Buenas prácticas para empleados

Esta sección recoge recomendaciones prácticas y aplicables en el trabajo diario para reducir el riesgo de fraudes, estafas y ataques de ingeniería social.
La seguridad de la empresa depende en gran medida de la actuación responsable de las personas.

Cómo actuar ante un correo sospechoso

El correo electrónico es uno de los principales vectores de fraude en las empresas. Ante un correo sospechoso:

Señales de alerta habituales:

  • El remitente no es conocido o el dominio es similar al real, pero no idéntico.

  • El mensaje transmite urgencia injustificada o presión para actuar rápido.

  • Solicita información confidencial o cambios de datos.

  • Contiene errores ortográficos o un tono poco habitual.

  • Incluye enlaces acortados o archivos adjuntos inesperados.

Cómo actuar:

  • No hacer clic en enlaces ni descargar archivos adjuntos.

  • No responder al correo ni facilitar información.

  • No reenviar el mensaje a otros compañeros.

  • Marcarlo como correo sospechoso o phishing si el sistema lo permite.

  • Consultar con el departamento de IT o seguridad antes de interactuar con el mensaje.

Ante la duda, siempre se debe comunicar.

correoSospechoso
Datos Senibles

Qué hacer antes de cambiar datos sensibles

Cualquier solicitud relacionada con datos sensibles debe tratarse con especial precaución.
Se consideran datos sensibles, entre otros:

  • Cuentas bancarias.
  • Datos de pago.
  • Datos personales.
  • Credenciales de acceso.
  • Cambios en proveedores o beneficiarios.

Antes de realizar cualquier cambio:

  • Verificar siempre la solicitud por un canal distinto al correo electrónico.

  • Confirmar la identidad del solicitante mediante contacto directo.

  • Comprobar que la solicitud sigue los procedimientos internos establecidos.

Nunca se deben aceptar cambios sensibles basándose únicamente en un correo electrónico.

Verificación por doble canal

La verificación por doble canal es una medida clave para prevenir fraudes.

Canales de verificación recomendados:

Llamada telefónica al número oficial conocido.

Mensaje o llamada por Teams u otra herramienta corporativa.

Verificación presencial, si es posible.

Importante:

No utilizar números de teléfono ni enlaces incluidos en el propio correo sospechoso.

Confirmar siempre con la persona o departamento correspondiente por un medio independiente.

No compartir contraseñas

Las contraseñas son personales e intransferibles.

Buenas prácticas:

  • No compartir contraseñas con compañeros, superiores ni personal externo.

  • No enviarlas por correo electrónico, mensajes o aplicaciones de mensajería.

  • Utilizar contraseñas robustas y únicas.

  • No reutilizar contraseñas de servicios personales en el entorno laboral.

  • Cambiar la contraseña inmediatamente si se sospecha que ha sido comprometida.

  • Activar la autenticación de doble factor siempre que esté disponible.

El uso indebido de contraseñas puede dar lugar a accesos no autorizados y graves incidentes de seguridad.

Uso correcto del correo corporativo

El correo corporativo es una herramienta de trabajo y debe usarse de forma responsable.

Buenas prácticas:

  • Utilizar el correo corporativo únicamente para asuntos profesionales.
  • No registrarse en servicios externos no autorizados con el correo de empresa.
  • No compartir la dirección de correo corporativa en sitios públicos innecesarios.
  • Revisar cuidadosamente el remitente antes de responder o hacer clic.
  • Mantener la bandeja de entrada organizada y eliminar correos innecesarios.
  • Cerrar sesión cuando se utilicen equipos compartidos.

Un uso adecuado del correo reduce significativamente el riesgo de fraude y suplantación.