Informamos que debe extremar la precaución en el envío o recepción de documentos importantes y/o confidenciales, sobre todo con aquellos documentos relacionados con los pagos y cobros bancarios.
Se están dando numerosos casos de hackeo en los buzones de correo, de manera que los ciberdelincuentes sustituyen los números de cuenta por otros de su propiedad para que éstos sean los beneficiarios de los pagos. Puede ver la circular informativa de INCIBE donde advierten de estos riesgos https://www.incibe.es/empresas/avisos/campana-de-phishing-que-trata-de-obtener-las-credenciales-del-gestor-de-correo
Es importante:
- Tener todos los softwares, antivirus y sistemas operativos actualizados, incluido el lector/editor de pdf.
- Se recomienda enviar las facturas cifradas o protegidas con contraseña. Esta contraseña se deberá enviar al destinatario por otro medio distinto, por ejemplo, por sms.
- Cambiar las contraseñas del correo electrónico periódicamente.
- Activar la medida de seguridad fundamental: Activar el doble factor de autenticación en el acceso al panel de gestión de las cuentas de correos electrónicos (web que suele facilitar el proveedor donde se pueden crear cuentas, modificar contraseñas,…), y también activarlo en los accesos las cuentas de correo electrónico. El doble factor consiste en la recepción de un código que nos enviará el servicio de correo en determinados casos, generalmente cuando detecta algo inusual, por ejemplo, cuando se accede desde un dispositivo nuevo, de una ip no habitual, cuando hace bastante tiempor que no se usa, ….; en estos casos llegará un mensaje con un código por otra vía (generalmente a otra cuenta de correo o un sms a un número móvil), y ese código lo exigirá el servicio de correo para permitirle el acceso. Si un ciberdincuente conociera sus contraseñas de acceso a su cuenta de correo electrónico, al no disponer del segundo código no podría acceder a la misma (salvo que también tenga la capacidad de recibir ese segundo código).
- Se recomiendan utilizar servicios de correo electrónico profesionales que dispongan de certificaciones de seguridad, como Google o Microsoft 365; y en los clientes de correo de estos proveedores se deberá activar el doble factor de autenticación. Puede que su proveedor de hosting permita implementar esta medida de seguridad, por favor pregúntelo y si fuera posible no dude en activarlo.
- Se recomienda insertar una marca de agua en las facturas.
- Evite suscribirse a listas de envíos publicitarios en los correos de la empresa que no sean de proveedores contrastados, evite usar las cuentas corporativas para fines personales.
- Comprobar si las cuentas de correo se abren en dispositivos autorizados y éstos están reconocidos. Verificar que no la misma cuenta de correo no está abierta de manera simultánea en varios dispositivos.
- Se debe pulsar sobre el certificado de firma del documento para comprobar si es válido y no ha sido alterado desde su emisión.
– Si las facturas u otros documentos de pago se envían por medios telemáticos, se recomienda que se envíen firmadas electrónicamente y se advierta al receptor que compruebe que el certificado es válido y no ha sido alterado.
– Si las facturas u otros documentos de pago se reciben por medios telemáticos, se recomienda que se exija que se recibanr firmadas electrónicamente, después se deberá comprobar que el certificado es válido y no ha sido alterado.
– Antes de proceder al pago de una factura, se aconseja llamarle por teléfono al proveedor (ojo al número de teléfono que dispongamos de él, no al número que aparece en el e-mail que podría haber sido modificado) y verificar que la forma de pago es la correcta y el número de cuenta es tamibién lo es.
– Cuando se envía un documento de pago al cliente, se aconseja llamarle por teléfono (ojo al número de teléfono que dispongamos de él, no al número que aparece en el e-mail que podría haber sido modificado) y verificar que la forma de pago es correcta y el número de cuenta también lo es.
– Verificar que la cuenta de correo electrónico pertenece al proveedor real.
En todo caso, a la mínima sospecha de que el correo electrónico es fraudulento (bien porque contenga errores, porque algo resulta inusual), sobre todo si está relacionado con cobros y pagos, es mejor contrastar la información con otros documentos previos, o bien llamando directamente al cliente o proveedor de que se trate.
Por favor advierta a los compañeros de su empresa de la existencia de estos fraudes y expóngales las precauciones que se indican. Adjunto envío una política de seguridad que incluye la política de uso del correo electrónico y de internet con el objeto de que se cumpla por los trabajadores de su empresa.
Le recomendamos que se suscriba a los avisos de seguridad de INCIBE (Instituto nacional de Ciberseguridad) para que tenga información actualizada sobre las potenciales amenzadas existentes. Puede suscribirse aquí: https://www.incibe.es/newsletter/subscriptions?opcion=si
Además, debe tener en cuenta que si no se cumplen las medidas de seguridad expuestas pueden existir brechas de seguridad sobre datos personales que pueden causar un perjuicio a su organización y a terceros, pudiendo ser sancionado además por la Agencia Española de Protección de Datos.
Es muy importante que valoren la posibilidad de suscribir una póliza de seguros que le dé cobertura legal y técnica ante una posible brecha de seguridad, además de cubrir las contingencias de responsabilidad civil y reparación de daños de carácter económico que un ciberataque pueda causar en su organización.
Si necesita alguna aclaración, o hacer alguna consulta no dude en contactar con nosotros
Un saludo,