Download Recomendaciones de seguridad para el uso de correo electrónico

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
Document related concepts
no text concepts found
Transcript 
Monitorización
& Operaciones
Preventivas
MOP.PCL.001.004
Recomendaciones de seguridad para el
Asir Intrasite
uso de correo electrónico
27 de abril de 2015
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
MOP.PCL.001.004
Fecha
27/04/2015
Versión
1.0
Control de Versiones
Cambio
Realización del documento
Página
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Autor
IM
Página 1 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
CONTENIDO
1.
2.
3.
4.
Introducción ................................................................................................................. 3
Correo electrónico ........................................................................................................ 4
2.1. Fraudes y suplantación de identidad .......................................................................... 4
2.2. Spam ............................................................................................................................ 5
2.3. Hoax ............................................................................................................................ 6
2.4. Ejemplos de correos electrónicos fraudulentos.......................................................... 7
2.5. Malware .................................................................................................................... 11
Recomendaciones generales ....................................................................................... 12
Obtener información adicional ................................................................................... 14
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 2 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
1. Introducción
Hoy en día son habituales en los medios de comunicación las noticias acerca de las ciber
amenazas, escuchar que una empresa ha sido víctima de un ciberataque, o que otra ha perdido
dinero como consecuencia de una ciber amenaza.
Sin embargo, tanto en el ámbito personal como en el corporativo, de forma general se continúa
pensando que estos incidentes nos son ajenos, que la información que se maneja no es tan
importante como para que un ciber delincuente se fije en nosotros, y que los objetivos de los
ataques informáticos son solamente las grandes empresas y los gobiernos de los distintos países,
cuya información es muy valiosa.
Este pensamiento nos permite utilizar Internet de una manera mucho más relajada, ya que nos
permite realizar múltiples tareas y trámites de forma rápida y ahorrando costes, pero también
en ocasiones de forma poco segura.
La actualidad en el mundo informático indica que la inmensa mayoría de virus y ataques
informáticos se dirige a los equipos y usuarios anónimos, protegidos habitualmente de una
manera más débil que los servidores y los centros de datos de las grandes corporaciones.
La consecuencia más inmediata de estos ataques suele ser la pérdida de privacidad del usuario,
ya que no todos los virus pretenden destruir datos.
Tener en cuenta las recomendaciones de seguridad que se exponen a continuación ayudará a
estar protegido frente a las amenazas más comunes distribuidas a través de correo electrónico.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 3 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
2. Correo electrónico
Las formas de ciber ataque más frecuentes, aunque no las únicas, consisten en la distribución
de virus y ficheros con contenido malicioso a través de correos electrónicos que contienen
vínculos o ficheros adjuntos.
2.1.
Fraudes y suplantación de identidad
Uno de los fraudes más utilizados en Internet en los últimos años ha sido acuñado como
“Ingeniería Social”.
La ingeniería social consiste en utilizar un reclamo para atraer nuestra atención y conseguir que
se actúe de determinada manera para que nuestro equipo quede infectado con la intención de
acceder a información privada, robar datos bancarios o suplantar identidades en la red.
Para captar la atención del usuario se hace referencia a cualquier tema de actualidad o interés
social, catástrofes humanitarias, denuncias de injusticias o supuestos premios. Emplean el
miedo que una determinada situación causa al usuario: multas económicas, impago de facturas,
Agencia Tributaria, denuncias de la policía, etc.
El objetivo es convencer al usuario de la necesidad de reenviar un correo electrónico a toda la
lista de contactos, descargar y abrir un archivo que se adjunta en un correo bajo alguna excusa
o incitándonos a proporcionar información sensible como son las claves de acceso a un
determinado servicio o los datos bancarios.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 4 de 14
27 de abril de 2015
MOP.PCL.001.004
2.2.
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
Spam
El spam o correo basura hace referencia a mensajes no solicitados, en su mayoría de tipo
publicitario, y enviados de forma masiva. La forma de envío más utilizada es el correo
electrónico, pero también puede presentarse por programas de mensajería instantánea o redes
sociales.
No es un problema menor; aunque se está consiguiendo reducir, se dice que más del 70% de los
correos electrónicos que circulan son spam. La mayor parte del spam que circula por correo
electrónico está escrito en inglés, y se origina en Estados Unidos y Asia.
En algunos casos se trata de ofertas y promociones de empresas reales. En estos casos, nos
encontramos simplemente ante un caso de publicidad no solicitada. Pero en la mayoría de las
ocasiones, además de ser publicidad no deseada y no solicitada, se trata de publicidad engañosa
y falsa. En muchas ocasiones el correo basura contiene un fichero adjunto o un enlace a una
página web. Si accedemos a cualquiera de los dos es muy probable que nuestro ordenador se
infecte con algún tipo de malware.
El spammer busca dos cosas: nuevas direcciones de correo o infectar nuevos ordenadores que
se dediquen a reenviar spam sin que sus propietarios lo sepan. No debemos responder, ni
pinchar en los enlaces o adjuntos que acompañan al correo.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 5 de 14
27 de abril de 2015
MOP.PCL.001.004
2.3.
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
Hoax
Los bulos o hoax (en inglés, engaño), son relativamente frecuentes en Internet, y suelen ser
difundidos a través del correo electrónico. Son cadenas formadas por envíos y reenvíos de
correos electrónicos. Generalmente no implican ningún daño para el ordenador o el dispositivo
de la persona que lo recibe, pues no suelen llevar ficheros adjuntos para abrir o descargarse.
Pretenden en algunos casos difamar o fomentar la mala imagen de una empresa o de una
persona conocida. En otros, simplemente sobrecargar los servidores de correo o bloquear la
centralita telefónica de un hospital o de una empresa. A veces lo único que persiguen es generar
confusión o difundir noticias falsas.
Los bulos no sólo existen en el ámbito del correo electrónico. También hay hoax que circula en
sistemas de mensajería instantánea o en redes sociales.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 6 de 14
27 de abril de 2015
MOP.PCL.001.004
2.4.
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
Ejemplos de correos electrónicos fraudulentos
Son recientes los siguientes ejemplos:

Virus que muestra un falso mensaje del Cuerpo Nacional de Policía que bloquea el
ordenador del usuario y solicita una cantidad económica en concepto de pago de una multa
por visualizar contenido pornográfico.

Virus que muestra un falso mensaje de la SGAE que bloquea el ordenador del usuario y
solicita una cantidad económica en concepto de pago de una multa por descarga de
contenidos de Internet.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 7 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico

Virus que muestra un correo electrónico de Correos indicando que no se pudo entregar una
carta certificada y solicita que se introduzca un código en una página de aspecto similar a la
legítima para descargar información del envío. El virus descargado cifra los ficheros del
equipo solicitando que se pague por un supuesto rescate para recuperar la información.

Virus que muestra un correo electrónico con una supuesta notificación en la declaración del
Impuesto de Sociedades e insta a descargar una aplicación de nombre “TAPE”. El virus
descargado cifra los ficheros del equipo solicitando que se pague por un supuesto rescate
para recuperar la información.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 8 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico

Virus que muestra un correo electrónico que suplanta la identidad de la compañía Apple y
que intenta hacer creer a los usuarios que su cuenta de Itunes ha sido bloqueada y debe ser
validada. El correo contiene un enlace que abre una página de aspecto similar a la legítima,
donde se solicita información de la cuenta de Itunes y los datos de la tarjeta de crédito, datos
que quedarán almacenados en los servidores controlados por los ciber delincuentes.

Virus que muestra un correo electrónico suplantando la identidad del servicio Google Drive,
indicando que se debe comprobar el estado del servicio, con el fin de obtener los datos de
la cuenta de correo del usuario. Las cuentas de correo electrónico de las que se consiga
información son utilizadas posteriormente para distribuir este tipo de Phishing. El correo
contiene un enlace que abre una página y permite seleccionar el proveedor de la cuenta de
correo cuyos datos quedarán almacenados en los servidores de los ciber delincuentes.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 9 de 14
27 de abril de 2015
MOP.PCL.001.004

Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
Virus que muestra un correo electrónico suplantando la identidad del Equipo de
Investigación Tecnológica de la Guardia Civil, solicitando una dirección de correo
electrónico, con el fin de obtener los datos de la cuenta de correo del usuario. Las cuentas
de correo electrónico de las que se consiga información son utilizadas posteriormente para
distribuir este tipo de Phishing.
En este tipo de ejemplos los vínculos incluidos en el texto del correo fraudulento redirigen a
páginas web con direcciones también fraudulentas, aunque su aspecto sea muy similar al de la
página web corporativa.
Se debe evitar hacer clic en un enlace incluido en un correo sospechoso, pero si se hace se debe
comprobar que la dirección web corresponde a la empresa o servicio.
La mejor opción es teclear la dirección web de forma manual en el navegador o contactar con el
remitente para verificar la autenticidad del correo electrónico.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 10 de 14
27 de abril de 2015
MOP.PCL.001.004
2.5.
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
Malware
Todos los ejemplos que se comentan en el punto anterior incluyen distintos mecanismos para
distribuir los virus del tipo que se ha llamado Malware, que tiene distintos fines, aunque el más
común es el robo de información personal.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 11 de 14
27 de abril de 2015
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
MOP.PCL.001.004
3. Recomendaciones generales
Recomendaciones generales para la seguridad del correo electrónico
Mantener al día las actualizaciones y los parches para el sistema operativo y
las aplicaciones instaladas en el equipo, especialmente los aplicados al
antivirus. Muchos virus se aprovechan de las vulnerabilidades de los sistemas
para infectar los equipos.
Proteger las claves asociadas al buzón de correo electrónico, evitando su
divulgación a terceras personas. En caso de pérdida o robo de las claves de
correo, es necesario cambiarlas lo antes posible.
Proporcionar la dirección de correo con moderación. Conviene utilizar,
siempre que sea posible, una cuenta gratuita para el registro en páginas web
o foros, ya que podrían enviar publicidad no deseada.
No aceptar documentos ni archivos adjuntos provenientes de desconocidos
o que tengan un origen poco fiable. Algunos mensajes pueden aparecer como
provenientes de otra persona distinta del autor, mostrando por ejemplo una
dirección de origen modificada.
El spam o correo basura puede eliminarse sin ser leído para evitar acumular
correo no deseado así como la posibilidad de que se descargue un virus en el
sistema.
No abrir o ejecutar directamente los documentos o ficheros adjuntos si su
origen es poco fiable. Es conveniente descargarlos en el equipo y que el
antivirus del sistema lo examine.
No confiar en mensajes que ofrezcan regalos o promociones de fácil
obtención.
Desconfiar de los correos de proveedores o entidades bancarias que
soliciten introducir o modificar claves de acceso, así como aquellos que
incluyen un vínculo o enlace para activar o renovar suscripciones a servicios.
No es la forma de proceder de las entidades legítimas y probablemente se
trate de un intento de fraude.
No facilitar datos personales o financieros a personas desconocidas.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 12 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
Recomendaciones generales para la seguridad del correo electrónico
No realizar llamadas ni enviar mensajes a números de teléfono incluidos en
correos electrónicos de origen poco fiable.
Usar CCO (opción de copia oculta) si es necesario enviar un correo electrónico
a muchos destinatarios.
Prestar atención a la redacción y la ortografía. En un correo sospechoso
pueden existir multitud de expresiones sin sentido y errores ortográficos o
gramaticales.
No confiar en correos de proveedores o entidades bancarias no
personalizados. Si se reciben comunicaciones anónimas dirigidas a “Estimado
cliente” o “Hola amigo”, es posible que no se trate de un correo electrónico
legítimo.
Revisar con frecuencia la carpeta de correo electrónico no deseado.
Aquellos no correos no legítimos deben eliminarse para mantener limpio el
buzón de correo.
No se debe responder a correo no solicitado o spam. Responder al correo
comercial no solicitado es una forma de aumentar la cantidad de correo
basura recibido, ya que indica al remitente que la cuenta es leída.
Evitar hacer clic en cualquier enlace incluido en un correo electrónico de
origen poco fiable. Al hacer clic en enlaces engañosos es habitual que
descarguen virus al equipo de forma automática.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 13 de 14
27 de abril de 2015
MOP.PCL.001.004
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo electrónico
4. Obtener información adicional
Si necesita información adicional acerca de un correo o un origen que le resulte sospechoso,
desde Asir responderemos a cualquier cuestión al respecto.
Puede registrar su consulta a través del portal de soporte SDA (https://soporte.asirsl.com),
adjuntando una captura del correo y la cuestión que desee resolver.
Este documento incluye información confidencial que no debe ser revelada a ningún tercero ajeno a la entidad a la que va dirigido. Su
contenido no debe ser reproducido, distribuido, ni modificado -total o parcialmente- salvo consentimiento previo y por escrito de ASIR
INTRASITE, S.L.
Página 14 de 14
Asir Intrasite SL
Recomendaciones de seguridad para el uso de correo
electrónico
Rúa dos Carballos, 10 Bajo 36860 Ponteareas (Pontevedra)
T 902 002 659
[email protected] | www.asirsl.com
Related documents
alertan a empresas por virus informático que
alertan a empresas por virus informático que
Material necesario - Departamento de Informática y Sistemas
Material necesario - Departamento de Informática y Sistemas
Diapositiva 1 - TAC- Zona de descargas
Diapositiva 1 - TAC- Zona de descargas
UNIVERSIDAD TECNOLOGICA ISRAEL
UNIVERSIDAD TECNOLOGICA ISRAEL
Cat. Acticoat Post Op
Cat. Acticoat Post Op
Descarga - IES Leonardo da Vinci
Descarga - IES Leonardo da Vinci
Correo Electronico
Correo Electronico
Tipos de Virus informáticos clase 5
Tipos de Virus informáticos clase 5
virus y seguridad tecnológica en la docencia
virus y seguridad tecnológica en la docencia
virus informatico
virus informatico
Virus y spam: guía de supervivencia
Virus y spam: guía de supervivencia
Seguridad Informática - Centro de Negocios Jamar
Seguridad Informática - Centro de Negocios Jamar
Subgrupo GT-SPAM/Tecnologia Coordinador: Alfredo Sola
Subgrupo GT-SPAM/Tecnologia Coordinador: Alfredo Sola