INTERNET SEGURO

INDICE AMPLIACIÓN CORREO SEGURO

 AMPLIACIÓN DE MATERIAL. 8.6.1. Utilizar el correo exclusivamente para

propósitos profesionales
 AMPLIACIÓN DE MATERIAL. 8.6.2. Usar contraseñas seguras
 AMPLIACIÓN DE MATERIAL. 8.6.3. No ceder el uso de las cuentas de correo
 AMPLIACIÓN DE MATERIAL. 8.6.4. Revisar la barra de direcciones antes del envío
del mensaje
 AMPLIACIÓN DE MATERIAL. 8.6.5. No enviar mensajes de forma masiva ni en
cadena
 AMPLIACIÓN DE MATERIAL. 8.6.6. No responder a mensajes de spam
 AMPLIACIÓN DE MATERIAL. 8.6.7. Utilizar mecanismos de cifrado de la
información
 AMPLIACIÓN DE MATERIAL. 8.6.8. Informar de correos con virus, sin reenviarlos
 AMPLIACIÓN DE MATERIAL. 8.6.9. No utilizar el correo electrónico como espacio
de almacenamiento
 AMPLIACIÓN DE MATERIAL. 8.6.10. Otras normas de seguridad.
8.6.1. UTILIZAR EL CORREO EXCLUSIVAMENTE PARA PROPÓSITOS PROFESIONALES
La importancia de tener una cuenta de correo electrónico radica en facilitar un medio
digital de contacto continuo con todo aquel que lo requiera. El correo en la empresa es
importante ya que es la forma mas sencilla de compartir información con los demás
miembros de una empresa u organización. De esta manera tanto las empresas y
profesionales como sus clientes reducen los gastos en correo, faxes y llamadas
telefónicas a sólo lo imprescindible.
Un trabajador recibe entre 60 y 200 emails al día, y envía más de 25. Gran parte de la
comunicación en una empresa se realiza a través del correo.
El correo electrónico es una herramienta que de momento no tiene sustituto natural.
En todas las empresas existe tendencia a subestimar la importancia del mismo, pero lo
cierto es que cuando hay problemas todos se quejan, por lo tanto es muy importante
para ellos.
Ventajas de uso del correo electrónico:
1. Rápido, llega al destino con bastante rapidez (aunque no podemos considerar
que llegue instantáneamente al destinatario).
2. Es barato
3. No importa donde enviemos
4. Solo requieres de una conexión básica a Internet.
5. Puedes enviar correos a múltiples personas a la vez.
6. Puedes enviar archivos de video, sonido, imágenes, ejecutables, etc…
7. Evitas costes al medio ambiente al evitar la impresión en papel.
8.6.2. USAR CONTRASEÑAS SEGURAS

Contraseñas como 1234567 para ingresar a sus e-mails, personas que utilizan como
password la misma dirección de e-mail, su número telefónico o ponen su nombre, etc.
corren el riesgo de ser descifradas por cualquier intruso que desee robar nuestra
información.
Su primera linea de defensa en la Web es creando la contraseña más fuerte posible
para proteger su información, esto puede sonar exagerado, pero
los «hackers» cuentan cada vez con herramientas más
sofisticadas para «crackear» una contraseña. Lo que podría haberse considerado como
una contraseña segura hace un año ahora sería una puerta abierta a sus cuentas.
La seguridad en internet se basa en el principio del «eslabón más débil»; y
los «hackers» están constantemente en busca de ese eslabón débil para tener acceso a
lo que sea de su interés. Normalmente el eslabón débil es una contraseña poco segura.
Consejos para crear una contraseña segura
Existe una variedad de consejos de que hacer y que no a la hora de crear una
contraseña, pero las normas básicas que puede seguir son las siguientes:

 Utilice MAYÚSCULAS y minúsculas.

 Agregue números o signos de puntuación.
 Utilice al menos uno de estos caracteres especiales: ! @ # $ % * ( ) – + = , < > : :
“‘.
 Que tenga al menos 10 caracteres de largo.
 Para una contraseña fuerte nunca, en ningún caso, utilice información
personal, como su nombre, número de teléfono, fecha de
nacimiento, dirección o nombres de alguien que conozca.
 Crear periódicamente una nueva contraseña.
8.6.3. NO CEDER EL USO DE LAS CUENTAS DE CORREO
No utilizar, ni ceder a terceras personas, las direcciones de correo que forman parte
del directorio corporativo, para finalidades diferentes de aquéllas que resulten
necesarias para desarrollar las funciones encomendadas a la empresa. En un correo
electrónico figura diversa información que se puede considerar como dato de carácter
personal, en la medida en que nos ofrezca información sobre una persona física
identificable.
La empresa puede acceder al correo corporativo en:

 La empresa solo puede acceder al correo electrónico cuando esté

expresamente justificado y además no exista otro medio o mecanismo para
alcanzar el objetivo perseguido.
 El medio tiene que ser proporcionado a la finalidad y si es posible, se tiene que
limitar el acceso a los datos sobre el emisor y el receptor, la hora de la
comunicación y otros datos como el número de mensajes enviados, el volumen
de información o el tipo de archivos que se haya adjuntado u otros sistemas de
análisis que no analicen el contenido. Sólo si esta información no es suficiente
para alcanzar la finalidad perseguida, se podrá acceder al contenido de los
mensajes siempre que se cumplan las garantías apropiadas, evitando entrar en
los mensajes que se puedan identificar como privados.
 Se tiene que informar tanto al administrador del sistema como al resto de
personas que intervengan en las operaciones de control de sus deberes y
obligaciones en materia de seguridad, y en especial del deber de secreto
profesional. Sin perjuicio de la obligación general de secreto que se deriva de la
normativa de protección de datos, puede ser conveniente hacer firmar a las
personas que intervienen en estas operaciones un compromiso de
confidencialidad respecto de los datos a los que tengan acceso.
 Las personas trabajadoras pueden ejercer sus derechos de acceso, rectificación,
cancelación y oposición respecto de la información que haya obtenido la
empresa a través de las medidas de control implantadas.
8.6.4. REVISAR LA BARRA DE DIRECCIONES ANTES DEL ENVÍO DEL MENSAJE
Cuando nos disponemos a enviar un correo electrónico debemos rellenar varios
campos además del mensaje que queramos enviar, claro. Los dos campos por
excelencia son el “para”, que es el destinatario de nuestro correo electrónico y el
“asunto”, que es una especie de resumen o título acerca de lo que contiene el correo
electrónico.
La casilla CC suele traducirse como “Con Copia”, aunque realmente esta abreviatura se
utilizaba mucho antes de que existiera el correo electrónico y también mucho antes
de que existiera internet.
Si hablamos del apartado CCO, es muy probable que lo traduzcas como “Con Copia
Oculta”, pero tenemos que decirte que este acrónimo significa “Con Copia de
Carbón” y que viene de cuando en antaño, porque ahora raramente se ve, se
utilizaban papeles autocopiativos y esa última hoja que era papel de calco es la que se
utilizaba no solo para archivar u ocultar
8.6.5. NO ENVIAR MENSAJES DE FORMA MASIVA NI EN CADENA
Pongamos como ejemplo el correo en Gmail
El límite de correos electrónicos que un usuario puede enviar mediante su cuenta de
Gmail se marca por día. Es decir, cada 24 horas puedes enviar 500 mensajes. O enviar
el mismo correo electrónico a 500 direcciones diferentes.
Por lo tanto, si lo que buscas es enviar correos masivos con Gmail, antes de nada debes
saber que tienes este límite. Una vez lo alcances, la propia plataforma te avisará de
que no puedes enviar más mensajes hasta el día siguiente.
Lo importante en este caso es que entiendas que no puedes enviar 500 emails a las
23:45 de la noche y a las 00:00 puedes enviar otros 500. Entre el primer envío y el
segundo deben cumplirse las 24 horas fijadas. Pero, ¿por qué?
La respuesta es simple. Google no quiere que ningún usuario tenga la capacidad de
llenar la bandeja de entrada de otro de spam o de mensajes no deseados. Y
únicamente por ese motivo, la cantidad de emails se ve limitada a 500 mensajes
diarios. De hecho, Google considera que es una cantidad más que suficiente para un
usuario estándar.
Pero, ¿y si tu lista de contactos supera los 500 con creces? Enviar correos masivos con
Gmail o con cualquier otra plataforma es una decisión que tomas para acercarte a tus
contactos. O para promocionarte tanto tú como a tu marca. Pero todo tiene un precio.
¿Por qué no deberías enviar correos masivos con Gmail?
Como sabes, el email marketing es una de las herramientas más potentes para captar
clientes, retenerlos, generar engagement o crear verdaderos embajadores de marca.
Pero todo esto es muy difícil de conseguir sin invertir algo de dinero. Y aunque enviar
correos masivos con Gmail pueda parecerte una buena idea para ahorrar costes, al
final te limitará.
Ese es el primer inconveniente. El uso de webmails, por ende, trae muchas
limitaciones. Y una de ellas es que aquellos envíos masivos que se realizan desde Gmail
no pasan por los mismos procesos de autenticación por los que pasan los mensajes
que envías desde una plataforma de email marketing profesional.
En otras palabras: Corres el doble de riesgo de que te cataloguen como spammer.
8.6.6. NO RESPONDER A MENSAJES DE SPAM
Lo más sencillo es simplemente borrar el mensaje. Muchos de estos mensajes son
distinguibles a simple vista simplemente leyendo el encabezado porque incluyen el
signo del dólar, las palabras GRATIS, FREE etc.
En caso de que el volumen de mensajes sea muy alto (10 o más al día) haz una solicitud
de baja de la lista de la que crees que han obtenido tu información.
Los programas de correo suelen incluir sistemas de filtrado de mensajes que pueden
ser útiles para evitar el spam. Es la solución de andar por casa para tener un programa
anti-spam sin gastar dinero.
A parte de estas recetas caseras, nunca está de más disponer de herramientas más
sofisticadas, como programas antispam, que nos ayuden a evitar este tipo de correo
masivo en nuestro buzón.
Algunas medidas de prevención:

 Sólo hay que dar nuestra dirección de correo electrónico a nuestros amigos y
conocidos.
 No publicar nuestra dirección de correo electrónico en las News o en sitios
web .
 No rellenar formularios en los que se soliciten nuestros datos personales.
 Nunca hay que contestar a un mensaje de spam ya que en muchos casos la
dirección del remitente será falsa y nos devolverán el mensaje y si no es falsa
servirá a la empresa de publicidad para saber que nuestra dirección de e-mail
es correcta.
8.6.7. UTILIZAR MECANISMOS DE CIFRADO DE LA INFORMACIÓN
Cuando necesite proteger la privacidad de un mensaje de correo electrónico, cifre él.
Cifrado de un mensaje de correo electrónico en Outlook significa se convierte en texto
cifrado codificado en texto sin formato legible. Sólo los destinatarios que tengan clave
privada que coincida con la clave pública usada para cifrar el mensaje pueden descifrar
el mensaje para lectura. Cualquier destinatario sin la clave privada correspondiente,
sin embargo, ve texto. Outlook admite dos opciones de cifrado:
1. Cifrado con S/MIME : usar destinatario, el remitente y el cifrado S/MIME debe
tener una aplicación de correo que admita el estándar S/MIME. Outlook admite
el estándar S/MIME
2. Office 365 mensaje cifrado (Information Rights Management) - usar el cifrado
de mensajes de Office 365, el remitente debe tener Office 365 mensaje cifrado,
que se incluye en la licencia de O365 E3.
Con la nueva actualización de Office, obtuvo mejor cifrado de correo electrónico en
Outlook.

 El botón de permisos se reemplaza con el botón de cifrar .

 El nuevo botón cifrar contiene dos opciones de cifrado (S/MIME y IRM). La
opción de S/MIME solo está visible si tiene el certificado de S/MIME
configurado en Outlook.
Para obtener instrucciones detalladas sobre cómo agregar cifrado
compruebe cifrado con S/MIME o cifrar con Office 365 mensaje cifrado.
8.6.8. INFORMAR DE CORREOS CON VIRUS, SIN REENVIARLOS

Evitar y denunciar los correos electrónicos de phishing

Los ataques de suplantación de identidad (phishing) se producen cuando alguien
intenta engañarte para que compartas online tu información personal.
Qué es el phishing
Las técnicas de phishing suelen recurrir a correos electrónicos, anuncios o sitios web
que se parecen mucho a los que ya conoces. Por ejemplo, alguien que intente efectuar
un ataque de phishing podría enviarte un correo que parezca proceder de tu banco
para que facilites datos sobre tu cuenta.
Los correos electrónicos o sitios web de phishing pueden pedirte, por ejemplo:

 Nombres de usuario y contraseñas, incluidos cambios de contraseñas

 Números de la Seguridad Social
 Números de cuentas bancarias
 Números de identificación personal (PIN)
 Números de tarjetas de crédito
 El apellido de tu madre
 Tu fecha de nacimiento
Importante: Ni Google ni Gmail te pedirán nunca que proporciones este tipo de
información a través de un correo electrónico.
Denunciar los correos electrónicos de phishing
Si identificamos un correo sospechoso o que podría ser de phishing (suplantación de
identidad), es posible que se coloque en Spam o que te aparezca una advertencia. Si
un correo no se ha marcado correctamente, lleva a cabo los pasos siguientes para
marcarlo o desmarcarlo como phishing.
Evitar los ataques de phishing
Sospecha siempre que recibas un correo de un sitio web en el que te soliciten
información personal. Si recibes este tipo de correo electrónico:
No hagas clic en ningún enlace ni proporciones información personal hasta que
confirmes que el correo es auténtico.
Si el remitente usa una dirección de Gmail, denuncia el uso inadecuado de Gmail a
Google.
Nota: Gmail nunca te pedirá por correo electrónico información personal, como tu
contraseña.
Si recibes un correo que parece sospechoso, estas son algunas cosas que puedes
verificar:

 Comprueba que la dirección de correo y el nombre del remitente coinciden.

 Comprueba si el correo electrónico está autenticado.
 Antes de hacer clic en un enlace, coloca el cursor sobre él. Si la URL del enlace
no coincide con la descripción, es posible que te lleve a un sitio web de
phishing.
 Revisa las cabeceras de los mensajes para asegurarte de que el campo "De" no
indica un nombre incorrecto.
Importante: Si crees que alguien está accediendo a tu dirección de Gmail, vulnerada
antes de enviar o abrir otro correo.
8.6.9. NO UTILIZAR EL CORREO ELECTRÓNICO COMO ESPACIO DE ALMACENAMIENTO
El problema de espacio con el correo electrónico
Cada vez que alguien nos escribe, el mensaje llega a nuestro buzón de correo
electrónico en el servidor. Y tenemos varias formas estándar de acceder a ese mensaje

 Entrando por un webmail con el navegador: así lo que hacemos es visualizar el

mensaje en el servidor, pero sin quitarlo de ahí. Los mensajes se irán
almacenando y ocupando cada vez más espacio de mi plan de hosting.
 Usando un programa de correo electrónico en el móvil o desde el ordenador:
o En el móvil siempre se configuran en IMAP, que quiere decir que al igual
que el webmail, se accede al servidor para ver los mensajes del servidor
pero no se quitan de ahí.
o En el ordenador, podemos configurarlo en IMAP (que funcionaría igual
que los métodos ya descritos) o en POP3, en cuyo caso sí que nos
estamos descargando los mensajes del servidor (aunque con la
posibilidad dejar una copia en dicho servidor durante un tiempo
determinado).
Como vemos, sólo en POP3 vamos a ir descargando espacio del servidor para no
saturar nuestro hosting y evitar sobrecoste innecesario.
La solución utilizando Gmail
Gmail es el sistema de correo de Google, que nos ofrece cuentas tipo
nombre@gmail.com, pero también nos permite configurar otras de nuestro propio
dominio junto a la cuenta de gmail. Haciéndolo, conseguiremos convertir a Gmail en
nuestro “almacén gratuito de correo”, y dispondremos gratis de nada menos que 15
Gigabytes, que incluso podríamos ampliar más con unos costes más que moderados

 Hasta 100 Gigabytes, por un coste de 20 €/año

 Hasta 1 Terabyte, por un coste de 100 €/año
El sistema, a grandes rasgos y para empezar por lo conceptual, funciona así:
1. Creamos una cuenta Gmail
2. Asociamos una cuenta de nuestro dominio a la cuenta Gmail (o varias, cada
cuenta Gmail admite hasta 5 cuentas adicionales enlazadas)
3. A partir de ese momento, si lo configuramos bien (más adelante os damos
instrucciones), cada vez que la cuenta de nuestro dominio reciba un correo,
Gmail descargará una copia de ese correo, copia que ya quedará disponible en
Gmail incluso si borramos el correo original en nuestro hosting, porque Gmail
se descarga físicamente una copia de cada correo.
4. De tal forma, nosotros podemos usar a diario nuestro programa de correo
habitual, y configurado para que vaya borrando mensajes de más de 1 mes de
antigüedad (por ejemplo). De ese modo no saturamos el espacio del servidor, y
al mismo tiempo sabemos que si necesitamos consultar alguno antiguo, Gmail
conservará un histórico que puede ser de varios años con la versión de 15 Gb, y
prácticamente «eterno» en las de pago. Si nuestro caso era que no usábamos
un programa de correo sino siempre el webmail, a partir de ahora lo que
haremos será usar directamente la página de Gmail, y pediremos a nuestro
proveedor que nos configure una regla para vaciar periódicamente el buzón de
nuestro dominio: de ese modo tendremos siempre todo en Gmail, y no
saturaremos nuestro hosting.
De ese modo, disponemos de un almacén de correo en la nube siempre accesible
8.6.10. OTRAS NORMAS DE SEGURIDAD
Enumeramos una serie de normas para la seguridad de nuestro trabajo
1 - Siempre tener cuidado al abrir correos electrónicos de remitentes desconocidos
con documentos adjuntos.
Es muy extraño que una persona que contacta por primera vez te envíe un documento
adjunto para tu consulta. Hay que desconfiar de estas situaciones. Podría ocurrir que
ese documento adjunto escondiera algún tipo de malware un troyano e infectara
nuestro ordenador.
Es necesario explicar a los empleados de los riesgos que supone abrir los adjuntos que
se reciben a través del correo electrónico.
2 - Siempre tener cuidado al hacer clic en enlaces incluidos en correos electrónicos de
remitentes desconocidos
Quienes nos envían correo basura, spam, con malas intenciones, saben que la gran
mayoría de los adjuntos con virus son detectados y eliminados por las aplicaciones
antivirus, así que utilizan una segunda técnica consistente en el envío de enlaces al
malware en el cuerpo del correo.
La tendencia natural es hacer clic en los enlaces. Es necesario enseñar al empleado a
tener cautela ante estas situaciones, sobre todo si el correo procede de remitentes
desconocidos. S hiciéramos clic podríamos encontrarnos en la situación anterior y los
dispositivos de nuestra empresa, ser verían comprometidos.
3 - Instalar aplicaciones antimalware y activar los filtros antispam
Es necesario que la empresa disponga de una solución antimalware empresarial que
entre otras tareas, escanee los correos electrónicos que reciban los empleados.
Muy probablemente, dicha aplicación disponga de un filtro antispam que impida que
los correos sospechosos de ser correo basura, spam, lleguen al buzón de los
empleados. Este filtro debe estar activado y configurado, y revisarse de forma
continua. De esta manera, se evita que el empleado tome la decisión de abrir ficheros
adjuntos o que haga clic en enlaces potencialmente peligrosos para él y para la
empresa.
4 - Usar siempre contraseñas seguras
Para garantizar la seguridad de una contraseña, ésta debe tener más de 8 caracteres e
incluir mayúsculas, minúsculas y letras o caracteres. En caso contrario nos arriesgamos
a que cualquier persona, utilizando alguna de las herramientas existentes para este fin,
nos descubra la contraseña y acceda a nuestros correos.
La política de seguridad de la empresa debe exigir que el empleado utilice siempre
contraseñas robustas y las cambie periódicamente.
5 - Evitar utilizar el correo electrónico desde conexiones públicas
Cuando nos conectamos a una red pública: la wifi de una cafetería, el ordenador de un
hotel, etc. el tráfico de red que envía o recibe nuestro ordenador puede ser
interceptado por cualquiera de los usuarios conectados a esta red.
Dado que no podemos controlar quien se conecta a una red pública, debemos ser
nosotros mismos los que pongamos trabas a un posible ataque o a que cualquiera se
entere de nuestros planes de empresa. Recordar que los correos electrónicos, si no
van cifrados, viajan en claro y cualquier los puede leer de forma sencilla. Dentro de las
medidas que podríamos llevar a cabo: cifrar el correo, establecer una red privada
virtual con nuestra empresa de manera que todo el tráfico viaje cifrado o como última
opción (pero sin duda la más adecuada) utilizar redes de telefonía móvil, como el 3G o
el 4G.
6 - Cifra el correo electrónico al enviar información confidencial
El correo electrónico, si no va cifrado, viaja «en claro» a través de internet, esto quiere
decir que cualquiera, a través de técnicas no muy complejas, podría leer el contenido
de nuestros mails.
Por esta razón, si tenemos que enviar información confidencial para la empresa o bien
ciframos nuestro correo electrónico o bien enviamos un documento comprimido y
cifrado. De esta forma, en caso de que sea interceptado, los ladrones no puedan
obtener el documento confidencial. Además, ofreceremos una mejor imagen en
cuanto al cuidado de la información por nuestra parte frente al destinario de la misma.
El cifrado del correo electrónico se realizará mediante estándares como PGP o S/Mime.
Ambos estándares también permiten firmar digitalmente los correos electrónicos.
Existen múltiples aplicaciones que permiten el envío de correos cifrados mediante
PGP, por ejemplo Enigmail, GPG o la extensión de Google Chrome Mailvelope.
7 - No publicar direcciones de correo electrónico en la web de la empresa ni en sus
redes sociales
Igual nos hemos preguntado alguna vez cómo obtienen los ciberdelincuentes los
millones de direcciones de correo para el envío de correo basura. Una de las formas
más comunes es utilizando aplicaciones que rastrean todas las páginas web que
pueden buscar direcciones de correo electrónico dentro de la misma. Y no solo
rastrean páginas web, también las redes sociales son una gran fuente de información
para ellos.
Una vez obtenidas estas direcciones comenzarían con el envío de correo basura. Para
las empresas que desean disponer de una cuenta de correo de contacto o para la
resolución de incidencias, es preferible la publicación de un formulario web que, a
través de código, reenvíe el texto introducido en el formulario a una cuenta de correo
electrónico.
8 - Nunca responder al correo basura
Los spammers (individuos o empresas que envían spam - correo basura) solicitan a
menudo respuestas respecto al contenido de sus mensajes, o incluso llegan a pedir el
envío de un correo electrónico para evitar recibir más spam. Nunca se debe caer en
estas trampas, porque con ellas estamos confirmando al spammer que la cuenta de
correo está activa y que hay alguien leyendo el correo.
9 - Desactivar el HTML en las cuentas de correo críticas
Muchos de los correos electrónicos se envían en formato HTML, que permite utilizar
colores, negritas, enlaces, etc. Sin embargo este formato también permite incluir un
lenguaje de programación denominado JavaScript, muy utilizado para funcionalidades
que nos ofrece el correo electrónico. Esta funcionalidad, también puede «mal»
utilizarse y puede hacer que los spammers verifiquen que la dirección de correo
electrónico es válida o redirigir el navegador web del usuario a una página web
maliciosa que acabe infectando nuestro ordenador.
Es recomendable la desactivación del formato HTML en el correo electrónico, al menos
en las cuentas de correo críticas o que se encuentren a disposición del público para
contactar con nuestra empresa. De esta manera no sería posible la visualización de
correos electrónicos atractivos, pero este sería mucho más seguro.
10 - Utilizar la copia oculta (BCC o CCO) cuando se envíen direcciones a múltiples
destinatarios
Puede haber destinatarios que no quieran que su dirección de correo electrónico se
haga pública. Por respeto a ellos se recomienda usar siempre copia oculta (BCC o CCO)
cuando se envíen direcciones a múltiples destinatarios.
Cuando enviamos un correo electrónico este deja de estar bajo nuestro control desde
el mismo momento que sale de nuestro ordenador. No sabemos si será reenviado o
publicado por uno de los destinatarios, dejando así accesible no solo nuestra dirección
de correo si no la de todos los destinatarios. Esta es la razón por la que siempre es
recomendable la utilización de copia oculta para que las direcciones de tus contactos
no sean visibles y puedan ser objeto de spam.
Cierre