Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Día de los Tuiteros, comprueba la seguridad de las redes sociales empresariales

Fecha de publicación 12/03/2020
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

Las redes sociales se han convertido en una herramienta utilizada en la empresa con  objetivos que van más allá de la  simple comunicación. Las empresas son conscientes del potencial de marketing que estas redes ofrecen para promocionar su negocio y atraer a nuevos clientes. En definitiva, las redes sociales pueden marcar la diferencia, por lo que utilizarlas adecuadamente es clave para el buen devenir de la organización.

Desde hace varios años, cada 12 de marzo se celebra el Día Internacional de Tuiteros, como homenaje y reconocimiento al trabajo y aportación de Twitter al mundo de Internet. No obstante, su uso descuidado puede suponer riesgos. Por ello, desde Protege tu empresa queremos mostraros varios aspectos a tener en cuenta para realizar una gestión segura de las redes sociales de la empresa.

Como elemento gráfico de referencia puedes descargar y compartir la siguiente ficha, que contiene toda la información que debes tener en cuenta para hacer un uso seguro y responsable de las redes sociales de la empresa.

Redes sociales. Medidas de seguridad para los perfiles de empresa

Riesgos para la empresa en el uso de redes sociales

Antes de describir cómo utilizar las redes sociales de forma segura vamos a conocer las principales amenazas, malas configuraciones o fallos en su uso que pueden afectar a la empresa cuando utiliza estas herramientas.

Errores humanos

En muchas ocasiones los incidentes que afectan a la seguridad y la reputación de la empresa tienen su origen en el error humano, y en el caso de las redes sociales se mantiene este hecho. Uno de los fallos más graves y más habituales que se producen consiste en publicar juicios de valor personal en representación de la empresa. También está el intercambio de comentarios con un tono elevado, que darán una imagen de la organización que seguramente no sea la más indicada.

Otro error humano que se comete tanto a través del perfil de la empresa como del personal, es hacer pública información que debería ser privada. Las redes sociales son utilizadas por los ciberdelincuentes para obtener información. Publicar ciertos datos, como la asistencia a un congreso o cualquier otra información, puede serles de ayuda.

Configuraciones de privacidad débiles

Todas las redes sociales cuentan con parámetros de privacidad que pueden ser configurados en un rango que va desde muy restrictivo a más laxo. La empresa debe encontrar un punto intermedio que permita utilizar la red social de una manera efectiva para interactuar con su público, pero sin descuidar la seguridad y privacidad del perfil empresarial.

Determinar quién será el encargado de gestionar las redes sociales también es una prioridad, ya que si se permite que publiquen todos los empleados de forma indiscriminada, la imagen de la empresa se puede ver comprometida. La empresa debe definir la imagen que quiere dar, qué se publica y qué no, en qué tono o lenguaje, cómo se responde a los clientes y a las quejas, etc. Solo empleados autorizados y conocedores de ello deben publicar contenidos.

Además, las aplicaciones que tienen acceso a los perfiles empresariales de redes sociales deben estar controladas porque pueden suponer un riesgo para la privacidad, ya que podrían dar acceso (permisos) a determinados datos (como seguidores o clientes) que se deben mantener en privado.

Campañas de fraude

Los ciberdelincuentes también acechan en las redes sociales. Los fraudes que realizan pueden ser llevados a cabo de varias formas, pero el objetivo final siempre será su propio beneficio económico. Para obtenerlo, los ciberdelincuentes cuentan con varios métodos:

  • Suplantación de clientes o proveedores. Para ello, pueden crear perfiles falsos y, junto con técnicas de ingeniería social, suplantar a clientes o proveedores para solicitarnos modificar datos en su beneficio, como por ejemplo, la cuenta de facturación o las direcciones de envío.
  • Campañas de malware y phishing. Los ciberdelincuentes utilizan las redes sociales para difundir software malicioso y robar información suplantando a otras entidades. Para ello, envían enlaces a páginas web fraudulentas, aunque también pueden adjuntar el software malicioso en la propia red social. Todo ello utilizando técnicas de ingeniería social para dar más credibilidad al engaño.

¿Cómo usar las redes sociales de forma segura en la empresa?

Para utilizar las redes sociales de la empresa de forma segura es recomendable seguir una serie de buenas prácticas.

Contraseña de acceso robusta

El primer aspecto es requerir una contraseña de acceso al perfil robusta, ya que la contraseña es la llave de acceso a la red social. Un acceso no autorizado podría permitir acceder a la configuración, comunicarse con clientes o publicar en nombre de la empresa, lo que podría ocasionar fugas de información y graves consecuencias para la reputación de la empresa. Las redes sociales cuentan con un mecanismo de seguridad complementario denominado doble factor de autenticación; siempre que sea posible se debe habilitar. De esta manera, además de tener que conocer el usuario y la contraseña será necesario estar en posesión de un segundo factor, lo que aumenta considerablemente la seguridad de la cuenta.

Utilizar el sentido común

El sentido común es una de las mejores herramientas existentes en ciberseguridad, por lo que su uso también aplica a las redes sociales. Antes de publicar cualquier información, ya sea de la empresa o en su nombre, hay que pensar si puede ser usada en su contra o puede afectar negativamente a su imagen.

Algunos comportamientos que se deben evitar en los perfiles de redes sociales empresariales son:

  • Lanzar comentarios inoportunos, negativos o inapropiados, como quejas laborales.
  • Emitir juicios de valor.
  • Enfrascarse en discusiones sin sentido, insultar, amenazar o acosar.
  • Propagar noticias falsas.
  • Dar información confidencial o sujeta a propiedad intelectual, etc.

Configurar las opciones de privacidad

Configurar correctamente las opciones de privacidad reducirá, en gran medida, los intentos de fraude por parte de ciberdelincuentes. Las opciones de privacidad deben estar configuradas lo más restrictivamente posible, sin que llegue a afectar al objetivo fijado por la empresa.

Precaución a la hora de seguir enlaces y descargar adjuntos

El malware también se difunde por redes sociales mediante documentos adjuntos en mensajes dentro de la propia red o por medio de sitios web de terceros. Los enlaces presentes en la red social y los documentos adjuntos serán tratados utilizando las mismas precauciones que en el correo electrónico.

En el caso de los enlaces, ante la menor duda se comprobará utilizando VirusTotal, URLhaus o cualquier otra solución similar. En caso de que la web solicite cualquier tipo de información confidencial o bancaria se comprobará también el certificado de seguridad y que corresponda con el sitio al que se está accediendo.

Cuando la web a la que redirige un enlace termina descargando un documento adjunto, o sencillamente el documento es enviado desde la red social, se debe tener precaución, ya que puede contener malware. Algunas de las extensiones de archivo sobre las que hay que extremar las precauciones son:

  • .exe: el tradicional archivo ejecutable de Windows.
  • .vbs: archivo Visual Basic Script que también puede ser ejecutado.
  • .docm: archivo Microsoft Word con macros.
  • .xlsm: archivo Microsoft Excel con macros.
  • .pptm: archivo Microsoft PowerPoint con macros.

Asimismo, se tendrá precaución con los archivos comprimidos y que en su interior contengan este tipo de archivos. Ante la menor duda sobre la legitimidad de los archivos se analizarán con el antivirus del dispositivo y con VirusTotal.

Aprovecha el Día de los Tuiteros para poner al día la cuenta de Twitter de tu empresa, y ya de paso, las de otras redes sociales. ¡Utilízalas para provecho de tu negocio! ¡Cuida su privacidad y seguridad!