Mejores prácticas de seguridad empresarial

En Buburuza, entendemos la importancia de la seguridad en línea y la necesidad de varios tipos de medidas de seguridad. A diario, tomamos muchas precauciones para proteger con éxito la seguridad de tus cuentas y transacciones. Sin embargo, también depende de usted, nuestro cliente, quien debe participar en la creación de un entorno seguro para proteger sus cuentas bancarias en línea contra el acceso no autorizado y la actividad fraudulenta.

Mejores prácticas de seguridad

Como cada empresa es única y opera de manera diferente, es posible que se necesiten medidas de seguridad adicionales en función de su entorno y nivel de riesgo. En Buburuza te recomendamos que realices periódicamente una evaluación interna de riesgos y evalúes tus controles para determinar si son suficientes teniendo en cuenta tu nivel de riesgo. También te recomendamos que eduques y capacites a tus empleados sobre la siguiente lista de mejores prácticas, que debes usar como punto de partida para proteger tus cuentas bancarias en línea.

1. Supervise la actividad de la cuenta a diario. Revisa inmediatamente las confirmaciones de transferencias bancarias, ACH u otras transacciones e informa sobre las transacciones sospechosas o si tu información se ha visto comprometida.
2. Utilice controles y aprobaciones duales para las transacciones de ACH y transferencias bancarias.
3. Implemente límites de transacciones que sean apropiados para el nivel de actividad de transacciones de su empresa.
4. Nunca comparta los inicios de sesión, las contraseñas, los tokens dinámicos ni ninguna otra información que permita un acceso seguro a su sistema bancario en línea. No los deje en un área que no sea segura.
5. Use diferentes nombres de usuario y contraseñas para cada sistema bancario en línea. Su contraseña debe ser fácil de recordar y difícil de adivinar. Recomendamos utilizar las mejores prácticas para crear contraseñas seguras que incluyan letras mayúsculas y minúsculas, números y caracteres especiales. Cambie las contraseñas periódicamente varias veces al año.
6. Evite usar contraseñas como cumpleaños, apellidos y nombres de mascotas.
7. No guarde una lista de contraseñas en la computadora ni las guarde cerca de su computadora.
8. Nunca acceda a sitios web de banca en línea desde una computadora pública en un cibercafé, hotel, biblioteca, etc. y no utilice puntos de acceso inalámbricos públicos ni redes inalámbricas no seguras.
9. Obtenga e instale software antivirus, antimalware y antispyware comercial y considere la posibilidad de instalar un firewall administrado. Es posible que el software gratuito no brinde el nivel de protección requerido contra las amenazas de seguridad más recientes. Mantenga todo el software de seguridad actualizado con las últimas versiones. En muchos casos, el software se puede configurar para que se actualice automáticamente.
10. Mantenga las computadoras actualizadas con los últimos parches y actualizaciones del sistema operativo para todas las aplicaciones de software. Esto incluye el sistema operativo, el software del navegador y los programas de software como Real Player, iTunes y Microsoft Office. La mayoría de los programas se pueden configurar para que se actualicen automáticamente.
11. Para evitar la instalación inadvertida de malware, spyware o virus, no navegue por Internet cuando utilice una identidad que tenga derechos administrativos. Configure una identidad independiente para navegar por Internet que no tenga derechos administrativos y utilice la identidad con derechos administrativos únicamente cuando opere fuera de la web.
12. Tenga cuidado con las ventanas emergentes que le piden que instale el software. Una estafa común es un mensaje que advierte sobre la instalación de un virus en el equipo e imita la ejecución de un análisis antivirus. No haga clic nunca en Aceptar para ver la ventana emergente que indica que es necesario instalar un software para eliminar el virus. Al hacer clic en Aceptar, se instalará malware, spyware o un virus en su ordenador.
13. Limite o elimine la actividad innecesaria de navegación web y correo electrónico de los empleados, incluida la actividad personal, en las computadoras utilizadas para la banca en línea. Considere la posibilidad de usar una computadora específica para realizar transacciones bancarias en línea y no la use para ningún otro propósito en línea (por ejemplo, leer correos electrónicos, navegar por Internet o acceder a sitios de redes sociales).
14. Enseñe a los empleados a borrar la memoria caché del navegador de Internet antes y después de visitar los sitios web de la banca en línea para evitar que se instale malware en una computadora.
15. Realice las actualizaciones del software instalado visitando el sitio web oficial en lugar de hacer clic en un enlace incluido en un correo electrónico o una página web. Por ejemplo, si es necesario actualizar un reproductor multimedia, vaya al sitio web oficial del reproductor multimedia para instalar la actualización. Al hacer clic en un enlace de instalación de una actualización falsa, es posible que se descargue malware en el ordenador.
16. Si se encuentra en un sitio que solicita información personal o información de inicio de sesión, compruebe lo siguiente en la página web:
17. Verifique que la sesión del sistema bancario en línea sea segura verificando que la dirección web contenga «https://» y no «http://». Esto garantiza que el sitio sea seguro.
18. Busca un candado cerrado en la barra de direcciones o en la parte inferior de tu navegador. Si falta el candado, la página no está cifrada y su información puede ser interceptada a medida que pasa por Internet.
19. Escriba la dirección de la página a la que está navegando en la barra de direcciones en lugar de hacer clic en un enlace. Los enlaces se pueden falsificar para que parezcan válidos, pero pueden llevarte a un sitio fraudulento sin tu conocimiento. Los favoritos también pueden verse comprometidos y alterados para llevarte a un sitio fraudulento.
20. No utilice las funciones de inicio de sesión automático para la banca en línea y las mejores prácticas recomiendan evitar guardar las contraseñas en la computadora.
21. Nunca deje una computadora desatendida cuando utilice un servicio de banca en línea y proteja siempre la computadora cuando no la esté usando o esté fuera de ella.
22. Nunca envíe información personal o confidencial por correo electrónico ni publique en sitios web externos, como sitios de redes sociales.
23. No haga clic en los enlaces ni abra los archivos adjuntos contenidos en correos electrónicos sospechosos.
24. Denuncie inmediatamente cualquier actividad sospechosa o fraudulenta o si su información se ha visto comprometida.

Estafas por correo electrónico y mensajes de texto

Las estafas por correo electrónico, también conocidas como «suplantación de identidad», por lo general parecen haber sido enviadas por una fuente legítima. El correo electrónico solicita al usuario de la banca por Internet que actualice su información personal, confirme el estado de su cuenta o pruebe una nueva función de banca en línea. Un enlace incorporado en el correo electrónico lo envía a un sitio web fraudulento que a menudo tiene un aspecto similar al de un sitio real de banca en línea. Además de otros datos confidenciales, se pide a los usuarios que introduzcan el nombre de usuario y la contraseña de la cuenta con el pretexto de verificar su identidad. Desafortunadamente, esta información se puede utilizar para acceder a cuentas reales en línea. Durante años, los estafadores han intentado engañar a las personas con correos electrónicos falsos, pidiéndoles que hagan clic en sitios web que «falsificaban» sitios web auténticos de bancos y compañías de tarjetas de crédito, eBay y los principales minoristas, incluso el IRS. Más recientemente, han empezado a aparecer estafas por mensajes de texto, denominadas «smishing». Los robos de identidad se producen cuando los ladrones de identidad envían mensajes de texto fraudulentos a un teléfono móvil, haciéndose pasar por enviados por una institución financiera y pidiéndole al usuario que llame a un número. A las personas que llaman se les pide que introduzcan su número de tarjeta de crédito, número de cajero automático, número de seguro social y/o su número de identificación personal (PIN).

1. Desconfíe de los correos electrónicos o mensajes de texto que pretendan provenir de una institución financiera, agencia gubernamental u otra fuente en los que se solicite su información bancaria.
2. Nunca respondas al remitente con la información de la cuenta o de inicio de sesión.
3. Se recomienda encarecidamente no hacer clic en los enlaces ni abrir archivos adjuntos en este tipo de correos electrónicos. Si lo hace, podría poner en peligro su sistema. En su lugar, ponte en contacto con el remitente utilizando la información de contacto disponible públicamente para verificar la autenticidad del correo electrónico.
4. Nunca responda ni siga ninguna de las instrucciones de un correo electrónico o mensaje de texto en el que se solicite su información personal.
5. Nunca proporcione información personal, incluidos, entre otros, el número de seguro social, los números de cuenta o de tarjeta de crédito y los números de identificación personal (PIN) por teléfono, Internet, correo electrónico o mensaje de texto, a menos que haya iniciado la transacción.
6. Acceda siempre a los sitios web de banca en línea escribiendo la URL en la barra de direcciones en lugar de hacer clic en los enlaces de un correo electrónico u otro sitio web.
7. Revisa siempre la dirección de correo electrónico o el mensaje de texto del remitente para comprobar que provienen de una cuenta o fuente válida. Si parecen sospechosos de alguna manera, notifícalo inmediatamente a Buburuza o a la empresa de origen legítima.
8. Abandone siempre cualquier sitio web sospechoso si sospecha que no es legítimo.

Ingeniería social

Al igual que el «suplantación de identidad» y otras estafas por correo electrónico o mensajes de texto, la ingeniería social implica estafar o engañar a las personas para que infrinjan sus procedimientos de seguridad normales a fin de obtener información, cometer fraudes u obtener acceso al sistema informático de la víctima. Estos ingenieros sociales intentan obtener información ganándose la confianza de un usuario autorizado y haciendo que revele información que pone en peligro la seguridad de la red. El ingeniero social confía en la ayuda natural y en las debilidades de las personas. Es posible que llamen al empleado autorizado si tienen un problema urgente que requiera acceso inmediato a la red.

Un ingeniero social utilizará tácticas para persuadir a las personas de que publiquen archivos adjuntos de correo electrónico cargados de malware y convencerlas de que divulguen información confidencial. Estos ingenieros malintencionados confían en personas que no son conscientes del valor de la información y no tienen cuidado a la hora de protegerla. Otras tácticas que se utilizan en la ingeniería social son escuchar a escondidas, hacer surf con los hombros y bucear en basureros.

Recursos adicionales

Buburuza y las empresas o instituciones financieras legítimas NUNCA realizarán un contacto no solicitado solicitando tu nombre de usuario, contraseña u otra información de cuenta. Es importante que todos los usuarios de la banca por Internet estén al tanto de este tipo de fraude.

Puede denunciar correos electrónicos, mensajes de texto o cualquier otra actividad o solicitud sospechosa a su institución financiera y al Centro de Denuncias de Delitos en Internet (www.ic3.gov), una asociación entre el FBI y el National White Collar Crime Center.

Para obtener más información, visite los siguientes sitios web: Corporación Federal de Seguros de Depósitos, el Grupo de trabajo contra la suplantación de identidad, y el Liga Nacional de Consumidores.