11/11/2016

Declogodemedidasdeseguridadenelcorreoelectrnico|INCIBE

Declogodemedidasdeseguridadenelcorreoelectrnico
Publicadoel09/10/2015,porINCIBE

Cuntas cuentas de correo electrnico gestionas en tu da a da? Cuntos correos electrnicos lees en tu
empresa a lo largo de un mes? El correo electrnico en las empresas es una herramienta que en muchas
ocasiones tiene una importancia estratgica. Esta herramienta ha sustituido casi por completo al correo
tradicional e incluso a los servicios de mensajera ahorrando a la empresa mucho dinero, eso sin contar los
grandes beneficios en cuanto a disponibilidad, accesibilidad, rapidez, posibilidad de enviar a mltiples
destinatarios, mltiples documentos adjuntos, acuse de recibo, y por supuesto ahorro en tiempo y dinero en
sobres,papelysellos.
Sinembargo,almismotiempo,alserunaherramientatanutilizadaestambinunadelasfuentesmscomunes
de ataques y de introduccin de malware en la empresa por parte de los ciberdelincuentes. En un correo
electrnico se pueden enviar todo tipo de documentos, videos, audio, La tendencia natural es leer todos los
correosyabrirtodosadjuntosquenosllegan,peroesteelprimererrordelosmuchosquepodemoscometeral
trabajarconelcorreoelectrnico.
Porestemotivo,esimportantedefinirunapolticaclarasobreelusoseguroyadecuadodelcorreoelectrnico,
juntoconotrasmedidasdecarctertcnico.
Aprovechandoelda mundial del correo, os vamos a proponer un declogo de buenas prcticas en el uso del
correoelectrnicoparalaempresa:
1 Siempre tener cuidado al abrir correos electrnicos de remitentes desconocidos con documentos
adjuntos.
Esmuyextraoqueunapersonaquecontactaporprimeravezteenveundocumentoadjuntoparatuconsulta.
Hay que desconfiar de estas situaciones. Podra ocurrir que ese documento adjunto escondiera algn tipo
demalwareuntroyanoeinfectaranuestroordenador.
Esnecesarioexplicaralosempleadosdelosriesgosquesuponeabrirlosadjuntosqueserecibenatravsdel
correoelectrnico.
2 Siempre tener cuidado al hacer clic en enlaces incluidos en correos electrnicos de remitentes
desconocidos
Quienesnosenvancorreobasura,spam,conmalasintenciones,sabenquelagranmayoradelosadjuntoscon
virussondetectadosyeliminadosporlasaplicacionesantivirus,asqueutilizanunasegundatcnicaconsistente
enelenvodeenlacesalmalwareenelcuerpodelcorreo.
Latendencianaturaleshacerclicenlosenlaces.Esnecesarioensearalempleadoatenercautelaanteestas
situaciones, sobre todo si el correo procede de remitentes desconocidos. S hiciramos clic podramos
encontrarnosenlasituacinanteriorylosdispositivosdenuestraempresa,serverancomprometidos.
3Instalaraplicacionesantimalwareyactivarlosfiltrosantispam
Esnecesarioquelaempresadispongadeunasolucinantimalwareempresarialqueentreotrastareas,escanee
loscorreoselectrnicosquerecibanlosempleados.
Muyprobablemente,dichaaplicacindispongadeunfiltroantispamqueimpidaqueloscorreossospechososde
ser correo basura, spam, lleguen al buzn de los empleados. Este filtro debe estar activado y configurado, y
https://www.incibe.es/protegetuempresa/blog/medidasseguridadcorreoelectronico

1/3

11/11/2016

Declogodemedidasdeseguridadenelcorreoelectrnico|INCIBE

revisarse de forma continua. De esta manera, se evita que el empleado tome la decisin de abrir ficheros
adjuntosoquehagaclicenenlacespotencialmentepeligrososparalyparalaempresa.
4Usarsiemprecontraseasseguras
Para garantizar la seguridad de una contrasea, sta debe tener ms de 8 caracteres e incluir maysculas,
minsculasyletrasocaracteres.Encasocontrarionosarriesgamosaquecualquierpersona,utilizandoalguna
delasherramientasexistentesparaestefin,nosdescubralacontraseayaccedaanuestroscorreos.
La poltica de seguridad de la empresa debe exigir que el empleado utilice siempre contraseas robustas y las
cambieperidicamente.
5Evitarutilizarelcorreoelectrnicodesdeconexionespblicas
Cuandonosconectamosaunaredpblica:lawifideunacafetera,elordenadordeunhotel,etc..eltrficodered
queenvaorecibenuestroordenadorpuedeserinterceptadoporcualquieradelosusuariosconectadosaesta
red.
Dado que no podemos controlar quien se conecta a una red pblica, debemos ser nosotros mismos los que
pongamos trabas a un posible ataque o a que cualquiera se entere de nuestros planes de empresa. Recordar
que los correos electrnicos, si no van cifrados, viajan en claro y cualquier los puede leer de forma sencilla.
Dentro de las medidas que podramos llevar a cabo: cifrar el correo, establecer una red privada virtual con
nuestra empresa de manera que todo el trfico viaje cifrado o como ltima opcin (pero sin duda la ms
adecuada)utilizarredesdetelefonamvil,comoel3Goel4G.
6Cifraelcorreoelectrnicoalenviarinformacinconfidencial
El correo electrnico, si no va cifrado, viaja en claro a travs de internet, esto quiere decir que cualquiera, a
travsdetcnicasnomuycomplejas,podraleerelcontenidodenuestrosmails.
Porestarazn,sitenemosqueenviarinformacinconfidencialparalaempresaobienciframosnuestrocorreo
electrnico o bien enviamos un documento comprimido y cifrado. De esta forma, en caso de que sea
interceptado, los ladrones no puedan obtener el documento confidencial. Adems, ofreceremos una mejor
imagenencuantoalcuidadodelainformacinpornuestrapartefrentealdestinariodelamisma.
El cifrado del correo electrnico se realizar mediante estndares como PGP o S/Mime. Ambos estndares
tambin permiten firmar digitalmente los correos electrnicos. Existen mltiples aplicaciones que permiten el
envo de correos cifrados mediante PGP, por ejemplo Enigmail, GPG o la extensin de Google
ChromeMailvelope.
7Nopublicardireccionesdecorreoelectrnicoenlawebdelaempresaniensusredessociales
Igual nos hemos preguntado alguna vez cmo obtienen los ciberdelincuentes los millones de direcciones de
correoparaelenvodecorreobasura.Unadelasformasmscomunesesutilizandoaplicacionesquerastrean
todas las pginas web que pueden buscar direcciones de correo electrnico dentro de la misma. Y no solo
rastreanpginasweb,tambinlasredessocialessonunagranfuentedeinformacinparaellos.
Unavezobtenidasestasdireccionescomenzaranconelenvodecorreobasura.Paralasempresasquedesean
disponerdeunacuentadecorreodecontactooparalaresolucindeincidencias,espreferiblelapublicacinde
unformulariowebque,atravsdecdigo,reenveeltextointroducidoenelformularioaunacuentadecorreo
electrnico.
8Nuncaresponderalcorreobasura
Losspammers(individuosoempresasqueenvanspamcorreobasura)solicitanamenudorespuestasrespecto
al contenido de sus mensajes, o incluso llegan a pedir el envo de un correo electrnico para evitar recibir
ms spam. Nunca se debe caer en estas trampas, porque con ellas estamos confirmando al spammerque la
cuentadecorreoestactivayquehayalguienleyendoelcorreo.
9DesactivarelHTMLenlascuentasdecorreocrticas
MuchosdeloscorreoselectrnicosseenvanenformatoHTML,quepermiteutilizarcolores,negritas,enlaces,
etc.SinembargoesteformatotambinpermiteincluirunlenguajedeprogramacindenominadoJavaScript,muy
utilizado para funcionalidades que nos ofrece el correo electrnico. Esta funcionalidad, tambin puede mal
utilizarseypuedehacerquelosspammersverifiquenqueladireccindecorreoelectrnicoesvlidaoredirigirel
navegadorwebdelusuarioaunapginawebmaliciosaqueacabeinfectandonuestroordenador.
https://www.incibe.es/protegetuempresa/blog/medidasseguridadcorreoelectronico

2/3

11/11/2016

Declogodemedidasdeseguridadenelcorreoelectrnico|INCIBE

EsrecomendableladesactivacindelformatoHTMLenelcorreoelectrnico,almenosenlascuentasdecorreo
crticasoqueseencuentrenadisposicindelpblicoparacontactarconnuestraempresa.Deestamanerano
seraposiblelavisualizacindecorreoselectrnicosatractivos,peroesteseramuchomsseguro.
10Utilizarlacopiaoculta(BCCoCCO)cuandoseenvendireccionesamltiplesdestinatarios
Puedehaberdestinatariosquenoquieranquesudireccindecorreoelectrnicosehagapblica.Porrespetoa
ellos se recomienda usar siempre copia oculta (BCC o CCO) cuando se enven direcciones a mltiples
destinatarios.
Cuando enviamos un correo electrnico este deja de estar bajo nuestro control desde el mismo momento que
saledenuestroordenador.Nosabemossiserreenviadoopublicadoporunodelosdestinatarios,dejandoas
accesible no solo nuestra direccin de correo si no la de todos los destinatarios. Esta es la razn por la que
siempreesrecomendablelautilizacindecopiaocultaparaquelasdireccionesdetuscontactosnoseanvisibles
ypuedanserobjetodespam.
Cierre
Comohemosvisto,lasolucinamuchosdelosproblemasdelcorreoelectrnicoenlaempresasebasanenla
formacinyconcienciacindelosempleados.Unaformacinenciberseguridadalosempleadossuponeunagran
inversin que traer consigo un enorme beneficio en trminos de evitar ataques, fraudes, sustos y mejorar la
imagendelacompaa.
Aplicasestasmedidasentuempresa?Pasaalaaccin!Aprovechaestaoportunidadparaconseguirseruna
#PYMEPeroSegura.

https://www.incibe.es/protegetuempresa/blog/medidasseguridadcorreoelectronico

3/3