Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
FUNDAMENTOS DE CIBERSEGURIDAD
PROTEGER
SUS ARCHIVOS Y DISPOSITIVOS
web y sistemas operativos. Configure las importantes sin conexión, en un disco duro portátiles, tabletas y teléfonos inteligentes. No
actualizaciones para que sucedan externo o en la nube. Asegúrese de almacenar deje estos dispositivos desatendidos en lugares
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
HACER
SEGURIDAD INTELIGENTE
SU NEGOCIO COMO HABITUAL
Una contraseña segura tiene al menos Cree una cultura de seguridad Tenga un plan para guardar datos,
12 caracteres que son una combinación implementando un programa regular administrar el negocio y notificar a los
de números, símbolos y letras de capacitación para los empleados. clientes si experimenta una infracción.
mayúsculas y minúsculas. Actualice a los empleados a medida los de la FTC Respuesta a filtraciones de
que descubra nuevos riesgos y datos: una guía para empresasda los
Nunca reutilice las contraseñas y no las
vulnerabilidades. Si los empleados no pasos que puede tomar. Puede
comparta por teléfono, en mensajes de texto o
asisten, considere bloquear su acceso encontrarlo en FTC.gov/DataBreach.
por correo electrónico.
a la red.
Limite la cantidad de intentos fallidos de
inicio de sesión para limitar los ataques de
adivinación de contraseñas.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
Comprensión
1.IDENTIFICAR 2.PROTEGER
Haga una lista de todos los equipos, software y datos que utiliza, incluidas las • Controle quién inicia sesión en su red y usa sus
computadoras portátiles, los teléfonos inteligentes, las tabletas y los computadoras y otros dispositivos.
dispositivos de punto de venta.
• Utilice software de seguridad para proteger los datos.
Cree y comparta una política de ciberseguridad de la
empresa que cubra: • Cifrar datos confidenciales, en reposo y en tránsito.
a datos confidenciales.
• Tenga políticas formales para deshacerse de manera segura de
archivos electrónicos y dispositivos viejos.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
3.DETECTAR
4.RESPONDER
Tenga un plan para:
• Notificar a los clientes, empleados y otras personas cuyos • Investigar y contener un ataque.
datos puedan estar en riesgo.
• Actualizar su política y plan de ciberseguridad
• Mantener las operaciones comerciales en funcionamiento. con las lecciones aprendidas.
5.RECUPERAR
Después de un ataque:
Para obtener más información sobre el marco de ciberseguridad del NIST y los recursos para las pequeñas
empresas, visite NIST.gov/CyberFramework y NIST.gov/Programs-Projects/Small-Business-Corner-SBC.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
SEGURIDAD FÍSICA
Un empleado deja accidentalmente una memoria USB en
La ciberseguridad comienza con
la mesa de un café. Cuando regresa horas más tarde para
una fuerte seguridad física. buscarlo, el disco, con cientos de números de Seguro
Social guardados, ya no está.
Las fallas en la seguridad física pueden exponer los Otro empleado arroja montones de registros bancarios antiguos de
datos confidenciales de la empresa al robo de la empresa a un bote de basura, donde un delincuente los
identidad, con consecuencias potencialmente encuentra después del horario comercial.
graves. Por ejemplo:
Un ladrón roba archivos y computadoras de su
oficina después de entrar por una ventana sin llave.
Cuando archivos en papel o acceso Recuerde a los empleados que Mantenga un registro y
dispositivos electrónicos Cuando los registros o guarde archivos en papel en asegure cualquier dispositivo
contener sensible los dispositivos contienen archivadores cerrados, que recogen sensibles
información, almacenar informacion delicada, desconéctese de su red y Información al cliente.
en un gabinete o cuarto permitir el acceso sólo a aplicaciones, y nunca deje Guarde solo los archivos y
cerrado con llave. quienes lo necesiten. archivos o dispositivos con datos que necesita y sepa
datos confidenciales quién tiene acceso a ellos.
desesperado.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
Limite la cantidad de intentos de inicio de sesión incorrectos permitidos para desbloquear dispositivos. Esto ayudará a
proteger contra los intrusos.
cifrar
Cifre los medios portátiles, incluidas las computadoras portátiles y las memorias USB, que contienen
información confidencial. Cifre cualquier dato confidencial que envíe fuera de la empresa, como a un
contador o un servicio de envío.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
SECUESTRO DE DATOS
Alguien de su empresa recibe un Los atacantes piden dinero o criptomonedas, pero
aunque pagues, no sabes si los ciberdelincuentes se
correo electrónico. quedarán con tus datos o destruirán tus archivos.
Mientras tanto, la información que necesita para
Parece legítimo, pero con un clic en un enlace o una administrar su negocio y los detalles confidenciales
descarga de un archivo adjunto, todo el mundo queda sobre sus clientes, empleados y empresa ahora están
fuera de su red. Ese enlace descargó el software que en manos de delincuentes. El ransomware puede
mantiene sus datos como rehenes. Eso es un ataque afectar seriamente su negocio.
de ransomware.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CÓMOPROTEGERTU NEGOCIO
Tener un plan
¿Cómo se mantendría su empresa en funcionamiento después de un ataque de
ransomware? Ponga este plan por escrito y compártalo con todos los que necesiten saberlo.
Guarde regularmente archivos importantes en una unidad o servidor que no esté conectado a su red. Haga que la copia
de seguridad de datos sea parte de sus operaciones comerciales de rutina.
Alerta a tu personal
Enséñeles cómo evitar las estafas de phishing y muéstreles algunas de las formas comunes en que las
computadoras y los dispositivos se infectan. Incluya consejos para detectar y protegerse contra
ransomware en su orientación y capacitación regulares.
HAZLO SI ERES desconectar inmediatamente Ahora es el momento de implementar ese plan. Tener
ATACADO
las computadoras o dispositivos una copia de seguridad de los datos ayudará.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
SUPLANTACIÓN DE IDENTIDA
Recibes un correo electrónico que parece ser de alguien que conoces.
Parece ser de uno de los proveedores de su empresa y le pide que haga clic en un enlace para actualizar su
cuenta comercial. ¿Deberías hacer clic? Tal vez parezca que es de tu jefe y te pide la contraseña de tu red.
¿Deberías responder? En cualquier caso, probablemente no. Estos pueden ser intentos de phishing.
CÓMO
QUÉTÚPUEDE HACER
TRABAJOS DE PHISHING
Antes de hacer clic en un enlace o compartir
Recibes un correo electrónico o un mensaje de texto
cualquier información comercial confidencial:
Parece ser de alguien que conoces y te pide que
hagas clic en un enlace o que proporciones tu
Échale un vistazo
contraseña, cuenta bancaria comercial u otra
información confidencial. Busque el sitio web o el número de teléfono de la
empresa o persona detrás del mensaje de texto
parece real o correo electrónico. Asegúrese de obtener la
Es fácil suplantar logotipos e inventar direcciones de correo
compañía real y no de descargar malware o
electrónico falsas. Los estafadores usan nombres familiares de
hablar con un estafador.
empresas o fingen ser alguien que usted conoce.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CÓMO
¿Y SI TE ENAMORAS DE UN
PROTEGER ESQUEMA DE PHISHING
TU NEGOCIO
Haz una copia de seguridad de tus datos Alertar a otros
Realice copias de seguridad de sus datos con Hable con sus colegas y comparta su experiencia. Los
regularidad y asegúrese de que esas copias de ataques de phishing a menudo le ocurren a más de
seguridad no estén conectadas a la red. De esa una persona en una empresa.
manera, si ocurre un ataque de phishing y los
piratas informáticos ingresan a su red, puede
restaurar sus datos. Haga que la copia de
Limitar el daño
seguridad de datos sea parte de sus operaciones Cambie inmediatamente cualquier contraseña
comerciales de rutina. comprometida y desconecte de la red cualquier
computadora o dispositivo que esté infectado con malware.
Mantén tu seguridad
A hoy Sigue los procedimientos de tu empresa
Instale siempre los últimos parches y Estos pueden incluir notificar a personas específicas
actualizaciones. Busque medios adicionales de en su organización o contratistas que lo ayuden con
protección, como autenticación de correo TI.
electrónico y software de prevención de
intrusiones, y configúrelos para que se
Notificar a los clientes
actualicen automáticamente en sus
Si sus datos o información personal se vieron
computadoras. En dispositivos móviles, es
comprometidos, asegúrese de notificar a las partes
posible que deba hacerlo manualmente.
afectadas; podrían estar en riesgo de robo de identidad.
Encuentre información sobre cómo hacerlo enRespuesta a
Alerta a tu personal filtraciones de datos: una guía para empresas (FTC.gov/
Comparte con ellos esta información. Tenga Brecha de datos).
en cuenta que los estafadores de phishing
cambian sus tácticas con frecuencia, así que Reportalo
asegúrese de incluir consejos para detectar
Reenviar correos electrónicos de phishing a
los últimos esquemas de phishing en su
spam@uce. gov (una dirección utilizada por la FTC) y
capacitación regular.
a reportphishing@apwg.org (una dirección utilizada
por el Grupo de Trabajo Anti-Phishing, que incluye
Desplegar una red de seguridad ISP, proveedores de seguridad, instituciones
Utilice la tecnología de autenticación de correo financieras y agencias de aplicación de la ley).
electrónico para ayudar a evitar que los correos Informe a la empresa o persona suplantada sobre el
electrónicos de phishing lleguen a las bandejas esquema de phishing. E infórmelo a la FTC en
de entrada de su empresa en primer lugar. FTC.gov/Complaint.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
NEGOCIO
IMPOSTORES DE CORREO ELECTRÓNICO
Un estafador establece una dirección de correo Los estafadores hacen esto para obtener
contraseñas y números de cuentas bancarias o
electrónico que parece ser de su empresa.
para que alguien les envíe dinero. Cuando esto
Luego, el estafador envía mensajes usando esa dirección de sucede, su empresa tiene mucho que perder. Los
correo electrónico. Esta práctica se llama suplantación de clientes y socios pueden perder la confianza y
identidad y el estafador es lo que llamamos un impostor de llevar su negocio a otra parte, y su negocio podría
correo electrónico comercial. perder dinero.
CÓMOPROTEGERTU NEGOCIO
Cuando configure el correo electrónico de su A hoy Enséñeles cómo evitar las estafas
empresa, asegúrese de que el proveedor de correo Instale siempre los últimos parches y de phishing y muéstreles algunas
electrónico ofrezca tecnología de autenticación de actualizaciones. Ponlos a de las formas comunes en que los
correo electrónico. De esa forma, cuando envíe un actualizar automáticamente en su atacantes pueden infectar
correo electrónico desde el servidor de su red. Busque medios adicionales de computadoras y dispositivos.
empresa, los servidores receptores pueden protección, como el software de con malware Incluya consejos para
confirmar que el correo electrónico es realmente prevención de intrusiones, que detectar y protegerse contra
suyo. Si no es así, los servidores receptores pueden verifica su red en busca de actividad amenazas cibernéticas en las
bloquear el correo electrónico y frustrar a un sospechosa y le envía alertas si capacitaciones y comunicaciones
impostor de correo electrónico comercial. encuentra alguna. regulares de sus empleados.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
QUÉ HACER
SI ALGUIEN FALSA EL CORREO ELECTRÓNICO DE SU EMPRESA
Reportalo
Reporte la estafa a la policía local, al Centro de Quejas de Delitos en
Internet del FBI en IC3.gov y a la FTC en FTC.gov/Complaint. También
puede reenviar correos electrónicos de phishing a spam@
uce.gov (una dirección utilizada por la FTC) y
reportphishing@apwg.org (una dirección utilizada por el Grupo de
Trabajo Anti-Phishing, que incluye ISP, proveedores de seguridad,
instituciones financieras y agencias de aplicación de la ley).
Alerta a tu personal
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CÓMOPROTEGERTU NEGOCIO
Si una persona que llama dice que su computadora tiene un problema, cuelgue. Una llamada de soporte técnico que no esperas es una estafa
— incluso si el número es local o parece legítimo. Estos estafadores usan información de identificación de llamadas falsa para
parecerse a empresas locales o empresas de confianza.
Si recibe un mensaje emergente para llamar al soporte técnico, ignórelo. Algunos mensajes emergentes sobre problemas
informáticos son legítimos, pero no llame a un número ni haga clic en un enlace que aparece en un mensaje emergente que le
advierte sobre un problema informático.
Si le preocupa un virus u otra amenaza, llame directamente a su compañía de software de seguridad, usando el número
de teléfono en su sitio web, el recibo de compra o el empaque del producto. O consulte a un profesional de seguridad de
confianza.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
SEGURO CIBERNÉTICO
El seguro cibernético es una opción que puede ayudar a proteger su negocio
Recuperandose de contra las pérdidas resultantes de un ataque cibernético. Si está pensando en un
seguro cibernético, discuta con su agente de seguros qué póliza se ajustaría
un ataque cibernético mejor a las necesidades de su empresa, incluso si debe optar por la cobertura de
primera persona, la cobertura de terceros o ambas. Aquí hay algunos consejos
puede ser costoso. generales a tener en cuenta.
¿QUÉ DEBE SU
PÓLIZA DE CIBERSEGURO
¿CUBRIR?
PEQUEÑOS NEGOCIOS
QUE ES
COBERTURA PRIMARIA
¿Y QUÉ DEBES BUSCAR?
La cobertura cibernética propia protege sus datos, incluida la información de empleados y
clientes. Esta cobertura generalmente incluye los costos de su negocio relacionados con:
obligaciones regulatorias
QUE ES
COBERTURA DE TERCEROS
¿Y QUÉ DEBES BUSCAR?
La cobertura cibernética de terceros generalmente lo protege de la responsabilidad si un tercero
PEQUEÑOS NEGOCIOS
VERIFICACION DE EMAIL
La tecnología de autenticación de correo electrónico hace que sea mucho más difícil para un
El uso de la tecnología de autenticación de correo electrónico hace que sea mucho más difícil para los estafadores enviar correos
electrónicos de phishing. Esta tecnología permite que un servidor receptor verifique un correo electrónico de su empresa y bloquee los
correos electrónicos de un impostor, o los envíe a una carpeta de cuarentena y luego le notifique sobre ellos.
QUÉSABER
Algunos proveedores de alojamiento web le permiten configurar el correo electrónico comercial de su empresa utilizando su nombre de dominio (que
puede considerar como el nombre de su sitio web). Su nombre de dominio podría tener este aspecto: suempresa.com. Y su correo electrónico puede tener
este aspecto: nombre@suempresa.com. Sin autenticación de correo electrónico, los estafadores pueden usar ese nombre de dominio para enviar correos
electrónicos que parecen ser de su empresa. Si su correo electrónico comercial utiliza el nombre de dominio de su empresa, asegúrese de que su
proveedor de correo electrónico tenga estas tres herramientas de autenticación de correo electrónico:
Se necesita algo de experiencia para configurar estas herramientas para que funcionen según lo previsto y no bloqueen el correo
electrónico legítimo. Asegúrese de que su proveedor de alojamiento de correo electrónico pueda configurarlos si no tiene los
conocimientos técnicos. Si no pueden, o no lo incluyen en su acuerdo de servicio, considere obtener otro proveedor.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
QUÉ HACER SI SU
EL CORREO ELECTRÓNICO ESTÁ FALSO
La autenticación de correo electrónico ayuda a evitar que el correo electrónico de su empresa se utilice en esquemas de
phishing porque le notifica si alguien falsifica el correo electrónico de su empresa. Si recibe esa notificación, realice estas
acciones:
Reportalo
Reporte la estafa a la policía local, al Centro de Quejas de Delitos en Internet del
FBI en IC3.gov y a la FTC en FTC.gov/Complaint. También puede reenviar correos
electrónicos de phishing a spam@uce.gov (una dirección utilizada por la FTC) y a
reportphishing@apwg.org (una dirección utilizada por el Grupo de Trabajo Anti-
Phishing, que incluye ISP, proveedores de seguridad, instituciones financieras y
las fuerzas del orden).
Alerta a tu personal
Utilice esta experiencia para actualizar sus prácticas de seguridad y capacitar a su personal sobre
amenazas cibernéticas.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CÓMOMONITORSUS VENDEDORES
ponlo por escrito Verificar el cumplimiento Haz cambios según sea necesario
Incluya disposiciones para la seguridad en Establezca procesos para que Amenazas de ciberseguridad
sus contratos de proveedores, como un pueda confirmar que los cambiar rápidamente. Asegúrese de
plan para evaluar y actualizar los controles proveedores siguen sus reglas. No que sus proveedores mantengan su
de seguridad, ya que las amenazas se limite a confiar en su palabra. seguridad actualizada.
cambian. Haga que las disposiciones de
seguridad que son críticas para su
empresa no sean negociables.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CÓMOPROTEGERTU NEGOCIO
Controlar el acceso
Ponga controles en las bases de datos con información sensible. Limite el acceso a la necesidad de saber, y
solo por la cantidad de tiempo que un proveedor necesita para hacer un trabajo.
Proteja su red
Requerir contraseñas seguras: al menos 12 caracteres con una combinación de números, símbolos y
letras mayúsculas y minúsculas. Nunca reutilice las contraseñas, no las comparta y limite la cantidad de
intentos fallidos de inicio de sesión para limitar los ataques de adivinación de contraseñas.
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
para tu negocio.
comparar servicios, la seguridad debe ser una de las principales
preocupaciones.
QUÉBUSCAR
TLS también ayuda a garantizar que la información Cuando el correo electrónico de su empresa esté configurado con el
enviada a su sitio web esté encriptada. Eso es nombre de dominio de su empresa, asegúrese de que su proveedor de
especialmente importante si solicita a los clientes alojamiento web pueda brindarle estas tres herramientas de
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
QUÉPEDIR
Cuando contrate a un proveedor de alojamiento web, haga estas preguntas para asegurarse de que
está ayudando a proteger la información de sus clientes y los datos de su empresa.
¿Está incluido TLS en el plan de hosting? ¿Están disponibles las versiones de software
complemento de pago? ¿Lo configuraré yo más actualizadas con su servicio y mantendrá el
mismo o me ayudarás a configurarlo? software actualizado? Si es mi responsabilidad
mantener el software actualizado, ¿es fácil para
mí hacerlo?
¿Puede el correo electrónico de mi empresa usar Después de configurar el sitio web, ¿quién
el nombre de mi sitio web empresarial? Si es así, podrá realizar cambios en él? ¿Tendré que pasar
¿pueden ayudarme a configurar la tecnología de por ti? ¿Podré iniciar sesión y hacer cambios por
autenticación de correo electrónico SPF, DKIM y mi cuenta? Si puedo iniciar sesión para realizar
DMARC? (Si no, considere buscar un proveedor cambios, ¿está disponible la autenticación
que lo haga). multifactor?
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
SEGURO
ACCESO REMOTO
Los empleados y proveedores pueden necesitar conectarse a su red de forma remota.
Ponga la seguridad de su red primero. Haga que los empleados y proveedores sigan estrictos estándares de seguridad antes
de conectarse a su red. Bríndeles las herramientas para que la seguridad sea parte de su rutina de trabajo.
CÓMO
DISPOSITIVOS DE PROTECCIÓN
Ya sea que los empleados o los proveedores utilicen dispositivos proporcionados por la empresa o propios
cuando se conectan de forma remota a su red, esos dispositivos deben ser seguros. Siga estos consejos y
asegúrese de que sus empleados y proveedores también lo hagan:
FTC.gov/Pequeñas Empresas
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
COMO CONECTAR
Solicite a los empleados y proveedores que utilicen
A DISTANCIA conexiones seguras cuando se conecten de forma remota
A LA RED a su red. Ellos deberían:
Use un enrutador con encriptación WPA2 o WPA3 cuando se conecte desde sus hogares. El cifrado
protege la información enviada a través de una red para que los extraños no puedan leerla. WPA2 y
WPA3 son los únicos estándares de cifrado que protegerán la información enviada a través de una red
inalámbrica.
Solo use Wi-Fi público cuando también use una red privada virtual (VPN) para encriptar el tráfico
entre sus computadoras e Internet. El Wi-Fi público no proporciona una conexión a Internet
segura por sí solo. Sus empleados pueden obtener una cuenta VPN personal de un proveedor de
servicios VPN, o puede contratar a un proveedor para crear una VPN empresarial para que la usen
todos los empleados.
• Requerir que los empleados • Requerir autenticación multifactor para acceder a áreas de su red que tienen
usen contraseñas de red información confidencial. Esto requiere pasos adicionales además de iniciar
únicas y complejas y evitar sesión con una contraseña, como un código temporal en un teléfono
estaciones de trabajo abiertas y desatendidas. inteligente o una clave que se inserta en una computadora.
• Considere la posibilidad de crear una VPN • Si ofrece Wi-Fi en las instalaciones • Incluya disposiciones de
para que la utilicen los empleados de su empresa para invitados y seguridad en sus contratos con
cuando se conecten de forma remota a clientes, asegúrese de que esté los proveedores, especialmente
la red empresarial. separado y no conectado a la red si el proveedor se conectará de
de su empresa. forma remota a su red.
FTC.gov/Pequeñas Empresas