Ciberseguridad: recursos y buenas prácticas
by Azul García

Última actualización: 8 noviembre, 2022

La ciberseguridad es un área de la informática enfocada en la protección de la infraestructura computacional y la información contenida en una computadora o una red de computadoras. La seguridad implica identificar y eliminar vulnerabilidades para salvaguardad la información y los equipos físicos de una organización.

En este sentido, el compliance es clave en la ciberseguridad. El objetivo no es proteger la información y su valor solamente sino también poner el foco en la integridad de las personas que puede ponerse en peligro en los ataques cibernéticos.

Cada organización tendrá un programa de compliance diferente y particular para sus necesidades. Sin embargo, a grandes rasgos el compliance en ciberseguridad busca asegurar que la información de la organización siga estándares y regulaciones de seguridad específicas. Evaluar y gestionar el riesgo tecnológico es crucial.

Buenas prácticas de ciberseguridad

Desde Worldsys, llevamos a cabo nuestra operación cotidiana mediante un Sistema de Gestión Integrado (SGI). Su aplicación nos permite asegurar la información de todos los clientes, colaboradores y partners.

Además, contamos con la certificación ISO/IEC 27001:2013 en el desarrollo de soluciones y provisión de servicios profesionales de TI (tecnología de la Información), integrándose a nuestra certificación ISO 9001:2015. Ambas acreditaciones son auditadas y re-certificadas periódicamente por la certificadora internacional TÜV Rheinland.

Por eso, hoy te traemos varios recursos y buenas prácticas de ciberseguridad. Dentro de los programas de compliance en ciberseguridad hay muchas aristas fundamentales. En este caso, te vamos a contar las mejores prácticas en cuanto a la gestión de contraseñas, política de dispositivos móviles y acciones contra el phishing.

Ciberseguridad: recursos y buenas prácticas

Gestión de contraseñas

Uno de los aspectos más importantes para asegurar los sistemas de la organización y la información que ésta gestiona es tener contraseñas fuertes y bien custodiadas. De lo contrario, se favorece el acceso y uso no autorizado a los datos y servicios de la organización. Acá te dejamos varios consejos para una buena gestión de contraseñas:

  • Tener una contraseña robusta. Muchas veces se eligen contraseñas fáciles de recordar, sin embargo, es central que ésta contenga mínimamente 8 caracteres y combinaciones de mayúsculas, minúsculas, números y símbolos.
  • No compartir contraseñas personales. Éstas deben ser intransferibles. Si alguien más tiene tu contraseña y realiza alguna acción maliciosa, podrías ser señalado como responsable.
  • Tener el doble factor de autenticación activado. Este mecanismo añade una capa extra de seguridad a los servicios que requieren de un usuario y contraseña para su uso. El doble factor de autenticación implica una nueva clave que, en general, es de un solo uso y está vinculada a un teléfono móvil. Es recomendable habilitar este mecanismo en todos los servicios que se utilicen en Internet.
  • No utilizar la misma contraseña para todo. Si un ciberdelincuente logra conseguir una contraseña, todos los servicios con la misma contraseña se verían comprometidos. Es imprescindible que cada servicio tenga su propia contraseña de acceso.
  • Contar con gestores de contraseña. Para evitar tener que recordar todas las contraseñas utilizadas existen herramientas específicas que simplifican el trabajo. Con los gestores de contraseñas sólo tendrás que acordarte de la contraseña maestra para acceder a él. Estas herramientas son multiplataforma, lo que permite acceder desde cualquier dispositivo y lugar a todas tus credenciales de acceso. Además, los gestores también ofrecen contraseñas aleatorias muy robustas que aumentan la seguridad del servicio donde se implementen.
Ciberseguridad: recursos y buenas prácticas Gestión de contraseñas
Utilizar el doble factor de autenticación en todos los servicios de internet utilizado minimiza las posibilidades de ciberataques.

Política de dispositivos móviles

Controlar el uso de dispositivos móviles ayuda a minimizar varios riesgos como extravío de información, acceso a la información por personas no autorizadas e infección con malware en los sistemas de la organización.

Muchas veces se utilizan dispositivos móviles personales en el trabajo de una organización. Por eso, es bueno contar con medidas de seguridad para evitar los riesgos antes mencionados:

  • No modificar el software del dispositivo. Android e iOS cuentan con restricciones de fábrica que aumentan la seguridad de la información que manejan los dispositivo.
  • Tener activado el bloqueo de pantalla.
  • Notificar a la organización en caso de pérdida o robo del dispositivo para que se tomen todas las medidas necesarias que eviten el uso indebido de la información que contiene.
  • Bloquear el dispositivo de manera remota ante pérdida o robo.
  • Si no se puede recuperar el dispositivo se debe realizar un borrado remoto para que la información no caiga en manos equivocadas.
  • No utilizar la función de “recordar contraseña” en los dispositivos móviles. Es importante utilizar siempre los gestores de contraseñas para acceder a las credenciales.
Ciberseguridad: recursos y buenas prácticas. Política de dispositivos móviles

Acciones contra el phishing

El pishing es una técnica para engañar a las personas a través de mensajes fraudulentos para que revelen información confidencial o realicen acciones por voluntad propio. De este modo, se busca robar datos personales y credenciales, infiltrar malware o ransomware en los dispositivos para pedir rescate, suplantar la identidad de una persona y organización, entre otros.

Existen diferentes tipos de phishing. Te contamos los más comunes:

  • Phishing por correo electrónico. Son mensajes enviados por email en los que se suplanta la identidad de una empresa, persona o institución para conseguir información personal o corporativa.
  • Spear phishing. Utiliza información personalizada en el mensaje con un contenido de interés para el destinatario.
  • Smishing. Mensajes de texto que llegan a un teléfono en el que se informa una situación específica que requiere que el destinatario haga clic en un enlace a través del cual se roban sus datos.
  • Vishing. Es una llamada en la cual se suplanta la identidad de una persona o institución para realizar una estafa. Es comúnmente conocido como el “cuento del tío“.
  • Whaling phishing. Implica un mensaje dirigido a personas específicas dentro de una organización donde el atacante finge ser el CEO u otro ejecutivo de alto nivel de una empresa.
  • Pharming. Es un sitio web fraudulento que tiene por objetivo dirigir el tráfico de los visitantes a un portal idéntico al original. De este modo, se captura la información que los usuarios introducen en éste sin saber que no es el portal original.

Tácticas para evitar el phishing

Es importante que los dispositivos tengan antivirus, navegador y software actualizados permanentemente para detectar malwares provenientes de links o archivos adjuntos. Además, reconocer el phishing es crucial para no caer en este tipo de estafas. Te dejamos unos tips para que puedas dar alerta de phishing:

  • La urgencia es enemiga de la seguridad. Si te piden realizar una acción de inmediato debes sospechar. Verifica esta información con fuentes confiables.
  • Revisa el remitente del mensaje. De esta manera podrás verificar si es una persona u organización legítima.
  • Atento a los errores ortográficos o gramaticales. Los mensajes oficiales de entidades no tienen errores de este tipo y el phishing suele contenerlos.
  • Desconfía de mensajes con archivos adjuntos y enlaces integrados. Este es uno de los principales recursos para infectar los dispositivos y robar información.
  • Verifica siempre las URL. Un sitio web puede parecer legítimo pero los enlaces falsificados contienen modificaciones sutiles que pasan desapercibidas a simple vista. Por ejemplo, si una dirección empieza con http:// no debes hacer clic. La correcta es https://
Acciones contra el phishing

También te puede interesar:
Calendario normativo UIF: Reportes y fechas importantes
Compliance en Ciberseguridad: ¿Cómo es el cumplimiento IT?
¿Cómo saber si soy una PEP?