top of page
Buscar
  • Foto del escritorCateryn Fárfan
    • 29 may 2023
    • 7 Min. de lectura

Banderas rojas: construyendo una cultura de ciberseguridad

Estimada comunidad en esta ocasión les traemos un listado de banderas rojas para reforzar los conocimientos en seguridad informática de los usuarios.

Cultura de Seguridad Informática, Phishing Simulado, Security Awareness Program Mexico, Panamá, Colombia
Security Awareness y Phishing Simulado | Nuvol Cybersecurity

A menudo, los ataques cibernéticos tienen como objetivo principal a los usuarios desprevenidos o poco informados, ya que suelen ser más susceptibles a caer en trampas o a cometer errores que pueden comprometer la seguridad de los sistemas, por ello realizamos una lista de banderas rojas para reforzar los conocimiento de los usuarios en las campañas de phishing simulado.


Lista de consejos para evitar se utilice correo corporativo en redes sociales:

  1. Conoce las políticas de uso: Familiarízate con las políticas de tu organización sobre el uso del correo corporativo y las redes sociales. Asegúrate de entender las restricciones y las recomendaciones establecidas.

  2. Utiliza una cuenta de correo personal: Configura una cuenta de correo electrónico personal para tus actividades en redes sociales u otros asuntos personales. Mantén una separación clara entre tu correo corporativo y tus cuentas personales.

  3. No mezcles información personal y profesional: Evita utilizar tu correo corporativo para registrarte en redes sociales o cuentas personales. No compartas información personal en tu correo corporativo y mantén tus actividades personales separadas de las relacionadas con el trabajo.

  4. Mantén la seguridad de tus contraseñas: Utiliza contraseñas fuertes y únicas para tus cuentas personales en redes sociales. No utilices la misma contraseña que usas para tu correo corporativo. Además, asegúrate de cambiar tus contraseñas regularmente y mantenerlas confidenciales.

  5. Sé consciente de los riesgos de seguridad: Comprende los riesgos asociados con el uso del correo corporativo para actividades personales en línea. El correo corporativo puede ser más susceptible a ataques de phishing y comprometer la seguridad de tu información personal y la de tu organización.

  6. Evita el acceso desde dispositivos de trabajo: Utiliza tus propios dispositivos personales para acceder a tus cuentas de redes sociales. Evita acceder a tus cuentas personales desde dispositivos de trabajo, ya que pueden estar sujetos a políticas de seguridad y monitoreo por parte de tu organización.

  7. Protege tu privacidad en redes sociales: Configura adecuadamente las opciones de privacidad en tus cuentas de redes sociales para mantener tu información personal segura. Limita la visibilidad de tus perfiles y publicaciones solo a las personas que deseas que tengan acceso a ellas.

  8. Mantén la confidencialidad de la información corporativa: Recuerda que el correo corporativo es propiedad de la empresa y puede ser monitoreado por razones de seguridad y cumplimiento. Evita enviar información confidencial o sensible a través de cuentas personales o redes sociales.

  9. Consulta las dudas con el departamento de IT: Si tienes dudas o preguntas sobre las políticas de uso del correo corporativo o las redes sociales, contacta al departamento de Tecnología de la Información (IT) de tu organización. Ellos podrán brindarte orientación y aclarar cualquier inquietud que puedas tener.


Lista de consejos para que un usuario detecte correos falsos de Microsoft

  1. Verifica el remitente del correo: Comprueba cuidadosamente la dirección de correo electrónico del remitente. Los correos legítimos de Microsoft Teams suelen provenir de direcciones con dominios oficiales como "@microsoft.com" o "@teams.microsoft.com". Ten cuidado con las direcciones que parecen sospechosas o que contienen errores ortográficos.

  2. Examina el contenido del correo: Revisa el contenido del correo electrónico en busca de cualquier indicio de sospecha. Los correos de phishing a menudo contienen errores gramaticales o de ortografía, un formato inusual o una redacción poco profesional. Desconfía de los correos electrónicos que parecen genéricos o que no están personalizados.

  3. No hagas clic en enlaces desconocidos: Evita hacer clic en enlaces incluidos en correos electrónicos sospechosos. Los estafadores de phishing pueden intentar redirigirte a sitios web maliciosos o engañarte para que ingreses tus credenciales de inicio de sesión. Siempre verifica la URL del enlace antes de hacer clic y asegúrate de que se corresponda con el dominio oficial de Microsoft Teams.

  4. No reveles información confidencial: No respondas a correos electrónicos que soliciten información personal o confidencial, como contraseñas, números de seguridad social o datos financieros. Microsoft Teams nunca te pedirá este tipo de información por correo electrónico. Siempre sospecha de cualquier solicitud de información sensible.

  5. Examina los archivos adjuntos con precaución: Si recibes un correo con un archivo adjunto, asegúrate de que sea de una fuente confiable antes de abrirlo. No abras archivos adjuntos sospechosos o de remitentes desconocidos, ya que podrían contener malware o virus.

  6. Desconfía de los mensajes urgentes o alarmantes: Los estafadores de phishing a menudo intentan generar una sensación de urgencia o miedo para que tomes acciones precipitadas. Si recibes un correo electrónico que te presiona para que tomes medidas inmediatas o que amenaza con consecuencias negativas si no respondes, mantén la calma y verifica la autenticidad del correo a través de canales oficiales antes de actuar.

  7. Utiliza autenticación de dos factores (2FA): Activa la autenticación de dos factores en tu cuenta de Microsoft Teams. Esto proporciona una capa adicional de seguridad y dificulta que los atacantes accedan a tu cuenta incluso si obtienen tus credenciales de inicio de sesión.

Nuestra estrategia para reforzar los conocimientos a los usuarios en una prueba simulada de phishing es configurar una plantilla inteligente con indicadores "banderas rojas" con el consejo para reforzar el conocimiento de los usuarios.


Al momento de dar clic, les arroja una página con los indicadores y tips de seguridad:

Security Awareness, Simulación de Phishing, Cultura de Seguridad Informática, KnowBe4, Banderas Rojas, Capacitación Empleados en Ciberseguridad Mexico, Panama, Colombia
Reforzamiento de Cultura Seguridad Informatica | Landing Page Inteligente de KnowBe4

Con esta técnica los usuarios analizan, piensan antes de hacer clic, convirtiéndose en un Firewall Humano. Esto lo realizó en una herramienta llamada KnowBe4


Tips para reconocer URL sospechosas con el fin de no caer en correos maliciosos

  1. Verifica la autenticidad del dominio: Observa cuidadosamente el dominio en la URL. Los dominios legítimos suelen ser reconocibles y estar relacionados con la empresa o la organización. Desconfía de los dominios que contienen errores ortográficos, caracteres extraños o variaciones sospechosas.

  2. Examina la estructura de la URL: Presta atención a la estructura de la URL. Los dominios legítimos suelen tener una estructura coherente, mientras que las URL sospechosas pueden tener segmentos aleatorios, cadenas de caracteres sin sentido o subdominios desconocidos.

  3. Comprueba la presencia de "https": Verifica si la URL comienza con "https://" en lugar de solo "http://". El "https" indica una conexión segura y encriptada, lo cual es importante para proteger la información confidencial. Si una URL sospechosa no tiene "https", es mejor no interactuar con ella.

  4. Ten cuidado con las URL acortadas: Las URL acortadas pueden ocultar la dirección real del sitio web. Si recibes una URL acortada en un correo electrónico o mensaje, utiliza herramientas de desacortamiento de URL para ver la dirección completa antes de visitar el enlace. Esto te permitirá evaluar si la URL es legítima o sospechosa.

  5. No confíes en enlaces incrustados en correos electrónicos no solicitados: Evita hacer clic en enlaces directamente desde correos electrónicos no solicitados o sospechosos. En su lugar, abre una nueva pestaña en tu navegador y escribe manualmente la dirección del sitio web legítimo para asegurarte de acceder al sitio correcto.

  6. Busca indicios de phishing en la URL: Examina la URL en busca de posibles indicios de phishing, como palabras clave engañosas, errores de ortografía o adiciones sospechosas. Los ciberdelincuentes a menudo utilizan dominios similares a los legítimos para engañar a los usuarios y hacer que parezca que están en un sitio web confiable.

  7. Confirma la autenticidad del sitio web de forma independiente: Si tienes dudas sobre la autenticidad de una URL, verifica la legitimidad del sitio web de forma independiente. Puedes hacerlo visitando el sitio web oficial de la empresa o utilizando motores de búsqueda confiables para buscar información sobre el dominio en cuestión.

Tips para no caer en correos internos ilegítimos de departamentos como RH, IT, Finanzas, etc.

  1. Verifica el remitente: Revisa cuidadosamente la dirección de correo electrónico del remitente. Comprueba si coincide con las direcciones de correo electrónico oficiales utilizadas por los departamentos de Recursos Humanos, IT o Finanzas de tu empresa. Desconfía de las direcciones de correo electrónico que parezcan sospechosas, que contengan errores ortográficos o que sean similares pero ligeramente diferentes a las legítimas.

  2. Examina la redacción y el estilo: Presta atención a la redacción y al estilo del correo electrónico. Los correos ilegítimos pueden contener errores gramaticales, ortográficos o frases inusuales. Los departamentos internos suelen utilizar un lenguaje claro y profesional en sus comunicaciones. Si algo en el correo electrónico parece extraño o fuera de lugar, sé cauteloso.

  3. No reveles información confidencial: Los correos electrónicos fraudulentos pueden solicitar información confidencial, como números de seguridad social, contraseñas o datos financieros. Los departamentos internos legítimos nunca te pedirán este tipo de información por correo electrónico. Nunca compartas datos personales o confidenciales a través de correo electrónico a menos que estés seguro de la autenticidad del remitente.

  4. Confirma la solicitud por otros medios: Si recibes un correo electrónico solicitando acciones inusuales o información sensible, comunícate con el departamento correspondiente por otros medios (como una llamada telefónica o una reunión en persona) para verificar la legitimidad de la solicitud. No confíes únicamente en la comunicación por correo electrónico, especialmente en situaciones delicadas.

  5. No hagas clic en enlaces o descargues archivos adjuntos sospechosos: Los enlaces o archivos adjuntos en correos electrónicos ilegítimos pueden contener malware o redirigirte a sitios web fraudulentos. Si recibes un correo con enlaces o archivos adjuntos sospechosos, evita hacer clic en ellos o abrir los archivos adjuntos. Siempre verifica la autenticidad de los enlaces y archivos adjuntos antes de interactuar con ellos.

  6. Utiliza la autenticación de dos factores (2FA): Activa la autenticación de dos factores en tus cuentas de correo electrónico y otros sistemas internos. Esto proporcionará una capa adicional de seguridad y dificultará que los atacantes accedan a tus cuentas incluso si obtienen tus credenciales de inicio de sesión.

  7. Mantente actualizado sobre las políticas y prácticas internas: Familiarízate con las políticas y prácticas internas de tu empresa en relación con la seguridad de la información y las comunicaciones internas. Esto te ayudará a identificar correos electrónicos sospechosos que puedan estar en contra de las políticas establecidas.

  8. Participa en programas de capacitación en seguridad: Aprovecha cualquier programa de capacitación en seguridad que ofrezca tu empresa. Estos programas te proporcionarán información actualizada sobre las tácticas de phishing y te enseñarán a reconocer correos electrónicos ilegítimos. Participar en estas capacitaciones puede ayudarte a estar más alerta y preparado para detectar correos electrónicos.

cultura de ciberseguridad, security awareness, KnowBe4, Seguridad Informatica,
Security Awareness KnowBe4 | Nuvol Cybersecurity Mexico, Panama, Colombia

Estás listo para tener tu Plan en Conciencia en Seguridad Informática

Escríbenos a info@cybernuvol.com


 

Nuvol México

Tel: +55 442 808 7788

Correo: info@cybernuvol.com

Dirección: Edificio City, No 11B, Blvd Manuel Avila Camacho, No 3130, Tlalnepantla, C.P 54020, CDMX


Nuvol Panamá

Tel. +507 6318 7739

Correo: cfarfan@cybernuvol.com

Dirección: Ciudad del Saber, Clayton, Panamá


Nuvol Colombia

Tel. +57 318 659 5343

Correo: info@cybernuvol.com

Dirección: Oficina We Work, Piso 5, Carrera 7 #116-50, Bogotá 110221


 




















bottom of page