Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Buenas prácticas en el uso del correo electrónico

Boletín nº 72 - Buenas prácticas en el uso del correo electrónico

Últimamente se ha detectado un aumento de las campañas de envío masivo de correos electrónicos maliciosos aprovechando la situación actual causada por la COVID-19.

Generalmente, estos correos aparentan ser legítimos, pero tienen el objetivo de atraer la atención de los usuarios y, con ello, conseguir acceder a información confidencial, infectar los dispositivos y/o llevar a cabo ataques contra la ciberseguridad. Estos correos son denominados ataques de phishing o de ingeniería social.

 

El método de ataque por medio del correo electrónico consiste comúnmente en el envío de correos que simulan que el remitente es un usuario o una organización legítima en quien el receptor tiene depositada su confianza para conseguir que este descargue un archivo adjunto que contiene un programa malicioso (malware) o que clique en un enlace que le conducirá hasta una página web maliciosa en la que se le pedirá, por ejemplo, que introduzca las credenciales para acceder a la información corporativa.

 

Para reducir el riesgo de ser víctima de un ataque de phishing utilizando la cuenta de correo electrónico corporativo, hay que ser consciente de la necesidad de hacer un buen uso de esta herramienta y seguir estas recomendaciones:

  • Si recibe un correo no esperado o de origen desconocido, desconfíe y no lo abra.
  • Si abre un correo sospechoso, nunca clique en los enlaces que contenga ni abra los ficheros adjuntos. Antes de descargar cualquier fichero adjunto o clicar en los enlaces que contenga el correo hay que analizarlo detalladamente en busca de cualquier aspecto sospechoso. Es conveniente validar aspectos como confirmar que el dominio del correo electrónico es correcto, analizar la escritura del correo y revisar los enlaces a páginas web.
  • No responda ningún correo que le parezca sospechoso ni facilite datos personales ni información de sus cuentas bancarias.
  • No introduzca credenciales en páginas web sospechosas o aparentemente oficiales.
  • Asegúrese de que su ordenador personal dispone de un antivirus actualizado.

 

El punto 11 del Código de buenas prácticas del Servicio de Salud de las Islas Baleares establece las medidas de seguridad organizativas que deben aplicarse para el buen uso del correo electrónico y de la agenda corporativos:

  • No usar el correo electrónico corporativo para fines personales.
  • No llevar a cabo acciones de difusión masiva e indiscriminada de información que pueda poner en riesgo el funcionamiento y el buen uso del sistema.
  • No acceder, eliminar ni modificar contenido de mensajes de correo o archivos dirigidos a otros usuarios.
  • Bajo ningún concepto revelar a personal no autorizado el contenido de cualquier dato reservado o confidencial propiedad del Servicio de Salud o de terceras personas.
    • Cifrar cualquier envío de información de carácter personal.
    • No divulgar mensajes comerciales o propagandísticos desde la cuenta de correo corporativo, excepto con la autorización previa correspondiente y emitida formalmente.

Teniendo en cuenta las medidas anteriores, un ejemplo de mal uso de la cuenta de correo corporativo sería utilizarla para registrarse como usuario de plataformas no corporativas, como Linkedin, Facebook, Adobe, foros diversos o webs de citas, a no ser que se disponga de la autorización previa y que la plataforma en cuestión haya sido revisada debidamente. Estas acciones —entre otras— suponen que aumente el riesgo de exponerse al robo de credenciales corporativas. Un caso real fue el robo de 164 millones de credenciales de acceso a cuentas de correo y contraseñas de Linkedin, ocurrido en mayo de 2016.

 

En este mismo ámbito, la herramienta interna de análisis del correo electrónico corporativo del Servicio de Salud bloqueó la recepción de un total de 37.097 correos maliciosos en tan solo un día, tal como ilustra el gráfico adjunto, lo que supuso el bloqueo del 69 % de los correos entrantes.

Bloqueo de correos IB-SALUT

 

La Policía Nacional ha alertado de un intento de fraude por medio del phishing con correos enviados desde una multinacional estadounidense con el objetivo obtener credenciales de acceso y datos de la tarjeta bancaria del usuario. Puede comprobar la notificación en este enlace del Gobierno de España.

 


Es recomendable consultar estos boletines anteriores, entre otros:  

  • Boletín núm. 63: Buenas prácticas en el uso de los sistemas de información: el correo electrónico corporativo
  • Boletín núm. 60: ¿Protegemos debidamente la información sensible que enviamos a través del correo electrónico?
  • Boletín núm. 53: Campañas de software malicioso e ingeniería social
  • Boletín núm. 45: Uso del correo electrónico y peligros que implica.

 

Asimismo, es aconsejable consultar las páginas oficiales del INCIBE y del CCN-CERT para conocer más consejos sobre cómo actuar ante correos electrónicos sospechosos.

 

Según las medidas de seguridad y ocurrencia de los hechos descritos, concluimos que la integración de una herramienta corporativa de bloqueo de correos electrónicos y una concienciación robusta de los usuarios sobre el uso correcto del correo electrónico y la detección de correos sospechosos disminuyen notablemente el riesgo de fuga de información sensible.