Si los ciberdelincuentes no conocen tu nombre de usuario y contraseña, no pueden ingresar al backend de página web. Desafortunadamente, han encontrado formas de obtener la información que necesitan, por ejemplo, a través de campañas de phishing. ¿Qué apariencia tienen estas campañas?
"Tu CMS requiere un cambio de contraseña. Regístrate y cámbialo inmediatamente”. Estos llamados a la acción rápida a veces son parte de las campañas de phishing. Si los administradores del sitio web dan sus datos de inicio de sesión, los ciberdelincuentes pueden tomar el control del sitio web. “Los piratas informáticos se aprovechan de los factores humanos, como nuestra tendencia a actuar precipitadamente".
Si deseas minimizar las posibilidades de que accedan a tu sitio web, presta atención a la capacitación de los empleados”, sugiere Martin Cambal, Gerente de Desarrollo Web Global de ESET. “Por ejemplo, ejecuta una campaña de phishing falsa para averiguar si los empleados pueden identificar correctamente los riesgos". La formación es muy importante, especialmente a los empleados que pueden ser víctimas de las tácticas de phishing. Las empresas más pequeñas pueden externalizar la formación de los empleados.
Los empleados deben prestar atención a los detalles de ortografía, como si el correo electrónico se envió desde ejempo.com en lugar de ejemplo.com. “Además, ten cuidado con un falso sentido de urgencia. Un atacante que se hace pasar por tu proveedor de sistema de gestión de contenido puede pedirte que descargues una actualización de seguridad aparentemente urgente. Pero una vez descargado, tu dispositivo puede infectarse con malware”, agrega Cambal.
Los atacantes pueden intentar escanear tu sitio web con herramientas automatizadas que buscan vulnerabilidades. Esta es la razón por la que debes ocultar los aspectos de identificación de tu sistema. Por ejemplo, debes mantener lejos y oculto de los atacantes la información sobre qué sistema de administración de contenido (CMS) estás utilizando. “Los elementos del CMS se pueden ocultar y el código fuente se puede editar para que los ciberdelincuentes no puedan saber qué plataforma estás utilizando”, dice Cambal.
¿Cómo se puede usar el dominio de tu empresa para spam y phishing?
Los ciberdelincuentes también pueden hacer un mal uso del dominio de tu empresa para campañas de phishing y spam. Aquí es donde vale la pena implementar un marco de política del remitente (SPF). “Crea registros SPF bien pensados que enumeren las direcciones IP permitidas para enviar correos electrónicos bajo el dominio de tu sitio web".
No tener tales registros significa que cualquiera puede enviar un correo electrónico con el nombre de tu dominio. Autorizar un conjunto confiable de direcciones IP debería ser una de las medidas básicas de seguridad del correo electrónico”, reflexiona Cambal. En general, administrar los registros del sistema de nombres de dominio (DNS) y acceder a ellos es fundamental, ya que esto es lo que permite una configuración más segura (correo electrónico), por ejemplo, para permitir el uso autorizado de tu dominio para enviar correos electrónicos, y permite crear subdominios.
La responsabilidad de verificar el uso de dominios en el correo electrónico recae en el servidor de correo electrónico receptor. “Si el servidor descubre que el correo electrónico se envió desde una dirección IP que no figura en los registros SPF del dominio en la dirección de devolución del sobre, puede decidir rechazar la entrega”, dice Cambal. “Muchos administradores de TI olvidan que los nombres de dominio también se pueden usar indebidamente en peleas competitivas: imagina una empresa rival que envía correos electrónicos dañinos bajo el dominio de tu empresa. En tales situaciones, la reputación de tu negocio está en juego”. Pero si el servidor receptor evalúa la dirección IP del remitente como no autorizada, puede tratarla como spam.
En general, para las pequeñas y medianas empresas, se recomienda utilizar un proveedor de servicios de correo electrónico externo para que se ocupe de los servidores de correo electrónico en lugar de administrarlos por su cuenta. “La subcontratación es beneficiosa siempre que la comunicación por correo electrónico de tu empresa no sea muy confidencial”, sugiere Cambal.
Ten cuidado con el envío masivo de correos electrónicos y controla el uso de tu dominio
Pero, ¿por qué los mensajes enviados desde el servidor de correo electrónico de tu empresa a veces terminan en carpetas de correo no deseado, a pesar de que fueron creados por ti y no por un actor malicioso? “Cuando se envía una gran cantidad de correos electrónicos desde una dirección IP en poco tiempo y un usuario lo reporta como spam, el servidor de correo electrónico puede penalizar el dominio de correo electrónico y colocar el mensaje en la carpeta de correo no deseado o no entregarlo”, explica Cambal.
Muchas empresas también utilizan un dominio para todas las comunicaciones por correo electrónico, incluidos los boletines. Una solución en este caso, es separar la comunicación por correo electrónico con subdominios como gracias.example.com en lugar de example.com. “De esta manera, si un dominio está bloqueado como spam, hay otros que puedes usar”, dice Cambal.
Además, ¿cómo puedes determinar si el dominio de correo electrónico de tu empresa ha sido suplantado? Si tienes habilitados los informes DMARC y un atacante envía un mensaje bajo tu dominio, el servidor de correo entrante debe notificarlo. Esto te permite monitorear la efectividad de la configuración de SPF y potencialmente informarl que alguien ha estado tratando de suplantar el dominio de tu empresa. Al hacerlo, puedes proteger la reputación de tu negocio.
