9 buenas prácticas de correo electrónico en las pequeñas empresas

Compromiso del correo electrónico empresarial, (por su sigla en inglés BEC - Business Email Compromise) es un tipo grave de fraude y extorsión digital que intenta aprovecharse del flujo diario de las comunicaciones por correo electrónico entre empresas.

Por medio de un complicado proceso de ingeniería social, los ciberdelincuentes se hacen pasar por un empleado o socio comercial de confianza y convencen a las víctimas de la misma empresa para que transfieran información confidencial o fondos a una cuenta oculta.

Estos tipos de ataques varían según su gravedad, pero suelen ser muy costosos para la empresa que se convierte en objetivo.

Por este motivo, decidimos crear esta guía de buenas prácticas, pautas, protocolos y políticas de seguridad del correo electrónico, especialmente diseñada para las pequeñas empresas (sin embargo, estas prácticas se aplicarán de igual manera a las organizaciones de cualquier tamaño).

Es hora de asegurarse de que los correos electrónicos de tu pequeña empresa sean seguros y de que cualquier información confidencial esté protegida de miradas no deseadas.

¿Cuándo es importante la seguridad del correo electrónico corporativo?

En la era digital actual, el correo electrónico es el medio de comunicación de las empresas de todos los tamaños, pero también representa un importante desafío en materia de seguridad, especialmente para las pequeñas empresas.

A medida que las ciberamenazas evolucionan y se vuelven más sofisticadas, es fundamental proteger la información sensible y garantizar la confidencialidad de la correspondencia electrónica.

En los últimos años, los ciberataques a través de los servidores de correo electrónico de las empresas registran un aumento crítico en todos los ámbitos. Esto no debería sorprendernos demasiado si tenemos en cuenta la tendencia mundial al trabajo a distancia de los últimos años.

Sin embargo, ahora que el trabajo a distancia llegó para quedarse, lo que sí sorprende a la mayoría de los especialistas en ciberseguridad es que muchas organizaciones (especialmente las empresas más pequeñas, que son las más vulnerables a este tipo de ataques) no hayan implementado prácticas básicas en materia de ciberseguridad para mantener sus sistemas protegidos contra el ataque Business Email Compromise, y otras formas más tradicionales de ciberataques orientados al correo electrónico.

Buenas prácticas para la seguridad del correo electrónico en pequeñas empresas

Las buenas prácticas de seguridad del correo electrónico para las pequeñas empresas son similares a las que se utilizan para las grandes organizaciones.

Protegen contra los tres tipos principales de ciberataques por correo electrónico:

• Estafas de suplantación de identidad (phishing);
• Ataques de suplantación de identidad con arpón (spear phishing);
• Facturas fraudulentas.

Empecemos por las medidas esenciales de seguridad del correo electrónico:

Las cuentas de correo electrónico empresarial son para las empresas

A pesar de que esto pueda parecer bastante simple y evidente, vale la pena recordarlo por si acaso. Como el trabajo es una parte importante de la vida de todos, puede resultar tentador usar tu correo electrónico empresarial para registrarte o iniciar sesión en determinados servicios a los que las cuentas personales no tienen acceso.

Sin embargo, el uso del correo electrónico de la empresa para las actividades personales en línea le permite a un estafador elaborar tu perfil más fácilmente, lo que podría dar lugar a un ciberataque mucho más dirigido.

Del mismo modo, si usas tu equipo personal o la conexión Wi-Fi de tu hogar, que no suelen ser tan seguras como una conexión de empresa o las máquinas personalizadas que se usan en el lugar de trabajo, los piratas informáticos tienen más posibilidades de robar las credenciales empresariales.

Esto también nos lleva a nuestra siguiente buena práctica.

No uses el correo electrónico empresarial en redes Wi-Fi públicas

Aunque uses el equipo seguro de la empresa para acceder a la cuenta de correo electrónico empresarial. Las redes Wi-Fi públicas son la puerta de enlace perfecta para que los piratas informáticos y los ciberdelincuentes se infiltren en el equipo y roben tus datos confidenciales.

Cuando no sea posible evitar el uso de una conexión pública, se recomienda usar una VPN para conectarse a los servidores empresariales importantes y mejorar la seguridad general de los endpoints.

Para que una red privada virtual (VPN) funcione, se crea un tipo de túnel privado cifrado entre el equipo remoto del usuario y los servidores específicos de la organización.

De esta manera, se protegerán todos los datos que envíes a través de una red no segura mediante cifrado en tiempo real. Para obtener más información sobre las VPN y su funcionamiento, consulta nuestro artículo, "¿Qué es una VPN?".

Frases de contraseña y contraseñas seguras

Cuando se trata de piratear una cuenta de correo electrónico de una empresa, el primer paso es el ataque de fuerza bruta a la cuenta y el intento de adivinar la contraseña o frase de contraseña. Por este motivo, se recomienda a todos los empleados que usen frases de contraseña y contraseñas seguras.

Se considera que una contraseña es segura cuando es lo suficientemente larga (entre 12 y 14 caracteres) y contiene una combinación de caracteres especiales, números, mayúsculas y minúsculas. Del mismo modo, las frases de contraseña seguras siguen casi las mismas reglas, excepto que deben tener entre 15 y 20 caracteres, y letras de otros idiomas (si es posible).

En cada caso, lo más importante es recordar que deben ser únicas y usarse solo para una aplicación. Esto significa que necesitarás varias de estas contraseñas o frases de contraseña, según la cantidad de sistemas que uses en el lugar de trabajo.

Por lo tanto, se recomienda usar un administrador de contraseñas o una bóveda de contraseñas, que también proporcionen un generador de contraseñas para crear contraseñas seguras, para almacenar todas tus contraseñas y frases únicas.

Aunque es posible piratear los administradores y las bóvedas, las contraseñas permanecerán seguras porque están cifradas. Descifrar el cifrado estándar de la industria, como el AES (Estándar de cifrado avanzado) de 256 bits, es casi imposible.

Por lo tanto, aunque los piratas informáticos consigan "entrar" en la bóveda, no podrán hacer nada con tus datos cifrados.

Capacitación sobre concienciación ante las estafas de suplantación de identidad (phishing) y los archivos adjuntos

Una de las formas más fáciles de proteger la empresa es invertir en una capacitación simple en ciberseguridad para todos los empleados.

Si esto no es una opción para tu empresa, se recomienda enseñar al personal los peligros de los ataques de estafa de suplantación de identidad (phishing) y de los archivos adjuntos de correo electrónico, también conocidos como archivos adjuntos maliciosos o contrabando de HTML.

Los principales puntos que deben tratarse son los siguientes:

• Concienciación sobre las estafas habituales de suplantación de identidad (phishing), como sitios web fraudulentos y ventanas de inicio de sesión que recopilan las credenciales del usuario e imitan ventanas emergentes de uso común, como la ventana de inicio de sesión de Microsoft Outlook.
• Conocimiento de los vectores de archivos adjuntos de correo electrónico más comunes en los que se puede ocultar el malware, como .DOCX, .HTML y .EXE. Además, se incluye una forma reciente y popular de ciberataque por correo electrónico conocida como contrabando de HTML.
• Advierte a tus empleados para que nunca hagan clic en ningún vínculo que parezca sospechoso o que proceda de un remitente desconocido. Los vínculos maliciosos son la forma más fácil que tienen los estafadores de llevar a cabo con éxito un ciberataque contra los empleados y la empresa, por lo general a través de algún tipo de sitio web de estafa de suplantación de identidad (phishing).

Habilita la autenticación de varios factores

Una práctica de seguridad cada vez más popular por su eficacia es la autenticación de varios factores.

A veces denominada MFA, autenticación de dos factores o 2FA, la autenticación de varios factores proporciona a las cuentas de correo electrónico empresarial varios niveles de verificaciones de seguridad antes de que un empleado tenga acceso a sus mensajes.

Por ejemplo, una contraseña adicional, un código de un SMS seguro o la respuesta a una pregunta de seguridad predeterminada.

No olvides cerrar sesión

Una vez más, esto puede parecer lo más obvio cuando se usa el correo electrónico laboral, pero es importante recordar que una gran cantidad de ataques de ciberseguridad comienzan con empleados descontentos que buscan hacer daño al negocio de un antiguo empleador.

Apropiarse de la cuenta de alguien y hacerse pasar por otro empleado es una de las formas más fáciles de cometer ciberdelitos y eludir la detección.

Así que, para evitar que tú o tus empleados se conviertan en sospechosos involuntarios, asegúrate de que todos en la empresa recuerden cerrar siempre la sesión y no compartir nunca sus datos de acceso entre ellos. 

Sistemas de análisis y protección de correo electrónico

Debido a la creciente complejidad de las amenazas de ingeniería social y los ciberataques relacionados con el correo electrónico, un sistema específico de análisis y protección del correo electrónico es la mejor defensa contra los archivos adjuntos maliciosos avanzados del correo electrónico y los ataques de script incrustado.

Recomendamos una solución antivirus automatizada que incluya aprendizaje automático y análisis de código estático, que evalúa el contenido real de un correo electrónico y no solo el tipo de archivo adjunto.

Para obtener una solución avanzada de ciberseguridad en línea, recomendamos Soluciones Kaspersky para pequeñas empresas. Nuestro paquete premium, un sistema galardonado para empresas y usuarios particulares, incluye asistencia remota y las 24 horas del día, los 7 días de la semana.

Protocolos y normas de seguridad del correo electrónico

Una de las formas más importantes de proteger el sistema de correo electrónico de la empresa es mediante la implementación de los protocolos de seguridad de correo electrónico correspondientes.

Por lo general, se consideran la primera línea de defensa contra los ciberataques relacionados con el correo electrónico, los protocolos de correo electrónico están diseñados para proteger las comunicaciones cuando se transmiten a través de los servicios de correo web.

Para que quede claro, los servidores de correo entregan mensajes de correo electrónico entre los clientes de correo de los destinatarios mediante protocolos de correo electrónico. Los protocolos indican al servidor cómo procesar y entregar los mensajes.

Los protocolos de seguridad verifican y autentican este proceso.

A continuación, se encuentran varios protocolos que pueden usarse para proteger el correo electrónico de la empresa.

• SPF: permite a los propietarios de dominios de correo electrónico identificar y verificar quién está autorizado para usar sus nombres de dominio al enviar correo electrónico.
• DMARC: permite a los propietarios de dominios recibir una notificación y responder cuando un mensaje no puede autenticarse.
• SMTPS y STARTTLS: cifran los intercambios de correo electrónico entre clientes y servidores.
• DKIM: permite vincular el usuario a una firma digital para su autenticación.
• S/MIME: define cómo cifrar y autenticar los datos formateados en MIME.
• OpenPGP: se basa en el marco Pretty Good Privacy y es un estándar de cifrado y autenticación para correos electrónicos.
• Certificados digitales: son una forma de verificar los datos del remitente mediante la titularidad de una clave pública.
• SSL/TLS: no se usa directamente en la seguridad del correo electrónico, pero cifra el tráfico de red entre servidores (incluidos los mensajes de correo web) porque se usa para HTTPS.

Muchos proveedores de clientes de correo electrónico populares usan SPF, DKIM y DMARC (configurados a través de los registros DNS) para proteger la privacidad de sus usuarios. Se recomienda implementar al menos estos tres elementos en el sistema de correo electrónico de la empresa.  

Cumplimiento, pautas y directivas de seguridad del correo electrónico

El cumplimiento, las pautas y las directivas de seguridad del correo electrónico definen las normas y regulaciones en torno al uso de las cuentas de correo electrónico de la empresa en un lugar de trabajo.

Cada uno de los puntos enumerados anteriormente debe ser una parte importante de las directivas de seguridad del correo electrónico de tu organización. Además, estas pautas también deben incluir normas sobre lo siguiente:

• Acceso de usuarios y uso de dispositivos.
• Tratamiento y almacenamiento de datos.
• Normas de reenvío, eliminación y conservación del correo electrónico.
• La extensión del alcance de las directivas, incluido el uso de la red y del sistema.
• Conducta ética y comportamiento adecuado.
• Cifrado de contraseñas y otras herramientas de seguridad que se usan en los clientes de correo electrónico.
• Material de capacitación en ciberseguridad relacionado con el malware de correo electrónico y cómo detectar archivos adjuntos, vínculos o mensajes fraudulentos.
• Supervisión del correo electrónico y prácticas de registro de empleados que lleva a cabo la empresa.
• Lugar y modo de denunciar malware, amenazas o contenidos ilegales recibidos por correo electrónico.

En resumen, toda organización, desde una pequeña empresa hasta una gran empresa corporativa, debe tener un Modelo de Cumplimiento de Seguridad (SCN) que establezca y defina claramente el tema anteriormente mencionado.

Estas pautas actuarán como un marco legal (que el gobierno nacional puede aplicar) que puede garantizar la privacidad y la seguridad de todo el contenido de los correos electrónicos de la empresa.

Esto es especialmente importante si se tiene en cuenta que los clientes y partners desconfían cada vez más de las empresas que no cumplen con las normas de comunicación digital.

En el panorama digital actual, el correo electrónico se considera indispensable para las empresas, tanto pequeñas como grandes, pero también es uno de los principales objetivos de los ciberdelincuentes.

A medida que el trabajo a distancia se hace más común, aumenta el riesgo de ciberataques relacionados con el correo electrónico.

Protege tu pequeña empresa sin complicaciones con Kaspersky Small Business Security, especialmente diseñado para satisfacer las necesidades de las pequeñas empresas.

Artículos relacionados:

• ¿Qué son los administradores de contraseñas? ¿Son seguros?
• ¿Cómo cifrar correos electrónicos en Outlook, Gmail, iOS y Yahoo?
• ¿Cómo detener los correos electrónicos spam: consejos y sugerencias?
• Correos electrónicos de suplantación de identidad (phishing): ¿cómo reconocer y evitar las estafas?

Productos recomendados:

• Kaspersky Security for Microsoft Office 365
• Kaspersky VPN Secure Connection
• Kaspersky Password Manager