de forma continua. De esta manera, se evita que el empleado tome la decisión de abrir ficheros adjuntos o que haga clic en enlaces potencialmente peligrosos para él y para la empresa.

4 - Usar siempre contraseñas seguras

Para garantizar la seguridad de una contraseña, ésta debe tener más de 8 caracteres e incluir mayúsculas, minúsculas y letras o caracteres. En caso contrario nos arriesgamos a que cualquier persona, utilizando alguna de las herramientas existentes para este fin, nos descubra la contraseña y acceda a nuestros correos.

La política de seguridad de la empresa debe exigir que el empleado utilice siempre contraseñas robustas y las cambie periódicamente.

5 - Evitar utilizar el correo electrónico desde conexiones públicas

Cuando nos conectamos a una red pública: la wifi de una cafetería, el ordenador de un hotel, etc..el tráfico de red que envía o recibe nuestro ordenador puede ser interceptado por cualquiera de los usuarios conectados a esta red.

Dado que no podemos controlar quien se conecta a una red pública, debemos ser nosotros mismos los que pongamos trabas a un posible ataque o a que cualquiera se entere de nuestros planes de empresa. Recordar que los correos electrónicos, si no van cifrados, viajan en claro y cualquier los puede leer de forma sencilla. Dentro de las medidas que podríamos llevar a cabo: cifrar el correo, establecer una red privada virtual con nuestra empresa de manera que todo el tráfico viaje cifrado o como última opción (pero sin duda la más adecuada) utilizar redes de telefonía móvil, como el 3G o el 4G.

6 - Cifra el correo electrónico al enviar información confidencial

El correo electrónico, si no va cifrado, viaja «en claro» a través de internet, esto quiere decir que cualquiera, a través de técnicas no muy complejas, podría leer el contenido de nuestros mails.

Por esta razón, si tenemos que enviar información confidencial para la empresa o bien ciframos nuestro correo electrónico o bien enviamos un documento comprimido y cifrado. De esta forma, en caso de que sea interceptado, los ladrones no puedan obtener el documento confidencial. Además, ofreceremos una mejor imagen en cuanto al cuidado de la información por nuestra parte frente al destinario de la misma.

El cifrado del correo electrónico se realizará mediante estándares como PGP o S/Mime. Ambos estándares también permiten firmar digitalmente los correos electrónicos. Existen múltiples aplicaciones que permiten el envío de correos cifrados mediante PGP, por ejemplo Enigmail, GPG o la extensión de Google Chrome Mailvelope.

7 - No publicar direcciones de correo electrónico en la web de la empresa ni en sus redes sociales

Igual nos hemos preguntado alguna vez cómo obtienen los ciberdelincuentes los millones de direcciones de correo para el envío de correo basura. Una de las formas más comunes es utilizando aplicaciones que rastrean todas las páginas web que pueden buscar direcciones de correo electrónico dentro de la misma. Y no solo rastrean páginas web, también las redes sociales son una gran fuente de información para ellos.

Una vez obtenidas estas direcciones comenzarían con el envío de correo basura. Para las empresas que desean disponer de una cuenta de correo de contacto o para la resolución de incidencias, es preferible la publicación de un formulario web que, a través de código, reenvíe el texto introducido en el formulario a una cuenta de correo electrónico.

8 - Nunca responder al correo basura

Los spammers (individuos o empresas que envían spam - correo basura) solicitan a menudo respuestas respecto al contenido de sus mensajes, o incluso llegan a pedir el envío de un correo electrónico para evitar recibir más spam. Nunca se debe caer en estas trampas, porque con ellas estamos confirmando al spammer que la cuenta de correo está activa y que hay alguien leyendo el correo.

9 - Desactivar el HTML en las cuentas de correo críticas

Muchos de los correos electrónicos se envían en formato HTML, que permite utilizar colores, negritas, enlaces, etc. Sin embargo este formato también permite incluir un lenguaje de programación denominado JavaScript, muy utilizado para funcionalidades que nos ofrece el correo electrónico. Esta funcionalidad, también puede «mal» utilizarse y puede hacer que los spammers verifiquen que la dirección de correo electrónico es válida o redirigir el navegador web del usuario a una página web maliciosa que acabe infectando nuestro ordenador.

Es recomendable la desactivación del formato HTML en el correo electrónico, al menos en las cuentas de correo críticas o que se encuentren a disposición del público para contactar con nuestra empresa. De esta manera no sería posible la visualización de correos electrónicos atractivos, pero este sería mucho más seguro.

10 - Utilizar la copia oculta (BCC o CCO) cuando se envíen direcciones a múltiples destinatarios

Puede haber destinatarios que no quieran que su dirección de correo electrónico se haga pública. Por respeto a ellos se recomienda usar siempre copia oculta (BCC o CCO) cuando se envíen direcciones a múltiples destinatarios.

Cuando enviamos un correo electrónico este deja de estar bajo nuestro control desde el mismo momento que sale de nuestro ordenador. No sabemos si será reenviado o publicado por uno de los destinatarios, dejando así accesible no solo nuestra dirección de correo si no la de todos los destinatarios. Esta es la razón por la que siempre es recomendable la utilización de copia oculta para que las direcciones de tus contactos no sean visibles y puedan ser objeto de spam.

Cierre

Como hemos visto, la solución a muchos de los problemas del correo electrónico en la empresa se basan en la formación y concienciación de los empleados. Una formación en ciberseguridad a los empleados supone una gran inversión que traerá consigo un enorme beneficio en términos de evitar ataques, fraudes, sustos y mejorar la imagen de la compañía.

¿Aplicas estas medidas en tu empresa? ¡Pasa a la acción! Aprovecha esta oportunidad para conseguir ser una #PYMEPeroSegura.