Traducido del inglés al español - www.onlinedoctranslator.
com
CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
FUNDAMENTOS DE CIBERSEGURIDAD
Objetivo de los ciberdelincuentes
empresas de todos los tamaños.
PROTEGER
SUS ARCHIVOS Y DISPOSITIVOS
Actualice su programa
Esto incluye sus aplicaciones, navegadores
web y sistemas operativos. Configure las
actualizaciones para que sucedan
automáticamente.
Cifrar dispositivos
Cifre dispositivos y otros medios que contengan
información personal confidencial. Esto incluye
computadoras portátiles, tabletas,
teléfonos inteligentes, unidades extraíbles, cintas de
respaldo y soluciones de almacenamiento en la nube.
MÁS INFORMACIÓN EN:
FTC.gov/Pequeñas Empresas
Conocer algunos conceptos básicos de
ciberseguridad y ponerlos en práctica lo ayudará
a proteger su negocio y reducir el riesgo de un
ciberataque.
Asegure sus archivos Requerir contraseñas
Realice copias de seguridad de archivos Use contraseñas para todas las computadoras
importantes sin conexión, en un disco duro portátiles, tabletas y teléfonos inteligentes. No
externo o en la nube. Asegúrese de almacenar deje estos dispositivos desatendidos en lugares
sus archivos en papel de forma segura también. públicos.
Usar autenticación multifactor
Requiera autenticación multifactor para acceder a áreas de su
red con información confidencial. Esto requiere pasos
adicionales además de iniciar sesión con una contraseña, como
un código temporal en un teléfono inteligente o una clave que se
inserta en una computadora.
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

PROTEGERTU RED INALÁMBRICA

Proteja su enrutador
Cambie el nombre y la contraseña predeterminados, desactive la administración remota y cierre la
sesión como administrador una vez que el enrutador esté configurado.

Usa al menos encriptación WPA2

Asegúrese de que su enrutador ofrezca encriptación WPA2 o WPA3 y que esté activado.
El cifrado protege la información enviada a través de su red para que no pueda ser leída
por personas ajenas.

HACER
SEGURIDAD INTELIGENTE
SU NEGOCIO COMO HABITUAL

Requerir contraseñas seguras Capacitar a todo el personal Tener un plan

Una contraseña segura tiene al menos Cree una cultura de seguridad Tenga un plan para guardar datos,
12 caracteres que son una combinación implementando un programa regular administrar el negocio y notificar a los
de números, símbolos y letras de capacitación para los empleados. clientes si experimenta una infracción.
mayúsculas y minúsculas. Actualice a los empleados a medida los de la FTC Respuesta a filtraciones de
que descubra nuevos riesgos y datos: una guía para empresasda los
Nunca reutilice las contraseñas y no las
vulnerabilidades. Si los empleados no pasos que puede tomar. Puede
comparta por teléfono, en mensajes de texto o
asisten, considere bloquear su acceso encontrarlo en FTC.gov/DataBreach.
por correo electrónico.
a la red.
Limite la cantidad de intentos fallidos de
inicio de sesión para limitar los ataques de
adivinación de contraseñas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

Comprensión

LA CIBERSEGURIDAD DEL NIST

ESTRUCTURA
Es posible que haya oído hablar del las empresas de todos los tamaños comprenden,
administran y reducen mejor su riesgo de ciberseguridad
marco de ciberseguridad del NIST, y protegen sus redes y datos. El Marco es voluntario. Le
brinda a su empresa un resumen de las mejores
pero ¿qué es exactamente? prácticas para ayudarlo a decidir dónde concentrar su
tiempo y dinero para la protección de la seguridad
¿Y te aplica a ti? cibernética.
NIST es el Instituto Nacional de Estándares y Tecnología Puede poner el marco de ciberseguridad del NIST a
del Departamento de Comercio de los Estados Unidos. El trabajar en su empresa en estas cinco áreas: identificar,
marco de ciberseguridad del NIST ayuda proteger, detectar, responder y recuperar.

1.IDENTIFICAR
Haga una lista de todos los equipos, software y datos que utiliza, incluidas las
computadoras portátiles, los teléfonos inteligentes, las tabletas y los
dispositivos de punto de venta.
Cree y comparta una política de ciberseguridad de la
empresa que cubra:
2.PROTEGER
• Controle quién inicia sesión en su red y usa sus
computadoras y otros dispositivos.
• Utilice software de seguridad para proteger los datos.
• Cifrar datos confidenciales, en reposo y en tránsito.

• Realice copias de seguridad periódicas de los datos.

Roles y responsabilidades de
empleados, proveedores y • Actualice el software de seguridad regularmente, automatizando

cualquier otra persona con acceso esas actualizaciones si es posible.

a datos confidenciales.
• Tenga políticas formales para deshacerse de manera segura de
archivos electrónicos y dispositivos viejos.

Pasos a seguir para protegerse

• Capacite a todos los que usan sus computadoras,
contra un ataque y limitar el daño si
dispositivos y red sobre ciberseguridad. Puede
ocurre uno.
ayudar a los empleados a comprender su riesgo
personal además de su papel crucial en el lugar de
trabajo.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

3.DETECTAR

Monitorea tus computadoras Revisa tu red Investigue cualquier actividad

para acceso de personal no por no autorizado inusual en su red o por parte de
autorizado, dispositivos (como usuarios o conexiones. su personal.
unidades USB) y software.

4.RESPONDER
Tenga un plan para:

• Notificar a los clientes, empleados y otras personas cuyos • Investigar y contener un ataque.
datos puedan estar en riesgo.
• Actualizar su política y plan de ciberseguridad
• Mantener las operaciones comerciales en funcionamiento. con las lecciones aprendidas.

• Reportar el ataque a la policía y otras • Prepararse para eventos involuntarios (como

autoridades. emergencias climáticas) que pueden poner en
riesgo los datos.

Pruebe su plan regularmente.

5.RECUPERAR
Después de un ataque:

Repara y restaura los Mantenga a los empleados y clientes

equipos y partes de tu red informados sobre sus actividades de
que se vieron afectadas. respuesta y recuperación.

Para obtener más información sobre el marco de ciberseguridad del NIST y los recursos para las pequeñas
empresas, visite NIST.gov/CyberFramework y NIST.gov/Programs-Projects/Small-Business-Corner-SBC.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURIDAD FÍSICA
Un empleado deja accidentalmente una memoria USB en
La ciberseguridad comienza con
la mesa de un café. Cuando regresa horas más tarde para
una fuerte seguridad física. buscarlo, el disco, con cientos de números de Seguro
Social guardados, ya no está.
Las fallas en la seguridad física pueden exponer los Otro empleado arroja montones de registros bancarios antiguos de
datos confidenciales de la empresa al robo de la empresa a un bote de basura, donde un delincuente los
identidad, con consecuencias potencialmente encuentra después del horario comercial.
graves. Por ejemplo:
Un ladrón roba archivos y computadoras de su
oficina después de entrar por una ventana sin llave.

CÓMOPROTEGEREQUIPOS Y ARCHIVOS EN PAPEL

Estos son algunos consejos para proteger la información en archivos en papel y en discos duros, unidades

flash, computadoras portátiles, dispositivos de punto de venta y otros equipos.

almacenar de forma segura Límite físico Enviar recordatorios Mantener existencias

Cuando archivos en papel o acceso Recuerde a los empleados que Mantenga un registro y

dispositivos electrónicos Cuando los registros o guarde archivos en papel en asegure cualquier dispositivo

contener sensible
información, almacenar
en un gabinete o cuarto
cerrado con llave.
los dispositivos contienen archivadores cerrados,
informacion delicada, desconéctese de su red y
permitir el acceso sólo a aplicaciones, y nunca deje
quienes lo necesiten. archivos o dispositivos con
datos confidenciales
desesperado.
que recogen sensibles
Información al cliente.
Guarde solo los archivos y
datos que necesita y sepa
quién tiene acceso a ellos.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMOPROTEGERDATOS EN SUS DISPOSITIVOS

Un robo, una computadora portátil perdida, un teléfono móvil robado o una unidad flash extraviada: todo puede suceder debido a
fallas en la seguridad física. Pero es menos probable que resulten en una violación de datos si la información en esos dispositivos está
protegida. Aquí hay algunas maneras de hacerlo:

Requerir contraseñas complejas

Solicite contraseñas que sean largas, complejas y únicas. Y asegúrese de que estas contraseñas se
almacenen de forma segura. Considere usar un administrador de contraseñas.

Usar autenticación multifactor

Requiera autenticación multifactor para acceder a áreas de su red con información confidencial. Esto
requiere pasos adicionales además de iniciar sesión con una contraseña, como un código temporal en
un teléfono inteligente o una clave que se inserta en una computadora.

Limite los intentos de inicio de sesión

Limite la cantidad de intentos de inicio de sesión incorrectos permitidos para desbloquear dispositivos. Esto ayudará a
proteger contra los intrusos.

cifrar
Cifre los medios portátiles, incluidas las computadoras portátiles y las memorias USB, que contienen
información confidencial. Cifre cualquier dato confidencial que envíe fuera de la empresa, como a un
contador o un servicio de envío.

TREN Incluya la seguridad física en las capacitaciones y comunicaciones regulares de sus

empleados. Recuerde a los empleados que:
SU
EMPLEADOS Triturar documentos Promover prácticas de seguridad en

Triture siempre los documentos todos los lugares

con información confidencial Mantenga prácticas de seguridad incluso si trabaja de
antes de tirarlos. forma remota desde su hogar o en viajes de negocios.

Borrar datos correctamente Conoce el plan de respuesta

Utilice software para borrar datos
antes de donar o desechar
computadoras viejas, dispositivos
móviles, copiadoras digitales y
unidades de disco. No confíe solo en
"eliminar". Eso en realidad no elimina
el archivo de la computadora.
Todo el personal debe saber qué hacer si el equipo o los
archivos en papel se pierden o son robados, incluso a
quién notificar y qué hacer a continuación. Usar
Respuesta a filtraciones de datos: una guía para
empresaspara obtener ayuda para crear un plan de
respuesta. Puede encontrarlo en FTC.gov/DataBreach.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SECUESTRO DE DATOS
Alguien de su empresa recibe un
correo electrónico.
Parece legítimo, pero con un clic en un enlace o una
descarga de un archivo adjunto, todo el mundo queda
fuera de su red. Ese enlace descargó el software que
mantiene sus datos como rehenes. Eso es un ataque
de ransomware.
Los atacantes piden dinero o criptomonedas, pero
aunque pagues, no sabes si los ciberdelincuentes se
quedarán con tus datos o destruirán tus archivos.
Mientras tanto, la información que necesita para
administrar su negocio y los detalles confidenciales
sobre sus clientes, empleados y empresa ahora están
en manos de delincuentes. El ransomware puede
afectar seriamente su negocio.

CÓMO Los delincuentes pueden iniciar un ataque de

SUCEDE ransomware de varias formas.

Correos electrónicos fraudulentos Servidor

con enlaces y archivos adjuntos que ponen en vulnerabilidades

riesgo sus datos y su red. Estos correos que pueden ser explotados por
electrónicos de phishing constituyen la piratas informáticos.
mayoría de los ataques de ransomware.

Sitios web infectados Anuncios en línea

que descargan automáticamente que contienen código malicioso

software malicioso en su — incluso en sitios web que conoce
computadora. y en los que confía.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMOPROTEGERTU NEGOCIO
Tener un plan
¿Cómo se mantendría su empresa en funcionamiento después de un ataque de
ransomware? Ponga este plan por escrito y compártalo con todos los que necesiten saberlo.

Haz una copia de seguridad de tus datos

Guarde regularmente archivos importantes en una unidad o servidor que no esté conectado a su red. Haga que la copia
de seguridad de datos sea parte de sus operaciones comerciales de rutina.

Mantén tu seguridad al día

Instale siempre los últimos parches y actualizaciones. Busque medios adicionales de protección, como autenticación de
correo electrónico y software de prevención de intrusiones, y configúrelos para que se actualicen automáticamente en
su computadora. En dispositivos móviles, es posible que deba hacerlo manualmente.

Alerta a tu personal
Enséñeles cómo evitar las estafas de phishing y muéstreles algunas de las formas comunes en que las
computadoras y los dispositivos se infectan. Incluya consejos para detectar y protegerse contra
ransomware en su orientación y capacitación regulares.

QUÉ Limitar el daño Mantenga su negocio en funcionamiento

HAZLO SI ERES desconectar inmediatamente Ahora es el momento de implementar ese plan. Tener

ATACADO
las computadoras o dispositivos una copia de seguridad de los datos ayudará.

infectados de su red. Si sus datos

han sido robados, tome medidas
para proteger a su empresa y
notifique a quienes podrían verse
afectados.
Contacta a las autoridades
Informe el ataque de inmediato a
su oficina local del FBI.
¿Debo pagar el rescate?
La policía no recomienda eso, pero
depende de usted determinar si los
riesgos y los costos de pagar valen la
pena por la posibilidad de recuperar sus
archivos. Sin embargo, pagar el rescate
puede no garantizar que recupere sus
datos.

Notificar a los clientes

Si sus datos o información personal se vieron comprometidos, asegúrese de notificar a

las partes afectadas, ya que podrían estar en riesgo de robo de identidad. Encuentre
información sobre cómo hacerlo enRespuesta a filtraciones de datos: una guía para
empresas.Puede encontrarlo en FTC.gov/DataBreach.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SUPLANTACIÓN DE IDENTIDA
Recibes un correo electrónico que parece ser de alguien que conoces.
Parece ser de uno de los proveedores de su empresa y le pide que haga clic en un enlace para actualizar su
cuenta comercial. ¿Deberías hacer clic? Tal vez parezca que es de tu jefe y te pide la contraseña de tu red.
¿Deberías responder? En cualquier caso, probablemente no. Estos pueden ser intentos de phishing.

CÓMO
QUÉTÚPUEDE HACER
TRABAJOS DE PHISHING
Antes de hacer clic en un enlace o compartir
Recibes un correo electrónico o un mensaje de texto
cualquier información comercial confidencial:
Parece ser de alguien que conoces y te pide que
hagas clic en un enlace o que proporciones tu
Échale un vistazo
contraseña, cuenta bancaria comercial u otra
información confidencial. Busque el sitio web o el número de teléfono de la
empresa o persona detrás del mensaje de texto
parece real o correo electrónico. Asegúrese de obtener la
Es fácil suplantar logotipos e inventar direcciones de correo
compañía real y no de descargar malware o
electrónico falsas. Los estafadores usan nombres familiares de
hablar con un estafador.
empresas o fingen ser alguien que usted conoce.

Habla con alguien

Es urgente
Hablar con un colega puede ayudarlo a determinar
El mensaje lo presiona para que actúe
si la solicitud es real o un intento de phishing.
ahora, o algo malo sucederá.

que pasa despues

Haz una llamada si no estás seguro
Si hace clic en un enlace, los estafadores pueden
Tome el teléfono y llame a ese proveedor, colega o
instalar ransomware u otros programas que
cliente que envió el correo electrónico. Confirme que
pueden bloquear sus datos y propagarse a toda la
realmente necesitan información de usted. Use un
red de la empresa. Si comparte contraseñas, los
número que sepa que es correcto, no el número en el
estafadores ahora tienen acceso a todas esas
correo electrónico o mensaje de texto.
cuentas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CÓMO
PROTEGER
TU NEGOCIO
Haz una copia de seguridad de tus datos
Realice copias de seguridad de sus datos con
regularidad y asegúrese de que esas copias de
seguridad no estén conectadas a la red. De esa
manera, si ocurre un ataque de phishing y los
piratas informáticos ingresan a su red, puede
restaurar sus datos. Haga que la copia de
seguridad de datos sea parte de sus operaciones
comerciales de rutina.
Mantén tu seguridad
A hoy
Instale siempre los últimos parches y
actualizaciones. Busque medios adicionales de
protección, como autenticación de correo
electrónico y software de prevención de
intrusiones, y configúrelos para que se
actualicen automáticamente en sus
computadoras. En dispositivos móviles, es
posible que deba hacerlo manualmente.
Alerta a tu personal
Comparte con ellos esta información. Tenga
en cuenta que los estafadores de phishing
cambian sus tácticas con frecuencia, así que
asegúrese de incluir consejos para detectar
los últimos esquemas de phishing en su
capacitación regular.
Desplegar una red de seguridad
Utilice la tecnología de autenticación de correo
electrónico para ayudar a evitar que los correos
electrónicos de phishing lleguen a las bandejas
de entrada de su empresa en primer lugar.
MÁS INFORMACIÓN EN:
FTC.gov/Pequeñas Empresas
¿Y SI TE ENAMORAS DE UN
ESQUEMA DE PHISHING
Alertar a otros
Hable con sus colegas y comparta su experiencia. Los
ataques de phishing a menudo le ocurren a más de
una persona en una empresa.
Limitar el daño
Cambie inmediatamente cualquier contraseña
comprometida y desconecte de la red cualquier
computadora o dispositivo que esté infectado con malware.
Sigue los procedimientos de tu empresa
Estos pueden incluir notificar a personas específicas
en su organización o contratistas que lo ayuden con
TI.
Notificar a los clientes
Si sus datos o información personal se vieron
comprometidos, asegúrese de notificar a las partes
afectadas; podrían estar en riesgo de robo de identidad.
Encuentre información sobre cómo hacerlo enRespuesta a
filtraciones de datos: una guía para empresas (FTC.gov/
Brecha de datos).
Reportalo
Reenviar correos electrónicos de phishing a
spam@uce. gov (una dirección utilizada por la FTC) y
a reportphishing@apwg.org (una dirección utilizada
por el Grupo de Trabajo Anti-Phishing, que incluye
ISP, proveedores de seguridad, instituciones
financieras y agencias de aplicación de la ley).
Informe a la empresa o persona suplantada sobre el
esquema de phishing. E infórmelo a la FTC en
FTC.gov/Complaint.
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

NEGOCIO
IMPOSTORES DE CORREO ELECTRÓNICO
Un estafador establece una dirección de correo
electrónico que parece ser de su empresa.
Luego, el estafador envía mensajes usando esa dirección de
correo electrónico. Esta práctica se llama suplantación de
identidad y el estafador es lo que llamamos un impostor de
correo electrónico comercial.
Los estafadores hacen esto para obtener
contraseñas y números de cuentas bancarias o
para que alguien les envíe dinero. Cuando esto
sucede, su empresa tiene mucho que perder. Los
clientes y socios pueden perder la confianza y
llevar su negocio a otra parte, y su negocio podría
perder dinero.

CÓMOPROTEGERTU NEGOCIO

Usar autenticación de correo electrónico Mantén tu seguridad Capacite a su personal

Cuando configure el correo electrónico de su
empresa, asegúrese de que el proveedor de correo
electrónico ofrezca tecnología de autenticación de
correo electrónico. De esa forma, cuando envíe un
correo electrónico desde el servidor de su
empresa, los servidores receptores pueden
confirmar que el correo electrónico es realmente
suyo. Si no es así, los servidores receptores pueden
bloquear el correo electrónico y frustrar a un
impostor de correo electrónico comercial.
A hoy
Instale siempre los últimos parches y
actualizaciones. Ponlos a
actualizar automáticamente en su
red. Busque medios adicionales de
protección, como el software de
prevención de intrusiones, que
verifica su red en busca de actividad
sospechosa y le envía alertas si
encuentra alguna.
Enséñeles cómo evitar las estafas
de phishing y muéstreles algunas
de las formas comunes en que los
atacantes pueden infectar
computadoras y dispositivos.
con malware Incluya consejos para
detectar y protegerse contra
amenazas cibernéticas en las
capacitaciones y comunicaciones
regulares de sus empleados.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUÉ HACER
SI ALGUIEN FALSA EL CORREO ELECTRÓNICO DE SU EMPRESA

Reportalo
Reporte la estafa a la policía local, al Centro de Quejas de Delitos en
Internet del FBI en IC3.gov y a la FTC en FTC.gov/Complaint. También
puede reenviar correos electrónicos de phishing a spam@
uce.gov (una dirección utilizada por la FTC) y
reportphishing@apwg.org (una dirección utilizada por el Grupo de
Trabajo Anti-Phishing, que incluye ISP, proveedores de seguridad,
instituciones financieras y agencias de aplicación de la ley).

Notifique a sus clientes

Si descubre que los estafadores se están haciendo pasar por su negocio, informe a sus
clientes lo antes posible, por correo postal, correo electrónico o redes sociales. Si envía
un correo electrónico a sus clientes, envíe un correo electrónico sin hipervínculos. No
desea que su correo electrónico de notificación parezca una estafa de phishing.
Recuerde a los clientes que no compartan ninguna información personal por correo
electrónico o mensaje de texto. Si robaron los datos de sus clientes, diríjalos a
RobodeIdentidad.gov para obtener un plan de recuperación.

Alerta a tu personal

Utilice esta experiencia para actualizar sus prácticas de seguridad y capacitar a su

personal sobre amenazas cibernéticas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

ESTAFAS DE SOPORTE TÉCNICO

A menudo, los estafadores están detrás de estas

Recibe una llamada telefónica, una ventana
emergente o un correo electrónico que le informa
que hay un problema con su computadora.
llamadas, mensajes emergentes y correos electrónicos.
Quieren obtener su dinero, información personal o
acceso a sus archivos. Esto puede dañar su red, poner
en riesgo sus datos y dañar su negocio.

CÓMO ESTAFA FUNCIONA

Los estafadores pueden pretender ser de una empresa de tecnología conocida, como Microsoft. Usan muchos
términos técnicos para convencerlo de que los problemas con su computadora son reales. Es posible que le pidan que
abra algunos archivos o ejecute un análisis en su computadora, y luego le digan que esos archivos o los resultados del
análisis muestran un problema... pero no lo hay.

Los estafadores pueden entonces:

Pedirle que les dé acceso remoto a su Intente inscribirlo en un programa de

computadora, lo que les permite mantenimiento o garantía de
acceder a toda la información computadora sin valor
almacenada en ella y en cualquier red
conectada a ella Pida la información de la tarjeta de crédito
para que puedan facturarle servicios
Instale malware que les dé acceso a falsos o servicios disponibles en otros
su computadora y datos lugares de forma gratuita.
confidenciales, como nombres de
usuario y contraseñas Dirigirlo a sitios web y pedirle que
ingrese la tarjeta de crédito, la
Intenta venderle software o servicios de cuenta bancaria y otra información
reparación que no valen nada o que están personal
disponibles en otro lugar de forma gratuita.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMOPROTEGERTU NEGOCIO
Si una persona que llama dice que su computadora tiene un problema, cuelgue. Una llamada de soporte técnico que no esperas es una estafa
— incluso si el número es local o parece legítimo. Estos estafadores usan información de identificación de llamadas falsa para
parecerse a empresas locales o empresas de confianza.

Si recibe un mensaje emergente para llamar al soporte técnico, ignórelo. Algunos mensajes emergentes sobre problemas
informáticos son legítimos, pero no llame a un número ni haga clic en un enlace que aparece en un mensaje emergente que le
advierte sobre un problema informático.

Si le preocupa un virus u otra amenaza, llame directamente a su compañía de software de seguridad, usando el número
de teléfono en su sitio web, el recibo de compra o el empaque del producto. O consulte a un profesional de seguridad de
confianza.

Nunca le dé a nadie su contraseña y no le dé acceso remoto a su computadora a alguien que se comunique

con usted inesperadamente.

QUE HACER SI ERES

estafado
Si compartió su contraseña con un
estafador, cámbiela en cada cuenta que
use esta contraseña. Recuerde utilizar
contraseñas únicas para cada cuenta y
servicio. Considere usar un administrador
de contraseñas.
Deshazte del malware. Actualice o descargue
software de seguridad legítimo. Escanee su
computadora y elimine cualquier cosa que el
software diga que es un problema. Si necesita
ayuda, consulte a un profesional de seguridad
de confianza.
Si la computadora afectada está
conectada a su red, usted o un
profesional de seguridad deben revisar
toda la red en busca de intrusiones.
Si compró servicios falsos, pídale a la
compañía de su tarjeta de crédito que
revierta los cargos y revise su estado de
cuenta por cualquier cargo que no haya
aprobado. Siga revisando los estados de
cuenta de su tarjeta de crédito para
asegurarse de que el estafador no intente
recargarlo todos los meses.

Reporte el ataque de inmediato a la FTC en FTC.gov/Complaint.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURO CIBERNÉTICO
El seguro cibernético es una opción que puede ayudar a proteger su negocio
Recuperandose de contra las pérdidas resultantes de un ataque cibernético. Si está pensando en un
seguro cibernético, discuta con su agente de seguros qué póliza se ajustaría
un ataque cibernético mejor a las necesidades de su empresa, incluso si debe optar por la cobertura de
primera persona, la cobertura de terceros o ambas. Aquí hay algunos consejos
puede ser costoso. generales a tener en cuenta.

¿QUÉ DEBE SU
PÓLIZA DE CIBERSEGURO
¿CUBRIR?

Asegúrese de que su póliza incluya cobertura para:

Violaciones de datos (como incidentes Ataques cibernéticos a sus Actos terroristas

relacionados con el robo de información datos en poder de proveedores
personal) y otros terceros

Ataques cibernéticos (como Ataques cibernéticos que ocurren

violaciones de su red) en cualquier parte del mundo (no
solo en los Estados Unidos)

Además, considere si su proveedor de seguros cibernéticos:

Defenderlo en una demanda o Brindar cobertura adicional a Ofrezca una línea directa de
investigación regulatoria (busque la cualquier otro seguro incumplimiento que esté disponible
redacción "deber de defender") aplicable que tenga todos los días del año en todo momento

MÁS INFORMACIÓN EN: La FTC agradece a la Asociación Nacional de Comisionados de Seguros

FTC.gov/Pequeñas Empresas (NAIC) por su papel en el desarrollo de este contenido.
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUE ES
COBERTURA PRIMARIA
¿Y QUÉ DEBES BUSCAR?
La cobertura cibernética propia protege sus datos, incluida la información de empleados y
clientes. Esta cobertura generalmente incluye los costos de su negocio relacionados con:

Asesoramiento legal a Notificacion al cliente Gestión de crisis servicios forenses

determina tu y centro de llamadas y relaciones publicas para investigar el
notificación y servicios incumplimiento

obligaciones regulatorias

Recuperación y ingresos perdidos Extorsión cibernética Tasas, multas y

reemplazo de perdido debido al negocio y fraude sanciones relacionadas con
o datos robados interrupción el incidente cibernético

QUE ES
COBERTURA DE TERCEROS
¿Y QUÉ DEBES BUSCAR?
La cobertura cibernética de terceros generalmente lo protege de la responsabilidad si un tercero

presenta reclamos en su contra. Esta cobertura generalmente incluye:

Pagos a los consumidores Reclamaciones y liquidaciones Pérdidas relacionadas con

afectado por el incumplimiento gastos relacionados con difamación e infracción de derechos
disputas o pleitos de autor o marca registrada

Costos por litigio y Otros asentamientos, Costos contables

respuesta a consultas daños y juicios
regulatorias

Más recursos de seguros para pequeñas empresas disponibles en www.insureuonline.org/smallbusiness

MÁS INFORMACIÓN EN: La FTC agradece a la Asociación Nacional de Comisionados de Seguros

FTC.gov/Pequeñas Empresas (NAIC) por su papel en el desarrollo de este contenido.
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

VERIFICACION DE EMAIL
La tecnología de autenticación de correo electrónico hace que sea mucho más difícil para un

estafador enviar correos electrónicos de phishing que parecen ser de su empresa.

El uso de la tecnología de autenticación de correo electrónico hace que sea mucho más difícil para los estafadores enviar correos
electrónicos de phishing. Esta tecnología permite que un servidor receptor verifique un correo electrónico de su empresa y bloquee los
correos electrónicos de un impostor, o los envíe a una carpeta de cuarentena y luego le notifique sobre ellos.

QUÉSABER
Algunos proveedores de alojamiento web le permiten configurar el correo electrónico comercial de su empresa utilizando su nombre de dominio (que
puede considerar como el nombre de su sitio web). Su nombre de dominio podría tener este aspecto: suempresa.com. Y su correo electrónico puede tener
este aspecto: nombre@suempresa.com. Sin autenticación de correo electrónico, los estafadores pueden usar ese nombre de dominio para enviar correos
electrónicos que parecen ser de su empresa. Si su correo electrónico comercial utiliza el nombre de dominio de su empresa, asegúrese de que su
proveedor de correo electrónico tenga estas tres herramientas de autenticación de correo electrónico:

Marco de política del remitente (SPF) Autenticación, informes y conformidad de

informa a otros servidores qué servidores pueden enviar correos
electrónicos utilizando el nombre de dominio de su empresa. Entonces,
cuando envía un correo electrónico desde nombre@suempresa. com, el
servidor de recepción puede confirmar que el servidor de envío está en
una lista aprobada. Si es así, el servidor receptor deja pasar el correo
electrónico. Si no puede encontrar una coincidencia, el correo electrónico
se puede marcar como sospechoso.
Correo identificado con claves de dominio (DKIM)
pone una firma digital en el correo saliente para que los servidores
puedan verificar que un correo electrónico de su dominio
realmente se envió desde los servidores de su organización y no ha
sido manipulado en tránsito.
mensajes basados en dominios (DMARC)
es la tercera herramienta esencial para la autenticación de
correo electrónico. SPF y DKIM verifican la dirección que usa el
servidor "detrás de escena". DMARC verifica que esta dirección
coincida con la dirección "de" que ve. También le permite
decirle a otros servidores qué hacer cuando reciben un correo
electrónico que parece provenir de su dominio, pero el servidor
receptor tiene motivos para sospechar (basado en SPF o DKIM).
Puede hacer que otros servidores rechacen el correo
electrónico, lo marquen como correo no deseado o no tomen
ninguna medida. También puede configurar DMARC para que
se le notifique cuando esto suceda.

Se necesita algo de experiencia para configurar estas herramientas para que funcionen según lo previsto y no bloqueen el correo
electrónico legítimo. Asegúrese de que su proveedor de alojamiento de correo electrónico pueda configurarlos si no tiene los
conocimientos técnicos. Si no pueden, o no lo incluyen en su acuerdo de servicio, considere obtener otro proveedor.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUÉ HACER SI SU
EL CORREO ELECTRÓNICO ESTÁ FALSO
La autenticación de correo electrónico ayuda a evitar que el correo electrónico de su empresa se utilice en esquemas de
phishing porque le notifica si alguien falsifica el correo electrónico de su empresa. Si recibe esa notificación, realice estas
acciones:

Reportalo
Reporte la estafa a la policía local, al Centro de Quejas de Delitos en Internet del
FBI en IC3.gov y a la FTC en FTC.gov/Complaint. También puede reenviar correos
electrónicos de phishing a spam@uce.gov (una dirección utilizada por la FTC) y a
reportphishing@apwg.org (una dirección utilizada por el Grupo de Trabajo Anti-
Phishing, que incluye ISP, proveedores de seguridad, instituciones financieras y
las fuerzas del orden).

Notifique a sus clientes

Si descubre que los estafadores se están haciendo pasar por su negocio, informe a sus clientes lo
antes posible, por correo postal, correo electrónico o redes sociales. Si envía un correo
electrónico a sus clientes, envíe un correo electrónico sin hipervínculos: no desea que su correo
electrónico de notificación parezca una estafa de phishing. Recuerde a los clientes que no
compartan ninguna información personal por correo electrónico o mensaje de texto. Y si los
datos de sus clientes fueron robados, diríjalos a RobodeIdentidad.gov para obtener un plan de
recuperación.

Alerta a tu personal

Utilice esta experiencia para actualizar sus prácticas de seguridad y capacitar a su personal sobre
amenazas cibernéticas.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURIDAD DEL VENDEDOR

Asegúrese de que esos proveedores protejan sus propias

Los proveedores de su negocio computadoras y redes. Por ejemplo, ¿qué sucede si su contador, que
puede tener acceso a tiene todos sus datos financieros, pierde su computadora portátil? ¿O
un proveedor cuya red está conectada a la suya es pirateado? El
información sensible. resultado: los datos de su negocio y la información personal de sus
clientes pueden terminar en las manos equivocadas, poniendo en
riesgo su negocio y sus clientes.

CÓMOMONITORSUS VENDEDORES

ponlo por escrito Verificar el cumplimiento Haz cambios según sea necesario

Incluya disposiciones para la seguridad en Establezca procesos para que Amenazas de ciberseguridad
sus contratos de proveedores, como un pueda confirmar que los cambiar rápidamente. Asegúrese de
plan para evaluar y actualizar los controles proveedores siguen sus reglas. No que sus proveedores mantengan su
de seguridad, ya que las amenazas se limite a confiar en su palabra. seguridad actualizada.
cambian. Haga que las disposiciones de
seguridad que son críticas para su
empresa no sean negociables.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

CÓMOPROTEGERTU NEGOCIO
Controlar el acceso

Ponga controles en las bases de datos con información sensible. Limite el acceso a la necesidad de saber, y
solo por la cantidad de tiempo que un proveedor necesita para hacer un trabajo.

Usar autenticación multifactor

Esto hace que los proveedores tomen medidas adicionales además de iniciar sesión con una contraseña
para acceder a su red, como un código temporal en un teléfono inteligente o una clave que se inserta en
una computadora.

Proteja su red
Requerir contraseñas seguras: al menos 12 caracteres con una combinación de números, símbolos y
letras mayúsculas y minúsculas. Nunca reutilice las contraseñas, no las comparta y limite la cantidad de
intentos fallidos de inicio de sesión para limitar los ataques de adivinación de contraseñas.

Proteja sus datos

Utilice una encriptación segura y bien configurada. Esto protege la información confidencial a medida que
se transfiere y almacena.

QUÉ HACER SI UN Contacta a las autoridades Confirmar el vendedor

EL VENDEDOR TIENE UN Informe el ataque de inmediato a su tiene una solución

departamento de policía local. Si no

Asegúrese de que el proveedor
FILTRACIÓN DE DATOS están familiarizados con la
solucione las vulnerabilidades y
investigación de compromisos de
garantice que su información
información, comuníquese con su
estará segura en el futuro, si su
oficina local del FBI.
empresa decide continuar
utilizando el proveedor.

Notificar a los clientes

Si sus datos o información personal se vieron comprometidos,

asegúrese de notificar a las partes afectadas; podrían estar en riesgo de
robo de identidad. Encuentre información sobre cómo hacerlo en
Respuesta a filtraciones de datos: una guía para empresas.Encuéntrelo
en FTC.gov/DataBreach.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA
PEQUEÑOS NEGOCIOS
CONTRATAR UN ALOJADOR WEB
Es posible que desee un sitio
web nuevo o actualizado
para tu negocio.
QUÉBUSCAR
Seguridad de la capa de transporte (TLS)
El servicio que elija debe incluir TLS, que ayudará
a proteger la privacidad de sus clientes. (Es
posible que haya oído hablar de su
predecesor, Secure Sockets Layer o SSL.) TLS ayuda
a garantizar que sus clientes accedan a su sitio web
real cuando escriben su URL en la barra de
direcciones. Cuando TLS se implementa
correctamente en su sitio web, su URL comenzará
con https://.
TLS también ayuda a garantizar que la información
enviada a su sitio web esté encriptada. Eso es
especialmente importante si solicita a los clientes
información confidencial, como números de
tarjetas de crédito o contraseñas.
MÁS INFORMACIÓN EN:
FTC.gov/Pequeñas Empresas
Pero si no tiene las habilidades para configurar la presencia web que
desea, es posible que desee contratar a un proveedor de alojamiento web
para que lo haga por usted. Ya sea que esté actualizando un sitio web o
lanzando un nuevo negocio, hay muchas opciones de alojamiento web. Al
comparar servicios, la seguridad debe ser una de las principales
preocupaciones.
Verificacion de Email
Algunos proveedores de alojamiento web le permiten configurar
el correo electrónico comercial de su empresa utilizando su
nombre de dominio (eso es parte de su URL y lo que puede
considerar como el nombre de su sitio web). Su nombre de
dominio podría tener este aspecto: suempresa.com. Y su correo
electrónico puede tener este aspecto: nombre@suempresa.com.
Si no tiene autenticación de correo electrónico, los estafadores
pueden hacerse pasar por ese nombre de dominio y enviar
correos electrónicos que parecen ser de su empresa.
Cuando el correo electrónico de su empresa esté configurado con el
nombre de dominio de su empresa, asegúrese de que su proveedor de
alojamiento web pueda brindarle estas tres herramientas de
autenticación de correo electrónico:
• Marco de política del remitente (SPF)
• Correo identificado con claves de dominio (DKIM)
• Autenticación, informes y conformidad de
mensajes basados en dominios (DMARC)
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

QUÉ Actualizaciones de software

BUSCAR Muchos proveedores de alojamiento web ofrecen sitios web prediseñados o

paquetes de software diseñados para que la configuración del sitio web de su
empresa sea rápida y sencilla. Como con cualquier software, es esencial que
utilice las últimas versiones con parches de seguridad actualizados. Asegúrese
de saber cómo mantener actualizado el software del sitio web o si el proveedor
de alojamiento web lo hará por usted.

Gestión de sitios web

Si un proveedor de alojamiento web está administrando su sitio web, es posible que
deba consultar a ese proveedor para realizar cambios, aunque es posible que pueda
iniciar sesión y realizar algunos cambios usted mismo. En cambio, algunos
proveedores de alojamiento web pueden ofrecerle la opción de administrar el sitio
web por su cuenta. Es importante aclarar desde el principio quién administrará el sitio
web después de que esté construido.

QUÉPEDIR

Cuando contrate a un proveedor de alojamiento web, haga estas preguntas para asegurarse de que
está ayudando a proteger la información de sus clientes y los datos de su empresa.

¿Está incluido TLS en el plan de hosting?
complemento de pago? ¿Lo configuraré yo
mismo o me ayudarás a configurarlo?
¿Están disponibles las versiones de software
más actualizadas con su servicio y mantendrá el
software actualizado? Si es mi responsabilidad
mantener el software actualizado, ¿es fácil para
mí hacerlo?

¿Puede el correo electrónico de mi empresa usar
el nombre de mi sitio web empresarial? Si es así,
¿pueden ayudarme a configurar la tecnología de
autenticación de correo electrónico SPF, DKIM y
DMARC? (Si no, considere buscar un proveedor
que lo haga).
Después de configurar el sitio web, ¿quién
podrá realizar cambios en él? ¿Tendré que pasar
por ti? ¿Podré iniciar sesión y hacer cambios por
mi cuenta? Si puedo iniciar sesión para realizar
cambios, ¿está disponible la autenticación
multifactor?

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

SEGURO
ACCESO REMOTO
Los empleados y proveedores pueden necesitar conectarse a su red de forma remota.
Ponga la seguridad de su red primero. Haga que los empleados y proveedores sigan estrictos estándares de seguridad antes
de conectarse a su red. Bríndeles las herramientas para que la seguridad sea parte de su rutina de trabajo.

CÓMO
DISPOSITIVOS DE PROTECCIÓN
Ya sea que los empleados o los proveedores utilicen dispositivos proporcionados por la empresa o propios
cuando se conectan de forma remota a su red, esos dispositivos deben ser seguros. Siga estos consejos y
asegúrese de que sus empleados y proveedores también lo hagan:

Cambie siempre las contraseñas de enrutador preestablecidas y el nombre

predeterminado de su enrutador. Y mantenga actualizado el software del
enrutador; es posible que deba visitar el sitio web del enrutador con
frecuencia para hacerlo.

Considere habilitar el cifrado de disco completo para computadoras

portátiles y otros dispositivos móviles que se conectan de forma
remota a su red. Compruebe su sistema operativo para esta opción,
que protegerá los datos almacenados en el dispositivo en caso de
pérdida o robo. Esto es especialmente importante si el dispositivo
almacena información personal confidencial.

Cambie la configuración del teléfono inteligente para detener las

conexiones automáticas a Wi-Fi público.

Mantenga actualizado el software antivirus en los dispositivos

que se conectan a su red, incluidos los dispositivos móviles.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas
 CIBERSEGURIDAD PARA

PEQUEÑOS NEGOCIOS

COMO CONECTAR
Solicite a los empleados y proveedores que utilicen
A DISTANCIA conexiones seguras cuando se conecten de forma remota
A LA RED a su red. Ellos deberían:

Use un enrutador con encriptación WPA2 o WPA3 cuando se conecte desde sus hogares. El cifrado
protege la información enviada a través de una red para que los extraños no puedan leerla. WPA2 y
WPA3 son los únicos estándares de cifrado que protegerán la información enviada a través de una red
inalámbrica.

Solo use Wi-Fi público cuando también use una red privada virtual (VPN) para encriptar el tráfico
entre sus computadoras e Internet. El Wi-Fi público no proporciona una conexión a Internet
segura por sí solo. Sus empleados pueden obtener una cuenta VPN personal de un proveedor de
servicios VPN, o puede contratar a un proveedor para crear una VPN empresarial para que la usen
todos los empleados.

QUÉ HACER PARAMANTENER LA SEGURIDAD

Incluya información sobre acceso remoto seguro en capacitaciones periódicas y orientaciones para el
Capacite a su personal:
personal nuevo.

Tenga políticas que cubran la ciberseguridad básica, entregue copias a sus

empleados y explíqueles la importancia de seguirlas.

Antes de permitir que cualquier dispositivo, ya sea en el hogar de un empleado o en la red de

un proveedor, se conecte a su red, asegúrese de que cumpla con los requisitos de seguridad de
su red.

Informe a su personal sobre los riesgos del Wi-Fi público.

Proporcione a su personal herramientas que ayudarán a mantener la seguridad:

• Requerir que los empleados • Requerir autenticación multifactor para acceder a áreas de su red que tienen
usen contraseñas de red información confidencial. Esto requiere pasos adicionales además de iniciar
únicas y complejas y evitar sesión con una contraseña, como un código temporal en un teléfono
estaciones de trabajo abiertas y desatendidas. inteligente o una clave que se inserta en una computadora.

• Considere la posibilidad de crear una VPN
para que la utilicen los empleados
cuando se conecten de forma remota a
la red empresarial.
• Si ofrece Wi-Fi en las instalaciones
de su empresa para invitados y
clientes, asegúrese de que esté
separado y no conectado a la red
de su empresa.
• Incluya disposiciones de
seguridad en sus contratos con
los proveedores, especialmente
si el proveedor se conectará de
forma remota a su red.

MÁS INFORMACIÓN EN:

FTC.gov/Pequeñas Empresas