¿Es posible evitar ataques a través de los mails? ¿Cómo?
¿Podemos evitar ataques a través del mail?
Se acaba el periodo vacacional y nos vemos obligados a regresar al redil: el trabajo. Ya sea que trabajemos “como antes” en los locales de la empresa o que sigamos teletrabajando desde casa, el uso del correo electrónico es una constante, tanto en nuestra vida profesional como personal.

En lo que va de año 2021, el número de ciberataques ha seguido aumentado, como se ha visto con varios ejemplos, en particular el caso del que ha sido víctima la empresa Kaseya, el pasado mes de julio y que tuvo repercusiones en miles de empresas en todo el mundo.
Desde el punto de vista de la empresa, una buena forma de limitar el ciberriesgo, está en asegurarnos que cumplimos con la normativa en temas de protección de datos de carácter personal, sobre todo las del RGPD. Además, es aconsejable que las empresas suscriban un seguro de ciberriesgo específico.
En este contexto, la AEPD (Agencia Española de Protección de Datos) publicó un artículo dándonos información y recomendaciones respecto de las “brechas de seguridad causadas a través del correo electrónico y las plataformas de productividad online”, que nos ha inspirado el presente texto.
Comenzaremos por recordar nociones de las que hemos hablado con anterioridad.
Uso de una técnica bien conocida: el phishing
Como bien nos lo recuerda la AEPD, un correo electrónico de phishing (del inglés pescar) o de spear phishing (phishing dirigido) suele ser la fuente de muchos ciberataques.
La agencia nos alerta sobre la principal técnica utilizada:
Se trata de comprometer una mensajería virtual vía un correo de phishing que invita al usuario a clicar en un enlace y, luego, a identificarse de nuevo. Esta segunda acción (clicar de nuevo para “identificarse”) permite que el atacante recupere nuestros datos de identificación y contraseña. Dejándonos así a merced de los ciberdelincuentes.
¿Cuáles son los riesgos de esos ciberataques?
La AEPD nos alerta con regularidad sobre los diversos riesgos relacionados con el phishing, tales como:
Exfiltración de los datos de la mensajería, ¿qué puede hacer el atacante?:
- Ejercer un chantaje;
- Saber más de los lazos que existen entre los trabajadores y/o sus clientes para atacarlos a través de una campaña de correos de phishing dirigidos…
Usurpación de nuestra identidad, lo que puede dar pie a:
- Explotación del directorio de contactos y clientes;
- Fraude al presidente (o CEO), dando una falsa orden de pago, transferencia, etc…
La agencia añade que los cibercriminales también pueden explotar esa funcionalidad de la mensajería que permite crear reglas automáticas para crear reglas fraudulentas y, por ejemplo, disimular los rastros del ataque.
¿Cómo reaccionar ante tales ataques?
La AEPD recomienda a los responsables de tratamiento seguir los siguientes pasos para limitar las consecuencias de este tipo de ataques:
- Comprender el origen del ataque;
- En caso de riesgo elevado para los datos, el responsable de tratamiento debe informar a las personas afectada por el ataque, lo antes posible (artículo 34 del RGPD);
- Si el ataque puede ser un riesgo para los derechos y libertades de las personas afectadas, el responsable de tratamiento debe documentar la violación y notificarla a la AEPD en un plazo máximo de 72h (artículo 33 del RGPD).
La AEPD aconseja a las víctimas de una estafa on line de:
- Notificar sobre esta estafa en su página web;
- Notificar a organismos de proximidad: APDCAT (Cataluña), Agencia Vasca de Protección de Datos (avpd@avpd.eus),Consejo de Transparencia y Protección de Datos de Andalucía.
- Denunciar en la plataforma habilitada para víctimas o testigos de delitos informáticos;
- Seguir los consejos sobre cómo actuar en casos de brecha de seguridad.
Recomendaciones de la AEPD y del INCIBE sobre seguridad de las Mensajerías
Debemos tener claro que para estar preparados ante cualquier de ataque a nuestra(s) mensajería(s) es necesario:
- Sensibilizar regularmente a los usuarios, pero también a los equipos de seguridad y de administración de las oficinas, a los riesgos y buenas prácticas respecto a los servicios de mensajería;
- Implementar medidas técnicas adaptadas.

Algunas recomendaciones más
5 reflejos que debemos tener siempre al recibir un correo:
- No tener confianza ciega en el nombre del remitente.
- Dudar de los adjuntos, siempre.
- Nunca responder a una petición de informaciones confidenciales, con los datos (siempre verificar).
- Pasar el ratón sobre los enlaces; tener cuidado con las letras acentuadas en el texto; con la calidad del castellano del texto, o del idioma practicado por nuestro interlocutor.
- Parametrizar correctamente el software de mensajería.
Recomendaciones para limitar la recepción de correos indeseables, usar:
- Mecanismos antispam, por ejemplo: usar listas de autorizaciones, prohibiciones definitivas o temporales de direcciones IP o de nombres de dominio;
- Mecanismos de detección de contenido
Hablando de contrasenyas
Siempre debemos procurar tener contraseñas seguras:
- Usar una contraseña única para cada servicio;
- Modificar sistemáticamente y lo antes posible las contraseñas por defecto cuando los sistemas las requieren;
- Renovar nuestras contraseñas con frecuencia;
- Escoger contraseña larga (al menos 12 caracteres), que mezcle; mayúsculas, minúsculas, cifras, caracteres especiales;
- Usar el método fonético, es decir utilizar una frase para construir la contraseña; por ejemplo “Erase una vez en el país de la oliva y el vino” se puede transformar en: €Uv*5pd10yev;
- No guardar las contraseñas en un fichero de un dispositivo informático particularmente expuesto a riesgos.
Sabemos que a menudo “una mensajería se ve inicialmente comprometida por el uso de una contraseña débil o usada con anterioridad en otro servicio en línea y que ya se ha visto comprometido”. El uso de una contraseña robusta aumenta la seguridad de las mensajerías.
Conclusión
En conclusión, para protegernos de los ataques a nuestras mensajerías y luchar contra esta forma de cibercriminalidad, siempre debemos implementar buenas prácticas y atenernos a ellas.
En ESCUDA, tenemos amplia experiencia en el manejo, configuración y mantenimiento de diferentes sistemas de mensajería y gestión de correos electrónicos. Unido con nuestra experiencia en ciberseguridad, disponemos del dúo ganador. Además, de haber desarrollado módulos de concienciación a la ciberseguridad para nuestros clientes.
¿Crees tener dudas a este respecto? ¿Necesitas ayuda para concienciar a tus equipos en la importancia de la (ciber)seguridad? ¿Necesitas conocer qué implicaciones tiene el RGPD para tu empresa? No dudes en contactarnos llamándonos al: 931 931 848 o rellenando este formulario.
Más información:
Phishing: ¿Cómo detectar correos que suplantan a la Agencia Tributaria?
Como denunciar un delito informático
Un mínimo Error, abre una Puerta a la Inseguridad
#escuda #AEPD #INCIBE #RGPD #Protecciondatospersonales #phishing #spearphising #ransomware #brechasdeseguridad #segurodeciberriesgo #fraudealCEO #seguridadmensajerias #contraseñasseguras