Pasar al contenido principal

Su negocio no puede permitirse perder tiempo, información ni dinero por un ataque cibernético. La FTC tiene las herramientas que necesita para protegerse. Vaya a las secciones a continuación para consultar consejos sobre ciberseguridad, recomendaciones para proteger su red, e información sobre cómo reconocer y proteger su negocio de ataques cibernéticos comunes.

 

Conceptos básicos de ciberseguridad

Proteja sus datos.

  • Actualice el software y haga copias de seguridad de los archivos con regularidad.
    • Establezca un cronograma para actualizar programas, aplicaciones, navegadores web y sistemas operativos. Active las actualizaciones automáticas.
    • Acostúmbrese a hacer copias de seguridad de archivos importantes con regularidad. Guarde sus copias de seguridad en la nube o en un disco duro externo.
  • Mantenga una sólida seguridad física.
    • Guarde los archivos de papel o los dispositivos electrónicos que contengan información confidencial en un gabinete o lugar cerrado con llave. Limite el acceso a este espacio a los empleados que lo necesiten.
    • Conserve únicamente los datos que necesite. Si no necesita documentos con datos confidenciales, tritúrelos antes de tirarlos. Si los datos están almacenados en un dispositivo, restablezca los ajustes de fábrica o use un software para borrarlos. No confíe únicamente en “eliminar” ya que eso no necesariamente elimina los archivos por completo.
    • Proteja los dispositivos con contraseñas sólidas y no los deje al descuido en lugares públicos.
  • Exija contraseñas sólidas para acceder a los dispositivos y a su red.
    • Una contraseña sólida tiene por lo menos 12 caracteres. Cuanto más extensa sea una contraseña, más sólida será. Es posible que le convenga usar una frase de acceso, o una serie de palabras separadas por espacios.
    • Nunca reutilice las contraseñas y no las comparta por teléfono, mensajes de texto ni por email.
    • Protéjase contra ataques de predicción de contraseñas (fuerza bruta) limitando la cantidad de intentos de inicio de sesión fallidos.
  • Codifique dispositivos, medios y datos.
    • Codifique los dispositivos y otros medios que contengan información personal confidencial. Esto incluye las computadoras portátiles, tablets, teléfonos inteligentes, discos extraíbles, cintas de copias de seguridad y soluciones de almacenamiento en la nube.
    • También asegúrese de codificar todos los datos confidenciales que envíe fuera de la compañía, por ejemplo, los datos que le envíe a un contador.
  • Use un sistema de autenticación de múltiples factores. Exija el uso de un sistema de autenticación de múltiples factores para proteger la información confidencial. El sistema de autenticación de múltiples factores requiere que los usuarios sigan algunos pasos adicionales para iniciar sesión además de ingresar una contraseña, por ejemplo:
    • Ingresar un código que aparece en una aplicación de autenticación en el teléfono inteligente del usuario y que caduca en pocos segundos, o ingresar un código de acceso único enviado al email del usuario.
    • Insertar una ficha de hardware (como un dispositivo USB que genera códigos temporarios) en la computadora de un usuario.
    • Usar una tarjeta inteligente, como una tarjeta de verificación de identidad personal (PIV).

Proteja su red inalámbrica.

  • Resguarde su enrutador. Después de instalar un enrutador, cambie el nombre y contraseña predeterminados, desactive la administración remota del aparato y desconéctese como administrador de la cuenta.
  • Para codificarlo, use como mínimo la codificación WPA2. Asegúrese de que su enrutador le ofrezca una codificación de tipo WPA2 o WPA3, y verifique que esté activada. La codificación protege la información que se envía a través de su red para que las personas ajenas a su negocio no puedan leerla.
  • Limite los dispositivos que pueden conectarse a su red. Limite el uso de la red principal de su negocio a los dispositivos operados, administrados o de propiedad del negocio.
    • Si necesita acceso a Wi-Fi para invitados, dispositivos personales de empleados o para el público, puede seguir las instrucciones paso a paso del portal de administración de su red para configurar una red “pública” separada.
  • Proteja su red con una contraseña. Inicie sesión en su portal de administración de Wi-Fi y cree una contraseña sólida para que el personal la use para conectarse a su red desde los dispositivos operados, administrados o de propiedad del negocio.

Haga que la seguridad inteligente sea algo habitual en su negocio.

  • Capacite a su personal. Cree una cultura de seguridad capacitando a sus empleados con una frecuencia regular.
    • Actualice la capacitación de sus empleados a medida que se entere de nuevos riesgos y vulnerabilidades.
    • Recuerde a los empleados que mantengan prácticas de seguridad cuando trabajen desde casa o en viajes de negocios, y asegúrese de que su personal sepa qué hacer si se pierden o roban equipos o archivos.
    • Haga un seguimiento de la participación de los empleados en las sesiones de capacitación y considere bloquear el acceso a la red a los empleados que no asistan a las sesiones de capacitación.
  • Tenga un plan de respuesta a incidentes. Desarrolle un plan para guardar los datos, seguir operando su negocio y notificar a los clientes en caso de que sufra una filtración de datos.

Marco de Ciberseguridad del NIST

El Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología, (NIST, por su sigla en inglés) ayuda a los negocios, cualquiera sea su tamaño, sector o antigüedad, a comprender, manejar y reducir mejor sus riesgos de ciberseguridad y a proteger sus redes y datos. La última versión del CSF 2.0 es gratuita, voluntaria y flexible. No es un enfoque único para todos, pero incluye un resumen de las mejores prácticas que lo pueden ayudar a decidir dónde invertir su tiempo y dinero.

Implemente el marco de ciberseguridad CSF 2.0 del NIST en estas seis áreas: gobernanza, identificación, protección, detección, respuesta y recuperación. Estas áreas, cuando se las considera en su conjunto, proporcionan una visión integral de la gestión del riesgo de ciberseguridad. Consulte la Guía de inicio rápido para pequeños negocios del marco de ciberseguridad CSF 2.0 del NIST y los recursos relacionados para obtener más información.

  1. Gobernanza. Establezca y supervise la estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de su negocio.
    • Comprenda cuáles son sus requisitos legales, regulatorios y contractuales de ciberseguridad, y también el modo en que los riesgos de ciberseguridad pueden obstaculizar el logro de la misión de su negocio.
    • Documente y realice un seguimiento de sus requisitos legales, regulatorios y contractuales de ciberseguridad.
    • Determine si el seguro de ciberseguridad es apropiado para su negocio.
    • Evalúe los riesgos de ciberseguridad que plantean los proveedores y otros terceros antes de entablar relaciones formales.
    • Elabore, comunique, actualice y haga cumplir la política de ciberseguridad de la compañía.
  2. Identificación. Comprenda de qué activos depende su compañía e identifique los riesgos de ciberseguridad.
    • Elabore, clasifique y mantenga un inventario del hardware, software, datos y servicios que utiliza su compañía, incluyendo computadoras portátiles, teléfonos inteligentes, dispositivos de puntos de venta, programas, aplicaciones y datos recopilados del personal y los consumidores.
    • Identifique y documente los riesgos de ciberseguridad para el negocio, los activos y las personas.
    • Evalúe la eficacia del programa de ciberseguridad del negocio para identificar áreas que necesitan mejoras.
    • Comunique los planes, políticas y mejores prácticas de ciberseguridad a todo el personal y a terceros relevantes.
    • Limpie, elimine y destruya de forma segura los datos y los dispositivos de almacenamiento de datos cuando ya no sean necesarios.
    • Elabore un plan de respuesta a incidentes de ciberseguridad.
  3. Protección. Implemente salvaguardas para prevenir o reducir los riesgos de ciberseguridad.
    • Controle quiénes acceden a su red y usan sus computadoras y otros dispositivos.
    • Exija el uso de un sistema de autenticación de múltiples factores para todos los empleados, contratistas y otras personas que accedan a su red y dispositivos.
    • Actualice los programas de seguridad con regularidad, en lo posible, automatice estas actualizaciones. Las actualizaciones de software pueden proporcionar correcciones de seguridad críticas y parches para las vulnerabilidades.
    • Limite el acceso a activos con datos confidenciales o críticos. Restrinja el acceso a la información confidencial únicamente a aquellos que la necesitan para hacer su trabajo.
    • Use programas de seguridad para proteger los datos.
    • Cambie las contraseñas predeterminadas del fabricante.
    • Codifique los datos confidenciales, tanto cuando estén almacenados o en tránsito.
    • Realice copias de seguridad de los datos con regularidad.
    • Capacite a todos los que usan sus computadoras, dispositivos y red para que puedan reconocer ataques comunes y realizar tareas básicas de higiene cibernética. Usted puede ayudar a los empleados a comprender su riesgo personal además de la función crucial que cumplen en el lugar de trabajo.
  4. Detección. Busque, encuentre y analice posibles ataques o vulnerabilidades de ciberseguridad.
    • Monitoree sus computadoras, dispositivos y software para detectar el acceso no autorizado.
    • Investigue cualquier actividad inusual en su red o por parte de su personal.
    • Revise su red para controlar si detecta usuarios o conexiones no autorizados.
  5. Respuesta. Implemente planes antes de que se produzca un incidente y esté preparado para ejecutarlos en coordinación con terceros relevantes según lo exijan las leyes, regulaciones o políticas mientras mantiene su negocio en funcionamiento. Implemente los siguientes planes y pruébelos con regularidad:
    • Plan de respuesta a incidentes: ¿Cómo responderá su negocio ante un incidente de seguridad?
    • Plan de recuperación ante desastres: ¿Cómo responderá su negocio ante un evento imprevisto y cómo reanudará sus operaciones?
    • Plan de continuidad del negocio: ¿Cómo seguirá operando su negocio durante y después de una interrupción?
  6. Recuperación. Después de un ataque, restaure los activos y las operaciones que se vieron afectados por un incidente de ciberseguridad.
  • Mantenga informados a sus empleados, clientes y otras partes interesadas de sus actividades de respuesta y recuperación.
    • Actualice su política y plan de ciberseguridad en base a las lecciones aprendidas.

Autenticación de email

Algunos proveedores de servicios de alojamiento web le permiten configurar el email comercial de su negocio usando su nombre de dominio (que es lo que puede pensar como el nombre de su sitio web). Por ejemplo, su nombre de dominio podría ser algo como sunegocio.com y email podría ser algo como nombre@sunegocio.com. Si no se establecen protecciones, los estafadores pueden usar su nombre de dominio para enviar emails de tipo phishing que parecen provenir de su negocio.

Usted puede ayudar a proteger su negocio y a sus clientes mediante el uso de tecnología de autenticación de email, lo que hace que sea mucho más difícil para los estafadores falsificar el email de su compañía. Esta tecnología permite que un servidor receptor verifique los emails de su compañía. Bloquea los emails de los impostores o los envía a una carpeta de cuarentena para su posterior revisión.

Qué saber.

  • Si el email de su negocio usa el nombre de dominio de su compañía, asegúrese de que su proveedor de servicio de email tenga las siguientes tres herramientas de autenticación de email:
    • Sender Policy Framework (SPF). SPF verifica que un servidor de correo tenga permiso para enviar emails para un dominio determinado.
    • Domain Keys Identified Mail (DKIM). DKIM coloca una firma digital en el correo saliente para que los servidores puedan verificar que un email de su dominio fue enviado desde los servidores de su organización y no fue manipulado en tránsito.
  • Domain-based Message Authentication, Reporting & Conformance (DMARC). DMARC es la tercera herramienta esencial para la autenticación de email. SPF y DKIM son herramientas que verifican el domicilio que usa el servidor “detrás de escena”. DMARC verifica que este domicilio corresponda al domicilio del remitente, o “de”, que usted ve. También les indica a otros servidores lo que deben hacer cuando reciben un email que parece provenir de su dominio, pero el servidor receptor tiene motivos para identificarlo como sospechoso (según lo que indica SPF o DKIM). Usted puede establecer que los servidores receptores rechacen el email, lo marquen como spam o que no tomen ninguna acción. También puede configurar la herramienta de autenticación de email DMARC para que lo notifiquen cuando suceda.
  • Para configurar estas herramientas para que funcionen según lo previsto y no bloqueen los emails legítimos, hay que tener cierto nivel de experiencia técnica. Escoja un proveedor de servicio de email que pueda configurarlas en caso de que usted no tenga los conocimientos técnicos necesarios.

Qué hacer si su email sufre un ataque de suplantación.

La autenticación de email le permite saber si alguien falsifica el email de su compañía. Si recibe una notificación que le indica que su email ha sufrido un ataque de suplantación:

  • Repórtelo. Reporte la estafa a las autoridades de seguridad locales, al Centro de Quejas de Delitos en Internet del FBI en ic3.gov (disponible en inglés), y a la FTC en ReporteFraude.ftc.gov. También puede reenviar los emails phishing a reportphishing@apwg.org (un domicilio electrónico utilizado por el Grupo de Trabajo Anti-Phishing, que incluye proveedores de servicios de internet, proveedores de productos y servicios de seguridad, instituciones financieras y agencias a cargo del cumplimiento de la ley).
  • Notifique a sus clientes. Si descubre que hay estafadores que se hacen pasar por su negocio, infórmeselo a sus clientes a la brevedad posible. Si notifica a sus clientes por email, no incluya hipervínculos. No es conveniente que envíe una notificación por email que parezca una estafa de phishing. Recuérdeles a sus clientes que no compartan ninguna información personal por email o mensaje de texto. Si le robaron los datos de sus clientes, dígales que visiten el sitio web RobodeIdentidad.gov para conseguir un plan de acción para recuperarse.
  • Alerte a su personal. Instruya a su personal sobre cómo responder a los clientes. Aproveche esta oportunidad para actualizar sus prácticas de seguridad y capacitar a su personal acerca de las amenazas cibernéticas.

Cómo contratar un proveedor de servicio de alojamiento web

Ya sea que esté optimizando un sitio web o lanzando un nuevo negocio, hay varias opciones de alojamiento web disponibles. Al comparar servicios, priorice la seguridad.

¿En qué hay que fijarse?

  • Transport Layer Security (TLS). El servicio que escoja debería incluir la última versión de TLS, que es una tecnología que ayudará a proteger la privacidad de sus clientes. Cuando la tecnología TLS se implementa correctamente, su URL comenzará con https://. La tecnología TLS también ayuda a garantizar la codificación de la información enviada a su sitio web. Esto es especialmente importante si les pide información confidencial a sus clientes, como números de tarjetas de crédito o contraseñas.
  • Autenticación de email. Algunos proveedores de servicio de alojamiento web le permiten configurar el email comercial de su negocio usando su nombre de dominio. Si no tiene un sistema de autenticación de email, los estafadores pueden apropiarse de su nombre de dominio y enviar emails que parecen enviados desde su negocio.
    • Cuando el email de su negocio esté configurado utilizando el nombre de dominio de su compañía, asegúrese de que su proveedor de alojamiento web pueda brindarle estas tres herramientas de autenticación de email: Sender Policy Framework (SPF); Domain Keys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting & Conformance (DMARC).
    • Algunos servicios de email muy conocidos, como Outlook o Gmail, garantizan que el sistema de email cuenta con los métodos de autenticación SPF, DKIM y DMARC.
  • Actualizaciones de programas. Muchos proveedores de servicio de alojamiento web ofrecen sitios web prediseñados o paquetes de programas software diseñados para facilitar y acelerar el establecimiento del sitio web de su compañía. Al igual que con cualquier otro software, es esencial que use las últimas versiones con los parches de seguridad actualizados. Asegúrese de saber cómo mantener actualizado el software del sitio web.
  • Administración del sitio web. Aclare desde el principio quién administrará el sitio web después de que se establezca. Si su sitio web es administrado por un proveedor de servicio de alojamiento web, es posible que tenga que recurrir a ese proveedor para hacer cualquier cambio.

¿Qué preguntar?

Al contratar un proveedor de alojamiento web, tenga en cuenta estas preguntas:

  • ¿El plan de alojamiento web incluye tecnología TLS? ¿Está incluida gratuitamente o hay que pagarla como un adicional? ¿Lo instalará usted o el proveedor lo ayudará a instalarlo?
  • ¿Qué prácticas o tecnologías de seguridad se utilizan para garantizar que su sitio web sea seguro?
  • ¿Las versiones de software más actualizadas están disponibles con el servicio, y el proveedor mantendrá actualizado el software? Si usted es el responsable de mantener el software actualizado, ¿lo puede hacer fácilmente?
  • Si utiliza al proveedor de alojamiento web como proveedor de email, ¿el email de su negocio puede usar el nombre del sitio web de su negocio? En ese caso, ¿el proveedor puede ayudarlo a instalar las tecnologías de autenticación de email SPF, DKIM y DMARC?
  • Después de establecer el sitio web, ¿quién podrá hacer cambios? ¿Tendrá que recurrir al proveedor? ¿Podrá conectarse al sistema y hacer los cambios por su cuenta? Si puede conectarse al sistema para hacer cambios, ¿está disponible la autenticación de múltiples factores?
  • ¿El proveedor ha tenido alguna filtración de datos recientemente? Si así fuera, ¿cómo los manejó?
  • Si su sitio web recopila datos de los visitantes, ¿dónde se almacenan esos datos? ¿Están codificados? ¿Quién puede acceder a ellos?
  • ¿A quién hay que contactar en caso de actividad sospechosa en un sitio web?

Seguridad de los proveedores

Es posible que los proveedores de su negocio tengan acceso a información confidencial sobre su negocio o clientes. Asegúrese de que estén tomando las medidas necesarias para proteger sus propias computadoras y redes.

Cómo monitorear a sus proveedores.

  • Póngalo por escrito. Establezca disposiciones de seguridad en los contratos con sus proveedores, incluyendo planes para evaluar y actualizar los controles en respuesta a amenazas cambiantes.
    • Si hay estándares de seguridad específicos que desea que siga su proveedor, sea específico en su contrato y establezca términos no negociables.
    • Considere cómo desea que sus proveedores manejen los datos, incluyendo cómo pueden usarlos, compartirlos o venderlos, durante cuánto tiempo pueden conservarlos y los procedimientos para su eliminación.
  • Verifique el cumplimiento. Establezca procesos para confirmar que los proveedores cumplen sus reglas. No se limite a creer en su palabra. Una buena manera de confirmar el cumplimiento puede ser encargar una evaluación a un tercero.
  • Haga cambios según sea necesario. Las amenazas que afectan la ciberseguridad cambian rápidamente. Asegúrese de que los proveedores mantengan su seguridad actualizada.

Cómo proteger su negocio.

  • Controlar el acceso. Establezca controles en las bases de datos con información confidencial. Limite el acceso según lo que sea necesario que sepa cada proveedor, y sólo por la cantidad de tiempo que el proveedor lo necesite para hacer el trabajo. Considere crear una base de datos separada que solo contenga los puntos de datos que el proveedor necesita para evitar que acceda a otra información confidencial.
  • Proteja sus datos. Use una codificación sólida y correctamente configurada. Esto protege la información confidencial en el proceso de transferencia y almacenamiento.
  • Proteja su red. Exija contraseñas seguras, cuanto más largas, más seguras. Es posible que le convenga usar una frase de acceso, o una serie de palabras separadas por espacios. Nunca reutilice las contraseñas, no las comparta y limite la cantidad de intentos fallidos de inicio de sesión para restringir los ataques de predicción de contraseñas.
  • Use un sistema de autenticación de múltiples factores. Exija a los proveedores que tomen medidas adicionales además de simplemente iniciar sesión con una contraseña para acceder a su red (aplicaciones de autenticación, códigos de acceso únicos, fichas, tarjetas PIV, etc.).

Qué hacer si un proveedor sufre un incidente de ciberseguridad.

  • Comuníquese con las autoridades y reporte el incidente a la entidad de regulación del sector pertinente. Reporte inmediatamente el ataque a su departamento de policía local. Si no están familiarizados con las investigaciones de compromisos de información, establezca contacto con su oficina local del FBI. También reporte el ataque a su entidad de regulación del sector.
  • Confirme que el proveedor repare el problema. Dependiendo de la gravedad del incidente, es posible que desee interrumpir el acceso hasta que el proveedor solucione las vulnerabilidades y garantice que su información estará segura. Investigue su red para confirmar que el responsable de la amenaza no haya usado al proveedor para obtener acceso no autorizado.
  • Notifique a los clientes. Si se filtraron datos o información personal de sus clientes, asegúrese de notificar a las partes afectadas para que puedan protegerse contra el robo de identidad. Para más información, consulte la guía para negocios de la FTC sobre cómo responder a una filtración de datos: Data Breach Response: A Guide for Business (disponible en inglés). Puede encontrar esta guía y otros recursos en ftc.gov/DataBreach (disponible en inglés).

Seguro de ciberseguridad

Recuperarse después de un ataque cibernético puede ser costoso. El seguro de ciberseguridad puede ayudarlo a proteger su negocio contra las pérdidas causadas por un ataque cibernético. Si está considerando comprar un seguro de ciberseguridad, analice con su agente de seguros cuál es la póliza que mejor se adapta a las necesidades de su compañía, incluyendo si usted tendría que optar por una cobertura primaria, cobertura de terceros, o ambas.

Encuentre información en el sitio web de la Asociación Nacional de Comisionados de Seguros (seleccione “Spanish” en el menú desplegable “Select Language”) y tenga en cuenta estos consejos:

  • Cobertura. Asegúrese de que cualquier póliza que esté considerando le brinde cobertura adicional a la de otros seguros aplicables que ya tenga.
    • Su póliza debe cubrir diferentes tipos de ataques cibernéticos, incluyendo intrusiones a la red, robo de información personal y ataques contra datos en poder de proveedores y terceros.
    • Confirme que su póliza cubrirá ataques que provengan tanto de fuera como de dentro de los Estados Unidos y ataques terroristas.
  • Conozca los detalles. Comprenda los detalles de su cobertura, incluyendo si su proveedor de seguro de ciberseguridad:
  • Lo defenderá en una demanda legal o investigación regulatoria (busque la expresión “obligación de defensa”).
    • Lo ayudará a pagar las exigencias de rescate en caso de ataques de ransomware.
  • Le ofrecerá una línea telefónica directa para filtraciones de datos disponible todos los días del año durante las 24 horas del día.
  • ¿Necesita cobertura primaria? La cobertura primaria protege sus datos, incluida la información de sus empleados y clientes. Por lo general, esta cobertura incluye los costos del negocio que están relacionados con lo siguiente:
    • Asesoramiento legal para determinar sus obligaciones regulatorias y de notificación.
    • Recuperación y reemplazo de los datos perdidos o robados.
  • Notificación a los clientes y servicios de centros de atención de llamadas.
  • Pérdida de ingresos debido a la interrupción del negocio.
  • Manejo de crisis y relaciones públicas.
  • Extorsión y fraude cibernético.
  • Servicios forenses para investigar la filtración de datos.
  • Cargos, multas y penalidades relacionadas con el incidente cibernético.
  • ¿Necesita cobertura de terceros? Por lo general, la cobertura de terceros lo protege de su responsabilidad si un tercero entabla reclamos en su contra. Esta cobertura generalmente incluye:
    • Pagos a las personas afectadas por la filtración.
    • Gastos de reclamaciones y acuerdos relacionados con las disputas o demandas legales.
  • Pérdidas relacionadas con la difamación e infracciones de derecho de autor o marcas registradas.
  • Costos de litigio y respuesta a investigaciones regulatorias.
  • Otros acuerdos, daños y sentencias.
  • Costos contables.

Ataques cibernéticos comunes

Tomar las medidas necesarias para asegurarse de reconocer las señales y saber qué hacer cuando se enfrenta con ataques cibernéticos comunes es una primera línea de defensa importante para su negocio. A continuación, se listan algunos consejos para proteger su negocio y capacitar a sus empleados.

Phishing

Recibe un email que parece enviado por alguien que usted conoce. Pareciera que el email se lo envió uno de los proveedores de su compañía y le dicen que haga clic en un enlace para actualizar la cuenta de su negocio. ¿Debería hacer clic? ¿O quizás podría parecer un email enviado por su jefe en el cual le pide la contraseña de su red? ¿Debería responder? En cualquiera de los casos, la respuesta es probablemente no. Estos pueden ser intentos de phishing o pesca de información.

  • Cómo funciona el phishing.
    • Usted recibe un email o mensaje de texto. Parece que se lo envió alguien que usted conoce, y le pide que haga clic en un enlace, o que le dé su contraseña, número de cuenta bancaria de su negocio u otra información confidencial.
    • Parece real. Es fácil falsificar logotipos y establecer domicilios de email falsos. Los estafadores usan nombres de compañías que suenan familiares o se hacen pasar por alguien que usted conoce.
    • Es urgente. En el mensaje lo presionan para que actúe de inmediato, o, de lo contrario sucederá algo malo.
    • ¿Qué sucede después? Si usted hace clic en un enlace, descarga un archivo adjunto o responde, podrían suceder diferentes cosas.
      • Los estafadores podrían instalar un programa de rescate o ransomware, o algún otro tipo de programa que puede bloquear sus datos impidiéndole acceder a ellos y diseminar ese bloqueo a la toda la red. Si usted comparte las contraseñas, a partir de ese momento los estafadores tendrán acceso a todas esas cuentas.
      • Desde un enlace se podría abrir una página web maliciosa que parece legítima y donde le solicitan información confidencial, como credenciales de acceso o información bancaria. Si usted comparte esa información, los estafadores ya tienen acceso.
  • Lo que puede hacer. Antes de hacer clic en un enlace, descargar un archivo o compartir cualquiera de los datos confidenciales de su negocio, haga lo siguiente:
    • Verifíquelo. Busque el sitio web o número de teléfono de la compañía o persona que está detrás del mensaje de texto o email. Asegúrese de que se está comunicando con la verdadera compañía y que no está a punto de descargar un programa malicioso o hablar con un estafador.
      • Revise el email para verificar que la ortografía, la puntuación y el espaciado estándar sean correctos. A veces, hay errores evidentes que pueden indicar que se trata de un email potencialmente malicioso.
      • Si hace clic derecho en el domicilio de email del remitente, podrá ver su dirección de email real y verificar si hay una suplantación. Si lo que ve no aparenta ser un domicilio de email válido de una compañía, eso puede ser una señal de alerta.
      • Pase el cursor sobre los enlaces antes de hacer clic. El URL aparecerá cerca del ratón o en la esquina inferior izquierda del panel de lectura. Esto lo puede ayudar a determinar la legitimidad del email.
      • Si se le solicita que inicie sesión en su cuenta o portal de clientes, no use el enlace proporcionado en el email o mensaje de texto que recibió. En su lugar, vaya al sitio web de la compañía por su cuenta e inicie sesión para ver su cuenta.
      • Busque las políticas de seguridad de la compañía. Por motivos de seguridad, hay ciertos tipos de datos que la mayoría de las compañías nunca solicitarán a sus clientes por teléfono o email.
    • Hable con alguien. El hecho de hablar con un colega o amigo lo podría ayudar a sacar en claro si ese es un pedido auténtico o un intento de phishing.
    • Si tiene dudas, haga una llamada. Levante el teléfono y llame a ese proveedor, colega o cliente que le envió el email. Confirme que realmente necesitan la información solicitada. Use un número de teléfono que le conste que es el correcto en lugar de llamar al número que figura en el email o mensaje de texto.
  • Cómo proteger su negocio.
    • Haga copias de seguridad de sus datos. Haga copias de seguridad de sus datos con regularidad y asegúrese que esas copias de seguridad no estén conectadas a la red. De ese modo, si sufre un ataque de phishing y los piratas informáticos acceden a su red, usted puede restaurar sus datos. Incorpore las copias de seguridad de datos a las operaciones de rutina de su negocio.
    • Mantenga actualizados todos sus sistemas de seguridad. Instale siempre los parches de seguridad y actualizaciones más recientes. Use otras herramientas de seguridad, como autenticación de email y software de prevención de intrusiones, y active las actualizaciones automáticas cuando pueda hacerlo.
    • Alerte a su personal. Los estafadores de phishing cambian sus tácticas a menudo, así que asegúrese de incluir consejos para detectar las últimas estafas en su capacitación regular. Considere realizar simulaciones de phishing para asegurarse de que su personal esté preparado. Las compañías como Microsoft y KnowBe4 tienen simuladores de phishing gratuitos en internet.
    • Despliegue una red de seguridad y ofrézcales a los empleados una forma de reportar incumplimientos. Use tecnología de autenticación de emails para ayudar a prevenir que los emails de tipo phishing lleguen a los buzones de entrada de email de la compañía. Asegúrese de que los empleados sepan cómo reportar emails de tipo spam o phishing si reciben comunicaciones que consideran que pueden ser sospechosas.
  • Puede establecer una serie de instrucciones para que los empleados sigan cuando se enfrenten a una estafa de phishing:
    • Alerte a los demás. Hable con sus colegas y comparta su experiencia. Los ataques de phishing suelen afectar a más de una persona dentro de una compañía.
    • Limite los daños. Cambie inmediatamente cualquier contraseña comprometida y desconecte de la red toda computadora o dispositivo que esté infectado con un programa malicioso.
    • Siga los procedimientos de su compañía. Esto puede incluir la notificación de personas específicas de su organización o contratistas que lo ayudan con las tareas de tecnología de la información.
    • Notifique a los clientes. Si se filtraron datos o información personal de sus clientes, asegúrese de notificar a las partes afectadas. Podrían correr riesgo de robo de identidad. Busque información sobre cómo hacerlo en la guía para negocios de la FTC sobre cómo responder a una filtración de datos: Data Breach Response: A Guide for Business (disponible en inglés).
    • Repórtelo. Reenvíe los emails phishing a reportphishing@apwg.org (un domicilio electrónico utilizado por el Grupo de Trabajo Anti-Phishing, que incluye proveedores de servicios de internet, proveedores de productos y servicios de seguridad, instituciones financieras y agencias a cargo del cumplimiento de la ley). Infórmele lo sucedido a la compañía o a la persona cuyo nombre fue usado para perpetrar la estafa de phishing. Y repórtelo a la FTC en ReporteFraude.ftc.gov.

Ransomware

Una persona de su compañía recibe un email. Parece legítimo, pero con sólo hacer clic en un enlace o descargar un archivo adjunto, todos se quedan bloqueados fuera de la red. Desde el enlace se descargó un programa que secuestra los datos y los retiene como rehén. Este email de tipo phishing provocó un ataque de programa de rescate o ransomware.

En un ataque de ransomware, los delincuentes cibernéticos piden dinero o criptomonedas. Aunque pague, los atacantes pueden quedarse con sus datos o destruir sus archivos. Con la información que usted necesita para operar su negocio y los datos confidenciales de sus clientes, sus empleados y su compañía en manos de los delincuentes, un ataque de ransomware puede causar graves daños.

  • Cómo sucede. Los delincuentes cibernéticos inician ataques de ransomware de diferentes maneras.
    • La mayoría de los ataques de ransomware comienzan con emails fraudulentos o de tipo phishing con enlaces y archivos adjuntos que ponen en riesgo sus datos y su red.
    • Los delincuentes cibernéticos también pueden aprovechar las vulnerabilidades del servidor para acceder a su red.
    • Desde sitios web infectados se pueden descargar automáticamente programas maliciosos en su computadora.
    • Los anuncios en internet pueden contener un código malicioso, incluso en sitios web conocidos y en los que confía.
    • Los protocolos diseñados para proporcionar acceso remoto a las computadoras, como el protocolo de escritorio remoto (RDP) y la computación en red virtual (VNC), pueden permitir que los delincuentes cibernéticos obtengan acceso a las computadoras para descargar un programa malicioso.
  • Cómo proteger su negocio.
    • Implemente un plan para mantener su negocio en funcionamiento después de un ataque de ransomware y compártalo con todos los que necesiten saberlo.
    • Guarde con regularidad los archivos importantes y una copia de seguridad completa de sus sistemas (archivos, programas, sistema operativo actual) en una unidad o servidor que no esté conectado a su red.
    • Mantenga actualizada su seguridad. Instale los últimos parches y actualizaciones y use medios de protección adicionales como autenticación de email y software de prevención de intrusiones. En lo posible, configure todo para que se actualice automáticamente.
    • Enséñele a su personal cómo evitar las estafas de phishing y muéstreles algunas de las maneras más comunes en que se infectan los dispositivos y las computadoras. Incluya consejos en sus sesiones regulares de orientación y capacitación para detectar los ataques de programas de rescate (ransomware) y para protegerse contra ellos.
  • ¿Qué hacer si lo atacan?
    • Limite los daños. Desconecte inmediatamente los dispositivos infectados de su red sin apagarlos. Si apaga los dispositivos es posible que se pierda cierta información útil para la investigación.
    • Inicie una investigación. Emplee personal experimentado en tecnología de la información o ciberseguridad o contrate una compañía de ciberseguridad externa para investigar la filtración de datos. La investigación debe determinar quién es el pirata informático, cómo obtuvo acceso, a qué datos o sistemas accedió y otros detalles relevantes. El equipo de investigación también lo puede ayudar a poner en cuarentena las computadoras afectadas de la red, para que el resto de su red esté protegida. El equipo también debería poder ayudar con las actividades de mitigación, incluida la reparación de la vulnerabilidad o problema que permitió que el pirata informático se infiltrara en el sistema de la compañía.
    • Comuníquese con las autoridades. Reporte el ataque a la oficina local del FBI y a la entidad de regulación del sector correspondiente.
    • Mantenga su negocio en funcionamiento. Ahora es el momento de implementar ese plan que elaboró. El hecho de tener copias de seguridad de sus datos lo ayudará.
    • Considere cómo manejar las exigencias de rescate. Las autoridades no recomiendan pagar un rescate, pero es usted quien debe determinar si los riesgos y costos de pagar justifican la posibilidad de recuperar sus archivos o de que se exponga información confidencial. Recuerde que el hecho de pagar el rescate no le garantiza la recuperación de sus datos. Si su compañía hace copias de seguridad y almacena sus datos fuera de la red con regularidad, puede restaurar los archivos a partir de esas copias de seguridad.
    • Notifique a los clientes. Si hubo una filtración de datos o información personal, asegúrese de notificar a las partes afectadas. Podrían correr riesgo de robo de identidad. Busque información sobre cómo hacerlo en la guía para negocios de la FTC sobre cómo responder a una filtración de datos: Data Breach Response: A Guide for Business (disponible en inglés).

 Impostores de emails de negocios.

Un estafador establece un domicilio de email que parece ser de su compañía. Entonces, el estafador envía mensajes usando ese domicilio de email. Esta práctica se llama ataque de suplantación, spoofing en inglés, y el estafador es lo que llamamos un impostor de emails de negocios.

Los estafadores hacen esto para conseguir credenciales de acceso, como nombres de usuario, contraseñas y números de cuentas o para lograr que alguien les envíe dinero. Si sucede, su compañía tiene mucho que perder.

  • Cómo proteger su negocio.
    • Use un sistema de autenticación de email. Cuando establezca el sistema de email de su negocio, asegúrese de que el proveedor servicio de email le ofrezca tecnología de autenticación de email. De esa manera, cuando envíe un email desde el servidor de su compañía, los servidores receptores pueden confirmar que el email fue realmente enviado por usted. De lo contrario, los servidores que reciben sus emails pueden bloquearlo e impedir un incidente de impostor de emails de negocios.
    • Mantenga actualizada su seguridad. Instale siempre los parches de seguridad y actualizaciones más recientes. Configúrelos para que se actualicen automáticamente. Use otras herramientas y tecnología de ayuda, como un software de protección contra intrusiones, que vigila la actividad sospechosa en su red y le envía alertas si encuentra alguna actividad sospechosa.
    • Capacite a su personal. Enséñele a su personal cómo evitar las estafas y muéstrele algunas de las maneras más comunes en que los atacantes pueden infectar las computadoras y dispositivos con un programa malicioso. Incluya consejos para detectar las amenazas cibernéticas y protegerse contra ellas en sus sesiones de capacitación y comunicaciones regulares.
    • Implemente políticas de verificación. Establezca políticas internas para verificar determinadas solicitudes. Por ejemplo, pida a sus empleados que llamen y confirmen las solicitudes de transferencias bancarias que reciben por email.
    • Ofrézcale a la gente una manera de reportar problemas. Incluya pasos en su sitio web que las personas puedan seguir para verificar si un email proviene de su compañía o para reportar un email de la compañía falsificado.
  • Qué hacer si alguien falsifica su email.
    • Repórtelo. Reporte la estafa a las autoridades de seguridad locales, al Centro de Quejas de Delitos en Internet del FBI en ic3.gov (disponible en inglés), y a la FTC en ReporteFraude.ftc.gov. Reenvíe los emails phishing a reportphishing@apwg.org (un domicilio electrónico utilizado por el Grupo de Trabajo Anti-Phishing, que incluye proveedores de servicios de internet, proveedores de productos y servicios de seguridad, instituciones financieras y agencias a cargo del cumplimiento de la ley).
    • Notifique a sus clientes. Si descubre que hay estafadores que se hacen pasar por su negocio, infórmeselo a sus clientes a la brevedad posible. Si notifica a sus clientes por email, no incluya hipervínculos. No es conveniente que envíe una notificación por email que parezca una estafa de phishing. Recuérdeles a sus clientes que no compartan ninguna información personal por email o mensaje de texto. Si le robaron los datos de sus clientes, dígales que visiten el sitio web RobodeIdentidad.gov para conseguir un plan de acción para recuperarse.
    • Alerte a su personal. Aproveche esta oportunidad para actualizar sus prácticas de seguridad y capacitar a su personal acerca de las amenazas cibernéticas.

Estafas de soporte técnico.

Usted recibe una llamada, un mensaje de tipo pop-up o un email y le dicen que hay un problema con su computadora o dispositivo. Detrás de estos mensajes y alertas suelen estar los estafadores. Quieren su dinero, su información personal o acceso a sus archivos. Esto puede dañar su red, poner en riesgo sus datos y perjudicar a su negocio.

  • Cómo funciona la estafa. Los estafadores pueden hacerse pasar por técnicos de una compañía tecnológica reconocida, por ejemplo, Microsoft. Usan términos técnicos para convencerlo de que su computadora tiene problemas. Le pueden pedir que abra algunos archivos o que escanee su computadora, y luego le dicen que esos archivos o los resultados del escaneo indican un problema... pero no hay ningún problema. Entonces, es posible que los estafadores:
    • Le pidan que les permita acceder a su computadora de manera remota, con lo cual pueden acceder a toda la información almacenada en la computadora y en cualquier red a la que esté conectada.
    • Intenten inscribirlo en un programa inservible de garantía o de mantenimiento de computadoras.
    • Le instalen un programa malicioso que les permite acceder a su computadora y datos confidenciales, como nombres de usuario y contraseñas.
    • Intenten venderle software o servicios de “reparación” y luego le pidan información de su tarjeta de crédito para poder facturarle.
    • Le indiquen que vaya a sitios web e ingrese la información de su tarjeta de crédito, cuenta bancaria y demás información personal.
  • Cómo proteger su negocio.
    • Si recibe una llamada y le dicen que su computadora tiene un problema, cuelgue el teléfono. Una llamada inesperada de soporte técnico es probablemente una estafa, incluso si el número de teléfono desde el que se hace la llamada es local o parece legítimo. Los estafadores falsifican la información de identificación de llamadas para aparentar que son negocios locales o compañías confiables.
    • Si recibe un mensaje pop-up que le indica que llame al soporte técnico, ignórenlo. Algunos mensajes pop-up acerca de problemas informáticos son legítimos, pero no llame ni haga clic en un enlace que aparezca en un mensaje pop-up que le advierta de un problema con una computadora.
    • Si está preocupado por un virus u otra amenaza, llame directamente a la compañía del programa de seguridad al número de teléfono que figura en el sitio web de la compañía, en el recibo de compra o en el embalaje del producto. O consulte a un profesional de seguridad confiable.
    • Nunca comparta su contraseña ni le dé acceso remoto a su computadora a nadie que se comunique con usted inesperadamente.
  • Qué hacer si lo estafaron.
    • Si compartió su contraseña con un estafador, cámbiela en todas las cuentas en las que use esa contraseña. Recuerde usar contraseñas únicas para cada cuenta y servicio. Considere usar un programa de administración de contraseñas.
    • Elimine el programa malicioso. Actualice o descargue un software de seguridad legítimo. Haga un escaneo de su computadora y elimine todo lo que el programa identifique como un problema. Si necesita ayuda, consulte a un profesional de seguridad confiable.
    • Si la computadora afectada está conectada a su red, desconéctela apagando el Wi-Fi de la computadora o desenchufando el cable ethernet. Luego, usted o un profesional de seguridad deben revisar toda la red para verificar si se produjo alguna intrusión.
    • Si compró servicios falsos, pídale a la compañía de su tarjeta de crédito que revierta los cargos y revise su resumen de cuenta para controlar si le efectuaron cargos que usted no aprobó. Si le proporcionó información de su tarjeta de crédito a un estafador, solicite a su compañía de tarjeta de crédito que cancele su tarjeta y le envíe una nueva. Siga revisando los resúmenes de cuenta de su tarjeta de crédito para controlar si el estafador trató de volver a cobrarle.
    • Reporte el ataque de inmediato a la FTC en ReporteFraude.ftc.gov.

 

 

Agosto 2025

Return to top