Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

FUNDAMENTOS DE CIBERSEGURIDAD

Conocer algunos conceptos básicos de ciberseguridad y

Objetivo de los ciberdelincuentes ponerlos en práctica lo ayudará a proteger su negocio y
reducir el riesgo de un ciberataque.
empresas de todos los tamaños.

PROTEGER
SUS ARCHIVOS Y DISPOSITIVOS

Actualice su programa Asegure sus archivos Requerir contraseñas

Esto incluye sus aplicaciones, navegadores Realice copias de seguridad de archivos Use contraseñas para todas las computadoras

web y sistemas operativos. Configure las importantes sin conexión, en un disco duro portátiles, tabletas y teléfonos inteligentes.

actualizaciones para que sucedan externo o en la nube. Asegúrese de almacenar No deje estos dispositivos desatendidos

automáticamente. sus archivos en papel de forma segura también. en lugares públicos.

Cifrar dispositivos Usar autenticación multifactor

Cifre dispositivos y otros medios que contengan
información personal confidencial.
Esto incluye computadoras portátiles,
tabletas, teléfonos inteligentes, unidades extraíbles, cintas
de respaldo y soluciones de almacenamiento en la nube.
Requiera autenticación multifactor para acceder a áreas de su red con
información confidencial. Esto requiere pasos adicionales además de iniciar
sesión con una contraseña, como un código temporal en un teléfono
inteligente o una clave que se inserta en una computadora.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

PROTEJA SU RED INALÁMBRICA

Proteja su enrutador
Cambie el nombre y la contraseña predeterminados, desactive la administración remota y cierre
la sesión como administrador una vez que el enrutador esté configurado.

Usa al menos encriptación WPA2

Asegúrese de que su enrutador ofrezca encriptación WPA2 o WPA3 y que esté encendido. El
cifrado protege la información enviada a través de su red para que no pueda ser leída por personas
ajenas.

HACER

SEGURIDAD INTELIGENTE
SU NEGOCIO COMO HABITUAL

Requerir contraseñas seguras Capacitar a todo el personal Tener un plan

Una contraseña segura tiene al menos Cree una cultura de seguridad Tenga un plan para guardar datos,
12 caracteres que son una combinación implementando un programa regular administrar el negocio y notificar a los
de números, símbolos y letras mayúsculas de capacitación para los empleados. clientes si experimenta una infracción.
y minúsculas. Actualice a los empleados a medida La respuesta a la filtración de datos de la
que descubra nuevos riesgos y FTC: una guía para empresas brinda los
Nunca reutilice las contraseñas y no
vulnerabilidades. Si los empleados no pasos que puede seguir. Puede encontrarlo
las comparta por teléfono, en mensajes de
asisten, considere bloquear su acceso a la en FTC.gov/DataBreach.
texto o por correo electrónico.
red.
Limite la cantidad de
intentos fallidos de inicio de sesión para
limitar los ataques de adivinación de contraseñas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

Comprensión

LA CIBERSEGURIDAD DEL NIST

ESTRUCTURA
Es posible que haya oído hablar las empresas de todos los tamaños comprenden, administran
y reducen mejor su riesgo de ciberseguridad y protegen sus
del marco de ciberseguridad del redes y datos. El Marco es voluntario. Le brinda a su empresa
un resumen de las mejores prácticas para ayudarlo a decidir dónde
NIST, pero ¿qué es exactamente? concentrar su tiempo y dinero para la protección de la seguridad
cibernética.
¿Y te aplica a ti?
NIST es el Instituto Nacional de Estándares y Tecnología del Puede poner el marco de ciberseguridad del NIST a trabajar en su
Departamento de Comercio de los Estados Unidos. empresa en estas cinco áreas: identificar, proteger, detectar,
El marco de ciberseguridad del NIST ayuda responder y recuperar.

1. IDENTIFICAR
Haga una lista de todos los equipos, software y datos que utiliza,
incluidas las computadoras portátiles, los teléfonos inteligentes, las
tabletas y los dispositivos de punto de venta.
Cree y comparta una política de ciberseguridad de la
empresa que cubra:
2. PROTEGER
• Controle quién inicia sesión en su red y usa sus computadoras y
otros dispositivos.
• Utilice software de seguridad para proteger los datos.
• Cifrar datos confidenciales, en reposo y en tránsito.

• Realice copias de seguridad periódicas de los datos.

Roles y responsabilidades de
empleados, proveedores y cualquier • Actualice el software de seguridad regularmente, automatizando

otra persona con acceso a datos esas actualizaciones si es posible.

confidenciales.
• Tenga políticas formales para deshacerse de manera segura
de archivos electrónicos y dispositivos viejos.

Pasos a seguir para protegerse contra un

• Capacite a todos los que usan sus computadoras,
ataque y limitar el daño si
dispositivos y red sobre ciberseguridad.
se produce uno.
Puede ayudar a los empleados a comprender su riesgo
personal además de su papel crucial en el lugar de trabajo.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

3. DETECTAR

Supervise sus computadoras Verifique su red en busca Investigue cualquier actividad

en busca de acceso de personal no de usuarios o conexiones inusual en su red o por parte de
autorizado, dispositivos (como no autorizados. su personal.
unidades USB) y software.

4. RESPONDE
Tenga un plan para:

• Notificar a los clientes, empleados y otras personas cuyos • Investigar y contener un ataque.
datos puedan estar en riesgo.
• Actualizar su política y plan de ciberseguridad con
• Mantener las operaciones comerciales en funcionamiento. las lecciones aprendidas.

• Reportar el ataque a la policía y • Preparación para eventos involuntarios

otras autoridades. (como emergencias climáticas) que pueden poner
en riesgo los datos.

Pruebe su plan regularmente.

5. RECUPERAR
Después de un ataque:

Repara y restaura los equipos Mantenga a los empleados y clientes

y partes de tu red que se vieron informados sobre sus actividades de
afectadas. respuesta y recuperación.

Para obtener más información sobre el marco de ciberseguridad del NIST y los recursos para las
pequeñas empresas, visite NIST.gov/CyberFramework y NIST.gov/Programs-Projects/Small-Business-Corner-S

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURIDAD FÍSICA
Un empleado deja accidentalmente una memoria USB en la
La ciberseguridad comienza mesa de un café. Cuando regresa horas más tarde para buscarlo,

con una fuerte seguridad física.
Las fallas en la seguridad física pueden exponer los
datos confidenciales de la empresa al robo de identidad,
con consecuencias potencialmente graves.
Por ejemplo:
el disco, con cientos de números de Seguro Social guardados, ya
no está.
Otro empleado arroja montones de registros bancarios antiguos de
la empresa a un bote de basura, donde un delincuente los encuentra
después del horario comercial.
Un ladrón roba archivos y computadoras de su oficina después
de entrar por una ventana sin llave.

CÓMO PROTEGER EQUIPOS Y ARCHIVOS EN PAPEL

Estos son algunos consejos para proteger la información en archivos en papel y en discos
duros, unidades flash, computadoras portátiles, dispositivos de punto de venta y otros equipos.

almacenar de forma segura Límite físico Enviar recordatorios Mantener existencias

Cuando los archivos en

papel o los dispositivos
electrónicos contengan
información confidencial,
guárdelos en un gabinete
o habitación bajo llave.
acceso Recuerde a los empleados
Cuando los registros o que coloquen los archivos en
dispositivos contengan papel en archivadores cerrados,
datos confidenciales, cierren sesión en su red y
permita el acceso solo a aplicaciones, y nunca dejen
quienes lo necesiten. archivos o dispositivos con datos
confidenciales desatendidos.
Realice un seguimiento
y asegure cualquier
dispositivo que recopile
información confidencial de los clientes.
Guarde solo los archivos
y datos que necesita y
sepa quién tiene acceso a
ellos.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMO PROTEGER LOS DATOS EN SUS DISPOSITIVOS

Un robo, una computadora portátil perdida, un teléfono móvil robado o una unidad flash extraviada: todo puede suceder
debido a fallas en la seguridad física. Pero es menos probable que resulten en una violación de datos si la información en esos
dispositivos está protegida. Aquí hay algunas maneras de hacerlo:

Requerir contraseñas complejas

Solicite contraseñas que sean largas, complejas y únicas. Y asegúrese de que estas contraseñas se
almacenen de forma segura. Considere usar un administrador de contraseñas.

Usar autenticación multifactor

Requiera autenticación multifactor para acceder a áreas de su red con información confidencial. Esto requiere
pasos adicionales además de iniciar sesión con una contraseña, como un código temporal en un teléfono
inteligente o una clave que se inserta en una computadora.

Limite los intentos de inicio de sesión

Limite la cantidad de intentos de inicio de sesión incorrectos permitidos para desbloquear dispositivos. Esto
ayudará a proteger contra los intrusos.

cifrar
Cifre los medios portátiles, incluidas las computadoras portátiles y las memorias USB, que contienen
información confidencial. Cifre cualquier dato confidencial que envíe fuera de la empresa, como a un contador
o un servicio de envío.

TREN Incluya la seguridad física en las capacitaciones y comunicaciones regulares de sus

empleados. Recuerde a los empleados que:
SU
EMPLEADOS Triturar documentos Promover prácticas de seguridad
en todos los lugares
Triture siempre los documentos
con información confidencial
Mantenga prácticas de seguridad incluso si trabaja de
antes de tirarlos. forma remota desde su hogar o en viajes de negocios.

Borrar datos correctamente Conoce el plan de respuesta

Utilice software para borrar datos
antes de donar o desechar computadoras
viejas, dispositivos móviles, copiadoras
digitales y unidades de disco.
No confíe solo en "eliminar".
Eso en realidad no elimina el archivo de
la computadora.
Todo el personal debe saber qué hacer si el
equipo o los archivos en papel se pierden o
son robados, incluso a quién notificar y qué
hacer a continuación. Utilice Respuesta a
filtraciones de datos: una guía para empresas para
obtener ayuda para crear un plan de respuesta. Puede
encontrarlo en FTC.gov/DataBreach.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SECUESTRO DE DATOS

Alguien de su empresa recibe
un correo electrónico.
Parece legítimo, pero con un clic en un enlace o una
descarga de un archivo adjunto, todo el mundo
queda fuera de su red. Ese enlace descargó el software
que mantiene sus datos como rehenes. Eso es un ataque
de ransomware.
Los atacantes piden dinero o criptomonedas, pero aunque
pagues, no sabes si los ciberdelincuentes se quedarán con
tus datos o destruirán tus archivos. Mientras tanto, la
información que necesita para administrar su negocio y los
detalles confidenciales sobre sus clientes, empleados y
empresa ahora están en manos de delincuentes.
El ransomware puede afectar seriamente su negocio.

CÓMO Los delincuentes pueden iniciar un ransomware

SUCEDE ataque en una variedad de formas.

Correos electrónicos fraudulentos Servidor

con enlaces y archivos adjuntos que vulnerabilidades

ponen en riesgo sus datos y su red. que pueden ser explotados por
Estos correos electrónicos de phishing constituyen piratas informáticos.
la mayoría de los ataques de ransomware.

Sitios web infectados Anuncios en línea

que descargan automáticamente que contienen código malicioso,

software malicioso en su incluso en sitios web que conoce y
computadora. en los que confía.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMO PROTEGER SU NEGOCIO

Tener un plan
¿Cómo se mantendría su empresa en funcionamiento después de un ataque de ransomware?
Ponga este plan por escrito y compártalo con todos los que necesiten saberlo.

Haga una copia de

seguridad de sus datos Guarde regularmente archivos importantes en una unidad o servidor que no esté conectado a su red.
Haga que la copia de seguridad de datos sea parte de sus operaciones comerciales de rutina.

Mantén tu seguridad al día

Instale siempre los últimos parches y actualizaciones. Busque medios adicionales de protección, como
autenticación de correo electrónico y software de prevención de intrusiones, y configúrelos para que se
actualicen automáticamente en su computadora. En dispositivos móviles, es posible que deba hacerlo manualmente.

Alerte a su
personal Enséñeles cómo evitar las estafas de phishing y muéstreles algunas de las formas
comunes en que las computadoras y los dispositivos se infectan. Incluya consejos para detectar y
protegerse contra ransomware en su orientación y capacitación regulares.

QUÉ Limitar el daño Mantenga su negocio en

HAZLO SI ERES Desconecte inmediatamente

funcionamiento Ahora es el momento de implementar
las computadoras o dispositivos Tener una copia de seguridad de los datos ayudará.

ATACADO infectados de su red.

Si sus datos han sido robados,
tome medidas para proteger a su
empresa y notifique a quienes
podrían verse afectados.
Contacta a las autoridades
Informe el ataque de inmediato a
su oficina local del FBI.
¿Debo pagar el rescate?
La policía no recomienda eso, pero depende
de usted determinar si los riesgos y los costos
de pagar valen la pena por la posibilidad de
recuperar sus archivos. Sin embargo, pagar el
rescate puede no garantizar que recupere sus
datos.

Notificar a los clientes

Si sus datos o información personal se vieron comprometidos, asegúrese de notificar
a las partes afectadas, ya que podrían estar en riesgo de robo de identidad.
Encuentre información sobre cómo hacerlo en Respuesta a filtraciones de datos:
una guía para empresas. Puede encontrarlo en FTC.gov/DataBreach.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SUPLANTACIÓN DE IDENTIDAD

Recibes un correo electrónico que parece ser de alguien que conoces.

Parece ser de uno de los proveedores de su empresa y le pide que haga clic en un enlace para actualizar su cuenta comercial.
¿Deberías hacer clic? Tal vez parezca que es de tu jefe y te pide la contraseña de tu red. ¿Deberías responder? En cualquier
caso, probablemente no. Estos pueden ser intentos de phishing.

CÓMO
QUE PUEDES HACER
TRABAJOS DE PHISHING
Antes de hacer clic en un enlace o
Recibes un correo electrónico o un mensaje de texto
compartir cualquier información comercial confidencia
Parece ser de alguien que conoces y te pide que
hagas clic en un enlace o que proporciones tu
Échale un vistazo
contraseña, cuenta bancaria comercial u otra
información confidencial. Busque el sitio web o el número de teléfono de la
empresa o persona detrás del mensaje de texto o
parece real correo electrónico. Asegúrese de obtener la compañía
real y no de descargar malware o hablar con un
Es fácil suplantar logotipos e inventar direcciones de correo
estafador.
electrónico falsas. Los estafadores usan nombres familiares
de empresas o fingen ser alguien que usted conoce.

Habla con alguien

Es urgente
Hablar con un colega puede ayudarlo a determinar si la
El mensaje lo presiona para que actúe ahora, o algo
solicitud es real o un intento de phishing.
malo sucederá.

que pasa despues

Si hace clic en un enlace, los estafadores pueden
instalar ransomware u otros programas que pueden
bloquear sus datos y propagarse a toda la red de la
empresa. Si comparte contraseñas, los estafadores
ahora tienen acceso a todas esas cuentas.
Haz una llamada si no estás seguro
Tome el teléfono y llame a ese proveedor, colega
o cliente que envió el correo electrónico.
Confirme que realmente necesitan información de
usted. Use un número que sepa que es correcto, no
el número en el correo electrónico o mensaje de texto.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMO
¿Y SI TE ENAMORAS DE UN
PROTEGER ESQUEMA DE PHISHING
TU NEGOCIO

Haz una copia de seguridad de tus datos Alertar a otros

Realice copias de seguridad de sus datos con
regularidad y asegúrese de que esas copias de
seguridad no estén conectadas a la red. De esa
manera, si ocurre un ataque de phishing y los
piratas informáticos ingresan a su red, puede
restaurar sus datos. Haga que la copia de seguridad
de datos sea parte de sus operaciones comerciales
de rutina.
Hable con sus colegas y comparta su experiencia. Los
ataques de phishing a menudo le ocurren a más de una persona en
una empresa.
Limitar el daño
Cambie inmediatamente cualquier contraseña comprometida
y desconecte de la red cualquier computadora o dispositivo que esté
infectado con malware.

Mantén tu seguridad
A hoy Sigue los procedimientos de tu empresa
Instale siempre los últimos parches y Estos pueden incluir notificar a personas específicas en su

actualizaciones. Busque medios adicionales de organización o contratistas que lo ayuden con TI.

protección, como autenticación de correo

electrónico y software de prevención de

intrusiones, y configúrelos para que se actualicen

automáticamente en sus computadoras. En
dispositivos móviles, es posible que deba hacerlo
manualmente.
Alerta a tu personal
Notificar a los clientes
Si sus datos o información personal se vieron comprometidos,
asegúrese de notificar a las partes afectadas; podrían estar
en riesgo de robo de identidad. Encuentre información sobre
cómo hacerlo en Respuesta a filtraciones de datos: una guía para
empresas

Comparte con ellos esta información. (FTC.gov/Brecha de datos).

Tenga en cuenta que los estafadores

de phishing cambian sus tácticas con
frecuencia, así que asegúrese de incluir consejos
para detectar los últimos esquemas de phishing en
su capacitación regular.
Desplegar una red de seguridad
Utilice la tecnología de autenticación
Reportalo
Reenviar correos electrónicos de phishing a spam@uce.
gov (una dirección utilizada por la FTC) y a
reportphishing@apwg.org (una dirección utilizada por el Grupo de
Trabajo Anti-Phishing, que incluye ISP, proveedores de seguridad,
instituciones financieras y agencias de aplicación de la ley).
Informe a la empresa o persona suplantada sobre el esquema de

de correo electrónico para ayudar a evitar phishing. E infórmelo a la FTC en FTC.gov/Complaint.

que los correos electrónicos de phishing

lleguen a las bandejas de entrada de su
empresa en primer lugar.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

NEGOCIO
IMPOSTORES DE CORREO ELECTRÓNICO

Un estafador establece una dirección de Los estafadores hacen esto para obtener contraseñas y
números de cuentas bancarias o para que alguien les envíe
correo electrónico que parece ser de su empresa.
dinero. Cuando esto sucede, su empresa tiene mucho que perder.
Luego, el estafador envía mensajes usando esa dirección de correo Los clientes y socios pueden perder la confianza y llevar su negocio
electrónico. Esta práctica se llama suplantación de identidad y el a otra parte, y su negocio podría perder dinero.
estafador es lo que llamamos un impostor de correo electrónico comercial.

CÓMO PROTEGER SU NEGOCIO

Usar autenticación de correo electrónico Mantén tu Capacite a su personal

Cuando configure el correo seguridad al día Enséñeles cómo evitar las estafas de

electrónico de su empresa, asegúrese de Instale siempre los últimos parches y phishing y muéstreles algunas de las
que el proveedor de correo electrónico ofrezca actualizaciones. Configúrelos para que se formas comunes en que los atacantes

tecnología de autenticación de correo electrónico.
De esa forma, cuando envíe un correo electrónico
desde el servidor de su empresa, los servidores
receptores pueden confirmar que el correo
electrónico es realmente suyo.
Si no es así, los servidores receptores pueden
bloquear el correo electrónico y frustrar a un
impostor de correo electrónico comercial.
actualicen automáticamente en su red. Busque
medios adicionales de protección, como el
software de prevención de intrusiones, que verifica
su red en busca de actividad sospechosa y le
envía alertas si encuentra alguna.
pueden infectar computadoras y
dispositivos con malware. Incluya consejos
para detectar y protegerse contra
amenazas cibernéticas en las
capacitaciones y comunicaciones regulares
de sus empleados.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUÉ HACER
SI ALGUIEN FALSA EL CORREO ELECTRÓNICO DE SU EMPRESA

Denúncielo Denuncie la estafa a la policía local, al Centro de

Quejas de Delitos en Internet del FBI en IC3.gov y a la FTC en FTC.gov/
Queja. También puede reenviar correos electrónicos de phishing a spam@
uce.gov (una dirección utilizada por la FTC) y reportphishing@
apwg.org (una dirección utilizada por Anti-Phishing Working
Grupo, que incluye ISP, proveedores de seguridad, financieros
instituciones y organismos encargados de hacer cumplir la ley).

Notifique a sus clientes

Si descubre que los estafadores se están haciendo pasar por su negocio, informe a
sus clientes lo antes posible, por correo postal, correo electrónico o redes sociales. Si
envía un correo electrónico a sus clientes, envíe un correo electrónico sin hipervínculos.
No desea que su correo electrónico de notificación parezca una estafa de phishing.
Recuerde a los clientes que no compartan ninguna información personal por correo
electrónico o mensaje de texto. Si robaron los datos de sus clientes, diríjalos a
RobodeIdentidad.gov para obtener un plan de recuperación.

Alerta a tu personal
Utilice esta experiencia para actualizar sus prácticas de seguridad y capacitar a su
personal sobre amenazas cibernéticas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

ESTAFAS DE SOPORTE TÉCNICO

A menudo, los estafadores están detrás de estas llamadas,

Recibe una llamada telefónica, una ventana
emergente o un correo electrónico que le
informa que hay un problema con su computadora.
mensajes emergentes y correos electrónicos. Quieren obtener su
dinero, información personal o acceso a sus archivos. Esto puede
dañar su red, poner en riesgo sus datos y dañar su negocio.

CÓMO FUNCIONA LA ESTAFA

Los estafadores pueden pretender ser de una empresa de tecnología conocida, como Microsoft. Usan muchos términos técnicos para
convencerlo de que los problemas con su computadora son reales. Es posible que le pidan que abra algunos archivos o ejecute un
análisis en su computadora, y luego le digan que esos archivos o los resultados del análisis muestran un problema... pero no lo hay.

Los estafadores pueden entonces:

Pedirle que les dé acceso remoto a su Intente inscribirlo en un programa de

computadora, lo que les permite acceder a
toda la información almacenada en ella y en
cualquier red conectada a ella
Instale malware que les dé acceso a su
computadora y datos confidenciales, como
nombres de usuario y contraseñas
Intenta venderle software o servicios de
reparación que no valen nada o que están
disponibles en otro lugar de forma gratuita.
mantenimiento o garantía de computadora
sin valor
Pida la información de la tarjeta de crédito
para que puedan facturarle servicios falsos
o servicios disponibles en otros lugares de
forma gratuita.
Dirigirlo a sitios web y pedirle que ingrese
la tarjeta de crédito, la cuenta bancaria y
otra información personal

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMO PROTEGER SU NEGOCIO

Si una persona que llama dice que su computadora tiene un problema, cuelgue. Una llamada de soporte técnico que no espera es
una estafa, incluso si el número es local o parece legítimo. Estos estafadores usan información de identificación de llamadas falsa
para parecerse a empresas locales o empresas de confianza.

Si recibe un mensaje emergente para llamar al soporte técnico, ignórelo. Algunos mensajes emergentes sobre problemas informáticos
son legítimos, pero no llame a un número ni haga clic en un enlace que aparece en un mensaje emergente que le advierte sobre un
problema informático.

Si le preocupa un virus u otra amenaza, llame directamente a su compañía de software de seguridad, usando el número de
teléfono en su sitio web, el recibo de compra o el empaque del producto. O consulte a un profesional de seguridad de confianza.

Nunca le dé a nadie su contraseña y no le dé acceso remoto a su computadora a alguien que se comunique con usted
inesperadamente.

QUE HACER SI ERES

estafado
Si compartió su contraseña con un
estafador, cámbiela en cada cuenta que
use esta contraseña.
Recuerde utilizar contraseñas únicas para cada
cuenta y servicio.
Considere usar un administrador de contraseñas.
Deshazte del malware. Actualice o
descargue software de seguridad
legítimo. Escanee su computadora y elimine
cualquier cosa que el software diga que es un
problema. Si necesita ayuda, consulte a un
profesional de seguridad de confianza.
Si la computadora afectada está
conectada a su red, usted o un profesional de
seguridad deben revisar toda la red en busca
de intrusiones.
Si compró servicios falsos, pídale a la
compañía de su tarjeta de crédito que
revierta los cargos y revise su estado de
cuenta por cualquier cargo que no haya
aprobado. Siga revisando los estados de
cuenta de su tarjeta de crédito para asegurarse
de que el estafador no intente recargarlo todos
los meses.

Reporte el ataque de inmediato a la FTC en FTC.gov/Complaint.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURO CIBERNÉTICO
El seguro cibernético es una opción que puede ayudar a proteger su negocio contra las
Recuperarse de un pérdidas resultantes de un ataque cibernético. Si está pensando en un seguro cibernético,
discuta con su agente de seguros qué póliza se ajustaría mejor a las necesidades de su
ataque cibernético empresa, incluso si debe optar por la cobertura de primera persona, la cobertura de
terceros o ambas. Aquí hay algunos consejos generales a tener en cuenta.
puede ser costoso.

¿QUÉ DEBE SU

PÓLIZA DE CIBERSEGURO
¿CUBRIR?

Asegúrese de que su póliza incluya cobertura para:

Violaciones de datos (como incidentes Ataques cibernéticos a sus datos Actos terroristas
relacionados con el robo de información en poder de proveedores y otros
personal) terceros

Ataques cibernéticos (como violaciones Ataques cibernéticos que ocurren

de su red) en cualquier parte del mundo (no
solo en los Estados Unidos)

Además, considere si su proveedor de seguros cibernéticos:

Defenderlo en una demanda o Brindar cobertura adicional a Ofrezca una línea directa de
investigación regulatoria (busque la cualquier otro seguro aplicable que incumplimiento que esté disponible
redacción "deber de defender") tenga todos los días del año en todo momento

MÁS INFORMACIÓN EN: La FTC agradece a la Asociación Nacional de Comisionados de Seguros

FTC.gov/Pequeñas Empresas (NAIC) por su papel en el desarrollo de este contenido.

Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUE ES
COBERTURA PRIMARIA
¿Y QUÉ DEBES BUSCAR?

La cobertura cibernética propia protege sus datos, incluida la información de

empleados y clientes. Esta cobertura generalmente incluye los costos de su negocio relacionados co

Asesoría legal para Servicios de notificación al Gestión de crisis y Servicios forenses

determinar su cliente y call center relaciones públicas. para investigar la
notificación y brecha
obligaciones regulatorias

Recuperación y Pérdida de Ciberextorsión y Tarifas, multas y

reemplazo de datos ingresos debido a la fraude sanciones relacionadas
perdidos o robados interrupción del negocio con el ciberincidente

QUE ES
COBERTURA DE TERCEROS
¿Y QUÉ DEBES BUSCAR?

La cobertura cibernética de terceros generalmente lo protege de la responsabilidad si

un tercero presenta reclamos en su contra. Esta cobertura generalmente incluye:
Pagos a consumidores Reclamaciones y gastos de Pérdidas relacionadas
afectados por el incumplimiento liquidación relacionados con con difamación e infracción de
disputas o juicios derechos de autor o marca registrada

Costos por litigio y respuesta Otros acuerdos, daños Costos contables

a consultas regulatorias y juicios

Más recursos de seguros para pequeñas empresas disponibles en www.insureuonline.org/smallbusiness

MÁS INFORMACIÓN EN: La FTC agradece a la Asociación Nacional de Comisionados de

FTC.gov/Pequeñas Empresas Seguros (NAIC) por su papel en el desarrollo de este contenido.

Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

VERIFICACION DE EMAIL
La tecnología de autenticación de correo electrónico hace que sea mucho más difícil
para un estafador enviar correos electrónicos de phishing que parecen ser de su empresa.
El uso de la tecnología de autenticación de correo electrónico hace que sea mucho más difícil para los estafadores enviar correos electrónicos de phishing.
Esta tecnología permite que un servidor receptor verifique un correo electrónico de su empresa y bloquee los correos electrónicos de un impostor, o los
envíe a una carpeta de cuarentena y luego le notifique sobre ellos.

QUE SABER
Algunos proveedores de alojamiento web le permiten configurar el correo electrónico comercial de su empresa utilizando su nombre de dominio (que puede
considerar como el nombre de su sitio web). Su nombre de dominio podría tener este aspecto: suempresa.com. Y su correo electrónico puede tener este
aspecto: nombre@suempresa.com. Sin autenticación de correo electrónico, los estafadores pueden usar ese nombre de dominio para enviar correos electrónicos
que parecen ser de su empresa. Si su correo electrónico comercial utiliza el nombre de dominio de su empresa, asegúrese de que su proveedor de correo electrónico
tenga estas tres herramientas de autenticación de correo electrónico:

Marco de política del remitente (SPF) Autenticación de mensajes basada en dominio,

informa a otros servidores qué servidores pueden enviar correos Informes y conformidad (DMARC)
electrónicos utilizando el nombre de dominio de su empresa. Entonces, cuando
es la tercera herramienta esencial para la
envía un correo electrónico desde nombre@suempresa.
autenticación de correo electrónico. SPF y DKIM verifican la dirección que
com, el servidor de recepción puede confirmar que el servidor de envío
usa el servidor "detrás de escena". DMARC verifica que esta dirección
está en una lista aprobada. Si es así, el servidor receptor deja pasar el
coincida con la dirección "de" que ve. También le permite decirle a otros
correo electrónico. Si no puede encontrar una coincidencia, el correo electrónico
servidores qué hacer cuando reciben un correo electrónico que parece
se puede marcar como sospechoso.
provenir de su dominio, pero el servidor receptor tiene motivos para
sospechar (basado en SPF o DKIM). Puede hacer que otros servidores
Correo identificado con claves de dominio (DKIM)
rechacen el correo electrónico, lo marquen como correo no deseado o no
pone una firma digital en el correo saliente para que los servidores puedan tomen ninguna medida. También puede configurar DMARC para que se le
verificar que un correo electrónico de su dominio realmente se envió desde los notifique cuando esto suceda.
servidores de su organización y no ha sido manipulado en tránsito.

Se necesita algo de experiencia para configurar estas herramientas para que funcionen según lo previsto y no bloqueen
Email. Asegúrese de que su proveedor de alojamiento de correo electrónico pueda configurarlos si no tiene los conocimientos técnicos. Si no pueden,
o no lo incluyen en su acuerdo de servicio, considere obtener otro proveedor.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUÉ HACER SI SU

EL CORREO ELECTRÓNICO ESTÁ FALSO

La autenticación de correo electrónico ayuda a evitar que el correo electrónico de su empresa se utilice en esquemas de
phishing porque le notifica si alguien falsifica el correo electrónico de su empresa. Si recibe esa notificación, realice estas
acciones:

Reportalo
Reporte la estafa a la policía local, al Centro de Quejas de Delitos en Internet del FBI en
IC3.gov y a la FTC en FTC.gov/Complaint. También puede reenviar correos electrónicos de
phishing a spam@uce.gov (una dirección utilizada por la FTC) y a reportphishing@apwg.org (una
dirección utilizada por el Grupo de Trabajo Anti-Phishing, que incluye ISP, proveedores de
seguridad, instituciones financieras y las fuerzas del orden).

Notifique a sus clientes

Si descubre que los estafadores se están haciendo pasar por su negocio, informe a sus
clientes lo antes posible, por correo postal, correo electrónico o redes sociales. Si envía un
correo electrónico a sus clientes, envíe un correo electrónico sin hipervínculos: no desea que
su correo electrónico de notificación parezca una estafa de phishing. Recuerde a los clientes
que no compartan ninguna información personal por correo electrónico o mensaje de texto. Y
si los datos de sus clientes fueron robados, diríjalos a RobodeIdentidad.gov para obtener un
plan de recuperación.

Alerta a tu personal
Utilice esta experiencia para actualizar sus prácticas de seguridad y capacitar a su personal sobre
amenazas cibernéticas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURIDAD DEL VENDEDOR

Asegúrese de que esos proveedores protejan sus propias computadoras y redes. Por
Los proveedores de su negocio
ejemplo, ¿qué sucede si su contador, que tiene todos sus datos financieros, pierde su
computadora portátil? ¿O un proveedor cuya red está conectada a la suya es
puede tener acceso a
pirateado? El resultado: los datos de su negocio y la información personal de sus
información sensible. clientes pueden terminar en las manos equivocadas, poniendo en riesgo su negocio y
sus clientes.

CÓMO MONITOREAR A SUS VENDEDORES

ponlo por escrito
Incluya disposiciones para la seguridad en
sus contratos de proveedores, como un
plan para evaluar y actualizar los controles
de seguridad, ya que las amenazas cambian.
Haga que las disposiciones de seguridad
que son críticas para su empresa no sean
negociables.
Verificar el cumplimiento
Establezca procesos para que pueda
confirmar que los proveedores siguen
sus reglas. No se limite a confiar en su
palabra.
Haz cambios según sea necesario
Las amenazas a la
ciberseguridad cambian rápidamente.
Asegúrese de que sus proveedores
mantengan su seguridad actualizada.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMO PROTEGER SU NEGOCIO

Controlar el acceso
Ponga controles en las bases de datos con información sensible. Limite el acceso a la necesidad de saber,
y solo por la cantidad de tiempo que un proveedor necesita para hacer un trabajo.

Usar autenticación multifactor

Esto hace que los proveedores tomen medidas adicionales además de iniciar sesión con una
contraseña para acceder a su red, como un código temporal en un teléfono inteligente o una clave
que se inserta en una computadora.

Proteja su red
Requerir contraseñas seguras: al menos 12 caracteres con una combinación de números, símbolos y letras
mayúsculas y minúsculas. Nunca reutilice las contraseñas, no las comparta y limite la cantidad de intentos
fallidos de inicio de sesión para limitar los ataques de adivinación de contraseñas.

Proteja sus datos

Utilice una encriptación segura y bien configurada. Esto protege la información confidencial a medida
que se transfiere y almacena.

QUÉ HACER SI UN Contacta a las autoridades Confirmar el vendedor

EL VENDEDOR TIENE UN Informe el ataque de tiene una solución

inmediato a su departamento Asegúrese de que el proveedor

FILTRACIÓN DE DATOS de policía local. Si no están solucione las vulnerabilidades y
familiarizados con la investigación garantice que su información estará
de compromisos de información, segura en el futuro, si su empresa
comuníquese con su oficina local del FBI.
decide continuar utilizando el
proveedor.

Notificar a los clientes

Si sus datos o información personal se vieron comprometidos,
asegúrese de notificar a las partes afectadas; podrían estar en riesgo de
robo de identidad. Encuentre información sobre cómo hacerlo en
Respuesta a filtraciones de datos: una guía para empresas. Encuéntrelo
en FTC.gov/DataBreach.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CONTRATAR UN ALOJADOR WEB

Pero si no tiene las habilidades para configurar la presencia

Es posible que desee un nuevo
web que desea, es posible que desee contratar a un proveedor de
alojamiento web para que lo haga por usted. Ya sea que esté
o sitio web actualizado para actualizando un sitio web o lanzando un nuevo negocio, hay muchas
opciones de alojamiento web. Al comparar servicios, la seguridad
su negocio. debe ser una de las principales preocupaciones.

QUE BUSCAR

Seguridad de la capa de transporte (TLS) Verificacion de Email

El servicio que elija debe incluir TLS, que ayudará a
proteger la privacidad de sus clientes. (Es posible que
haya oído hablar de su predecesor, Secure Sockets
Layer o SSL).
TLS ayuda a garantizar que sus clientes accedan a su sitio
web real cuando escriben su URL en la barra de direcciones.
Cuando TLS se implementa correctamente en su sitio web,
su URL comenzará con https://.
Algunos proveedores de alojamiento web le permiten
configurar el correo electrónico comercial de su empresa
utilizando su nombre de dominio (eso es parte de su URL y lo
que puede considerar como el nombre de su sitio web). Su
nombre de dominio podría tener este aspecto: suempresa.com.
Y su correo electrónico puede tener este aspecto: nombre@suempresa.com.
Si no tiene autenticación de correo electrónico, los estafadores
pueden hacerse pasar por ese nombre de dominio y enviar
correos electrónicos que parecen ser de su empresa.

TLS también ayuda a garantizar que la información Cuando el correo electrónico de su empresa esté configurado
enviada a su sitio web esté encriptada. Eso es con el nombre de dominio de su empresa, asegúrese de que su
especialmente importante si solicita a los clientes proveedor de alojamiento web pueda brindarle estas tres herramientas
información confidencial, como números de tarjetas de autenticación de correo electrónico:

de crédito o contraseñas.
• Marco de política del remitente (SPF) •

Correo identificado con claves de dominio (DKIM)

• Autenticación de mensajes basada en dominio,

Informes y conformidad (DMARC)

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUÉ Actualizaciones de software

BUSCAR Muchos proveedores de alojamiento web ofrecen sitios web prediseñados o

paquetes de software diseñados para que la configuración del sitio web de su
empresa sea rápida y sencilla. Como con cualquier software, es esencial que utilice las
últimas versiones con parches de seguridad actualizados. Asegúrese de saber cómo
mantener actualizado el software del sitio web o si el proveedor de alojamiento web lo
hará por usted.

Gestión de sitios web

Si un proveedor de alojamiento web está administrando su sitio web, es posible que
deba consultar a ese proveedor para realizar cambios, aunque es posible que pueda
iniciar sesión y realizar algunos cambios usted mismo. En cambio, algunos proveedores
de alojamiento web pueden ofrecerle la opción de administrar el sitio web por su cuenta.
Es importante aclarar desde el principio quién administrará el sitio web después de que
esté construido.

QUE PREGUNTAR
Cuando contrate a un proveedor de alojamiento web, haga estas preguntas para asegurarse
de que está ayudando a proteger la información de sus clientes y los datos de su empresa.

¿Está incluido TLS en el plan de hosting? ¿Están disponibles las versiones de software
complemento de pago? ¿Lo configuraré yo mismo más actualizadas con su servicio y mantendrá el
o me ayudarás a configurarlo? software actualizado? Si es mi responsabilidad mantener
el software actualizado, ¿es fácil para mí hacerlo?

¿Puede el correo electrónico de mi Después de configurar el sitio web, ¿quién podrá

empresa usar el nombre de mi sitio web
empresarial? Si es así, ¿pueden ayudarme a
configurar la tecnología de autenticación de
correo electrónico SPF, DKIM y DMARC? (Si no,
considere buscar un proveedor que lo haga).
realizar cambios en él? ¿Tendré que pasar por ti?
¿Podré iniciar sesión y hacer cambios por mi cuenta? Si
puedo iniciar sesión para realizar cambios, ¿está
disponible la autenticación multifactor?

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURO
ACCESO REMOTO
Los empleados y proveedores pueden necesitar conectarse a su red de forma remota.
Ponga la seguridad de su red primero. Haga que los empleados y proveedores sigan estrictos estándares de seguridad antes de conectarse a
su red. Bríndeles las herramientas para que la seguridad sea parte de su rutina de trabajo.

CÓMO

DISPOSITIVOS DE PROTECCIÓN
Ya sea que los empleados o los proveedores utilicen dispositivos proporcionados por la
empresa o propios cuando se conectan de forma remota a su red, esos dispositivos deben ser
seguros. Siga estos consejos y asegúrese de que sus empleados y proveedores también lo hagan:

Cambie siempre las contraseñas de enrutador preestablecidas y el nombre

predeterminado de su enrutador. Y mantenga actualizado el software del
enrutador; es posible que deba visitar el sitio web del enrutador con
frecuencia para hacerlo.

Considere habilitar el cifrado de disco completo para computadoras

portátiles y otros dispositivos móviles que se conectan de forma remota a
su red. Compruebe su sistema operativo para esta opción, que protegerá
los datos almacenados en el dispositivo en caso de pérdida o robo. Esto es
especialmente importante si el dispositivo almacena información personal
confidencial.

Cambie la configuración del teléfono inteligente para detener las

conexiones automáticas a Wi-Fi público.

Mantenga actualizado el software antivirus en los dispositivos que se

conectan a su red, incluidos los dispositivos móviles.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
Machine Translated by Google

CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

COMO CONECTAR
Solicite a los empleados y proveedores que
A DISTANCIA utilicen conexiones seguras cuando se conecten
A LA RED de forma remota a su red. Ellos deberían:

Use un enrutador con encriptación WPA2 o WPA3 cuando se conecte desde sus hogares.
El cifrado protege la información enviada a través de una red para que los extraños no puedan leerla.
WPA2 y WPA3 son los únicos estándares de cifrado que protegerán la información enviada a través de una
red inalámbrica.

Solo use Wi-Fi público cuando también use una red privada virtual (VPN) para encriptar el tráfico entre
sus computadoras e Internet. El Wi-Fi público no proporciona una conexión a Internet segura por sí solo.
Sus empleados pueden obtener una cuenta VPN personal de un proveedor de servicios VPN, o puede
contratar a un proveedor para crear una VPN empresarial para que la usen todos los empleados.

QUÉ HACER PARA MANTENER LA SEGURIDAD

Capacite a su personal: Incluya información sobre acceso remoto seguro en capacitaciones periódicas y orientaciones
para el personal nuevo.

Tenga políticas que cubran la ciberseguridad básica, entregue copias a sus empleados y
explíqueles la importancia de seguirlas.

Antes de permitir que cualquier dispositivo, ya sea en el hogar de un empleado o en la red de un

proveedor, se conecte a su red, asegúrese de que cumpla con los requisitos de seguridad de su red.

Informe a su personal sobre los riesgos del Wi-Fi público.

Proporcione a su personal herramientas que ayudarán a mantener la seguridad:

• Requerir que los empleados usen • Requerir autenticación multifactor para acceder a áreas de su
red única y compleja red que tienen información confidencial. Esto requiere
contraseñas y evitar pasos más allá de iniciar sesión con una contraseña, como una contraseña temporal
estaciones de trabajo abiertas y desatendidas. código en un teléfono inteligente o una clave que se inserta en una computadora.

• Considere crear una VPN • Si ofrece Wi-Fi en su • Incluir provisiones para

para que los empleados lo usen cuando locales comerciales para huespedes seguridad en tu proveedor
conectarse de forma remota a la y clientes, asegúrese de que sea contratos, especialmente si el
red de negocios. separado y no conectado el proveedor se conectará
a su red comercial. remotamente a su red.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas