Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Los riesgos y las medidas de seguridad del correo electrónico

Fecha de publicación 28/02/2023
Autor
INCIBE (INCIBE)
Manos tocando un móvil

El correo electrónico o email en el ámbito profesional supuso un antes y un después para las empresas, facilitando y agilizando las comunicaciones entre los miembros de la organización, y respecto a colaboradores externos, como clientes y proveedores.
Se popularizó especialmente a inicios de siglo, gracias a la difusión de Internet. Hoy en día es una de las herramientas de comunicación más utilizadas en las organizaciones, habiendo incorporado cada vez más características y funciones. Por esta razón, el correo electrónico se ha convertido en uno de los objetivos preferidos de los ciberdelincuentes, creciendo año tras año los ataques a través de este medio.
En esta línea, y como parte de un proceso general de digitalización, las organizaciones han ido incorporando distintos métodos de defensa técnicos para mejorar su ciberseguridad: antivirus, cortafuegos, análisis de vulnerabilidades…
Sin embargo, todo el esfuerzo invertido puede no ser suficiente, si no se aplica una serie de buenas prácticas para la seguridad del correo electrónico. En este artículo explicaremos los riesgos asociados a este tipo de herramientas de mensajería y qué medidas adoptar para convertirlo en un entorno seguro.

¿Qué medidas de seguridad puedo adoptar?

Aunque existen distintos tipos de actuaciones, ninguna por sí sola puede garantizar una protección completa, por lo que es conveniente aplicar todas las que sean posibles. Como ventaja, su adopción es relativamente sencilla y nos ayudará a evitar que nuestra cuenta sea comprometida, que suplanten nuestra identidad, o que nuestra empresa sea víctima de un caso de phishing u otras amenazas cibernéticas.

Si bien establecer contraseñas robustas es imprescindible para proteger el acceso a nuestra cuenta de correo electrónico u otros servicios, la capacidad de los ciberdelincuentes para descifrarlas exige nuevas medidas de seguridad. Para ello, resulta conveniente la implantación de la autenticación de factor múltiple, la cual consiste en verificar la identidad del usuario, al menos de dos formas distintas, con el objetivo de acceder a su cuenta de manera segura.

El cybersquatting es una estrategia de suplantación que implica comprar dominios similares a los de la empresa original con fines ilegítimos. Podemos prevenir este tipo de ataques registrando variaciones de nuestro nombre de dominio, por ejemplo, quitando, sustituyendo o añadiendo alguna letra respecto al que vamos a utilizar.
Por otra parte, si nuestro nombre de dominio llega a caducar, un tercero podría aprovechar para comprarlo y así suplantar la identidad de nuestra empresa ante clientes y otros colaboradores. Para prevenir esta situación podemos renovar el nombre de dominio antes de que expire, incluso cuando ya no lo utilizamos.
Otro tipo de ataque común es el email spoofing, basado en la falsificación de la dirección del remitente de un correo electrónico para suplantar la identidad de una persona o identidad.
Ante este escenario, podemos configurar distintas medidas de autenticación del correo electrónico para que los mensajes enviados con nuestro nombre de dominio por terceros se consideren spam, o para que se limite la recepción de mensajes ilegítimos. Como en el caso anterior, al configurarlo no solo estaríamos protegiendo a nuestra empresa, sino a nuestros clientes y colaboradores, evitando así que nuestra imagen se vea comprometida.

En este sentido, nuestros datos personales también son un aspecto importante a tener en cuenta, ya que un ciberdelincuente podría emplear la información que hemos publicado en redes sociales u otros medios para dar mayor credibilidad a una campaña de phishing. Por ello, y como norma general, es conveniente limitar la información que publicamos acerca de nosotros mismos, especialmente nuestra dirección de correo electrónico de trabajo y personal.

Cultura en ciberseguridad: la mejor medida de defensa

De una manera u otra, el uso de tecnologías puede poner en riesgo la seguridad de nuestros sistemas de información. Por ello, es imprescindible promover una cultura de ciberseguridad entre los miembros de nuestra organización, tanto para cumplir con las medidas de seguridad establecidas, como para identificar las amenazas a las que nos exponemos al usar el correo electrónico, especialmente ante aquellos mensajes que contienen:

  • Referencias a pagos o cambios de detalles bancarios, como, por ejemplo, ante la solicitud de pagos urgentes. Contar con procedimientos para este tipo de gestiones puede ayudarnos a evitar incidencias graves.
  • Archivos adjuntos o enlaces cuando no conocemos el remitente. En este caso, es imprescindible confirmar la legitimidad del mensaje antes de abrir cualquier archivo o enlace.

En definitiva, el correo electrónico se ha convertido en uno de los medios preferidos de los ciberdelincuentes para perpetrar sus ataques, ya que su elaboración es relativamente sencilla y les da la oportunidad de acceder a un gran número de usuarios, tanto de empresas como de particulares. Frente estas amenazas, tenemos a nuestro alcance diferentes medidas de fácil aplicación que nos permitirán garantizar un mayor nivel de seguridad a nuestra organización. Además, nos ayudarán a evitar que nuestra identidad propia o la de nuestra empresa sean suplantadas, comprometiendo así su confianza ante sus distintos colaboradores.

Recuerda que puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE: la Línea de Ayuda 017, los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).