Serie Mejores Prcticas

de Seguridad

Google Apps
Tema 1: Phishing

Niveles de Seguridad
PRIMER NIVEL: ADMINISTRADORES, transparente a usuarios
1.
2.
3.
4.
5.

SPF
DKIM
DMARC
Filtros de contenido (Content Compliance)
Habilitar Account Activity Alerts sobre el {dominio.dom}

SEGUNDO NIVEL: ADMINISTRADORES, con conocimiento de los usuarios

1.
2.

Autenticacin a 2 pasos
SSO => Password Rules

TERCER NIVEL: USUARIOS, con supervisin de los administradores

1.
2.

Contraseas robustas
Educacin a usuarios
a. Phishing
b. etc...

Qu es Phishing?
El phishing es una tcnica de captacin ilcita de datos personales
(principalmente relacionados con claves para el acceso a servicios bancarios y
financieros) a travs de:

Correos electrnicos
Pginas web que imitan/copian la imagen o apariencia de una entidad
bancaria/financiera (o cualquier otro tipo de empresa de reconocido prestigio).

Evita el robo de identidad

Al igual que los ladrones, los criminales cibernticos tienen muchas formas de robar
informacin personal y dinero. As como no le daras a un ladrn la llave de tu casa,
asegrate de protegerte contra el fraude y el robo de identidad en lnea. Descubre
los trucos comunes que los delincuentes emplean para saber protegerte del fraude
en lnea y del robo de identidad. Aqu vers algunos consejos simples.

Tcticas comunes
Si aparece un mensaje de alguien que conoces, pero no parece de l, puede ser
que su cuenta haya sido vulnerada por un criminal ciberntico que est tratando de
obtener dinero o informacin de tu parte, as que ten cuidado con lo que respondes.
Las tcticas comunes incluyen por ejemplo:

El pedido de dinero urgente, diciendo que estn perdidos en otro pas

Diciendo que su telfono ha sido robado por lo que no puede ser llamado
El mensaje tambin puede pedirte que hagas clic en un vnculo para ver una
foto, un artculo o video, que en realidad te lleva a un sitio que podra robar tu
informacin, por lo que debes pensar antes de hacer clic

Qu NO hacer?
No respondas si ves un mensaje de correo electrnico
sospechoso, un mensaje instantneo o una pgina
web que solicita tu informacin personal o financiera
Los siguientes son ejemplos tpicos de datos
solicitados para phishing:

No llenes ningn formulario o pantalla de

acceso que pueda provenir de esos
mensajes

Nombres de usuario

Si alguien sospechoso te pide que rellenes un

Contraseas

formulario con tus datos personales, no

Nmeros de Seguro Social

sientas la tentacin de empezar a llenarlo.

Nmeros de cuentas bancarias

Aunque no presiones el botn "Enviar",

PIN (Nmeros de identificacin personal)

podras estar enviando informacin a los

Nmeros completos de tarjetas de crdito

ladrones de identidad con solo llenar tus datos

Apellido de soltera de tu madre

en los formularios.

Tu cumpleaos

NUNCA PROPORCIONES INFORMACIN PERSONAL

EN SITIOS WEB QUE NO SEAN DE TU CONFIANZA

Ejemplos de Phishing - Email

1.
2.
3.

La imagen muestra una notificacin enviada por correo electrnico legtimo

El cuerpo del mensaje incluye un logotipo legtimo
El vnculo para ingresar a la cuenta es FALSO

Ejemplos de Phishing - Email

Ejemplos de Phishing - Email

From: "Pedro Perez" <pperez@XXXX.com>
Date: Apr 29, 2013 7:26 AM
Subject: You have 1 New Google Doc Message
Google Drive. Keep everything. Share anything
Please view the document i uploaded for you using Google docs. CLICK HERE
just sign in with your email to view the document its very important.
Thank You.
Pedro Perez | pperez@XXXX.com

1.

2.

La imagen muestra una notificacin enviada por correo electrnico para

acceder a un documento compartido. No sigue el formato tradicional
como se muestra en la siguiente diapositiva
No es posible saber con certeza si el mensaje es legtimo o no lo es...

Mensaje Legtimo de Docs

1.
2.

La imagen muestra una notificacin enviada por correo electrnico para

acceder a un documento compartido de acuerdo al formato tradicional
Sin embargo, tambin es posible compartir documentos con un vnculo
dentro del cuerpo del mensaje en un correo electrnico... cmo
podemos saber si el mensaje es legtimo?

Ejemplos de Phishing (1)

1.
2.

Las imgenes muestran logos e insignias de servicios confiables (de

Google) pero la direccin web NO INICIA con https://
La direccin web no incluye google.com como nombre de dominio ni
subdominios asociados a servicios de Google

Ejemplos de Phishing (2)

1.

La direccin web no incluye google.com como nombre de dominio ni

subdominios asociados a servicios de Google

Ejemplos de Phishing (3)

1.
2.

La imagen muestra que Google solicita datos de autenticacin... FALSO!

Google no pide datos de autenticacin a un usuario ya autenticado

Ejemplos de Phishing
Presta mucha atencin cuando se te pide que accedas a tu cuenta

Busca seales que indiquen tu conexin con el sitio web

1.

En primer lugar, mira la barra de direcciones de tu navegador para ver si la

URL parece real.

2.

Comprueba si la direccin web comienza con https://, lo que indica que la

conexin al servidor es encriptada y ms resistente a los espas y a la
manipulacin.

3.

Algunos navegadores tambin incluyen un cono de candado en la barra de

direcciones junto a https:// para indicar claramente que la conexin est
encriptada y que ests conectado de forma ms segura.

Alerta de Google Chrome

1.
2.

La imagen muestra que la direccin web NO INICIA con https://

El aviso se produce porque el sitio web referido ya fue reportado a
Chrome como un sitio de Phishing

Alerta de otros navegadores

Solucin 1: Educar al usuario

1. - Es posible que reciba correos electrnicos de entidades o empresas de las que usted
no es cliente, y en los que se solicita igualmente dichos datos. En estos casos,
directamente, descrtelos.
2.- Sospeche de los correos electrnicos que le soliciten informacin como: nombre de
usuario, password o clave de acceso, nmero de tarjeta de crdito, fecha de caducidad,
nmero de la seguridad social, etc...
3.- Los mensajes de correo electrnico de phishing no suelen estar personalizados.
4.- Evite rellenar formularios en correos electrnicos que le soliciten informacin
financiera personal.
5.- No utilice los enlaces incluidos en los correos electrnicos que conducen
aparentemente a las entidades, especialmente si sospecha que el mensaje podra no
ser autntico. Dirjase directamente, a travs de su navegador, a la pgina web de la
entidad o empresa.

Solucin 1: Educar al usuario

6.- Antes de facilitar cualquier dato sensible (datos bancarios, nmeros de tarjetas de
crdito, nmero de la seguridad social, etc...) asegrese de que se encuentra en una web
segura. (la direccin web que aparece en la barra de navegacin comienza con el
protocolo https y en la parte inferior de la pgina aparece un candado.)
7.- Asegrese de tener el navegador web actualizado y con los ltimos parches de
seguridad instalados.
8.- Si contina teniendo dudas acerca de la veracidad del correo electrnico, de su
emisor o de su finalidad, no dude en ponerse en contacto con la entidad de la que es
cliente.
9.- Utilice contraseas robustas

Solucin 1: Educar al usuario

10.- Por ltimo, compruebe regularmente el uso de su cuenta para asegurarse que
todos los accesos son legtimos. En caso de detectar algo sospechoso, no dude en
ponerse en contacto con el administrador de su dominio.

Solucin 2: Verificacin en dos pasos

La verificacin en dos pasos aporta una capa extra de seguridad a tu cuenta
de Google
Adems del nombre de usuario y de la contrasea, debers introducir el cdigo que
te enve Google a travs de un mensaje de texto, de una llamada de voz o de
nuestra aplicacin para mviles via text, voice call, or our mobile app.
Cmo funciona:

Introduce la contrasea

Cuando inicies sesin en Google, debers introducir el nombre de usuario y la

contrasea como haces normalmente.

Introduce el cdigo que hayas recibido en el telfono

A continuacin, se te pedir que introduzcas el cdigo que hayas recibido a travs

de un mensaje de texto, de una llamada de voz o de nuestra aplicacin para
mviles.

Simplificalo

Al iniciar sesin, puedes indicar que no se vuelva a solicitar el cdigo en ese equipo
concreto. Aun as, la cuenta seguir protegida porque solicitaremos el cdigo
cuando t u otra persona intentis iniciar sesin desde otros ordenadores.

Solucin 2: Verificacin en dos pasos

Motivos por los que debes utilizar la verificacin en
dos pasos
La verificacin en dos pasos reduce drsticamente las
posibilidades de que otra persona robe la informacin
personal de tu cuenta de Google.
Por qu? Porque la persona que quiera interceptar tu
cuenta no solo debera saber la contrasea y el nombre de
usuario, sino que, adems, debera disponer de tu
telfono.
Ms informacin acerca de la verificacin en dos pasos
Aplicacin mvil

Solucin 3: Single Sign On

Qu hacer en caso de Phishing?

1. Reporte el sitio de phishing a Google
Esto bloquear el Sitio en Google Chrome
(y posiblemente en Firefox)
http://www.google.com/safebrowsing/report_phish/
2. Si la contrasea ha sido comprometida...
=> Cambie la contrasea del usuario
3. En cualquier caso reporte el incidente al
Helpdesk de ESC para recibir apoyo inmediato
https://sites.google.com/a/esourcecapital.com/helpdesk/
4. Verifique si se han enviado mensajes desde su cuenta
de correo y de ser as, enve estos pasos a sus contactos

Qu hacer en caso de Phishing?

5. Reporte el correo de phishing a Google

NOTA: Report fishing se muestra en

espaol como Denunciar suplantacin
de identidad.

Otros recursos interesantes

Deteccin de phishing y de software malicioso
http://support.google.com/chromeos/bin/answer.py?hl=es&hlrm=en&answer=99020
Sitio de ayuda contra Phishing
http://www.google.com/intl/es-419/goodtoknow/online-safety/identity-theft/
Seguridad y privacidad
http://support.google.com/a/bin/answer.py?hl=es&hlrm=en&answer=60762
Autenticacin del correo electrnico
http://support.google.com/a/bin/answer.py?hl=es&hlrm=en&answer=180707
Opciones avanzadas de seguridad
http://support.google.com/chromeos/bin/answer.py?hl=es&hlrm=en&answer=95572
Reporte de Alertas de actividad sospechosa
http://support.google.com/a/bin/answer.py?hl=es&answer=3230421
Autenticacin para proteger cuentas de usuarios corporativos (en ingls)
http://googleenterprise.blogspot.com/2011/09/strong-authentication-to-protect.html