Buenas prácticas en ciberseguridad: protección de datos y prevención de ingeniería social en el trabajo
Respuesta rápida
La seguridad de la información en el puesto de trabajo se basa en tres pilares: aplicar buenas prácticas diarias (bloquear pantalla, destruir documentos sensibles, no compartir contraseñas), cumplir el decálogo de 10 normas obligatorias de Correos, y saber identificar y reportar intentos de ingeniería social como llamadas o emails fraudulentos que buscan obtener datos confidenciales.
Puntos clave
Tres principios fundamentales
Confidencialidad, integridad y disponibilidad son la base de toda la seguridad de la información
Responsabilidad compartida
La seguridad no es solo del departamento técnico; cada empleado es responsable con sus acciones diarias
Decálogo obligatorio
10 normas de seguridad que aplican a todos los empleados sin excepción: administrativos, técnicos y logísticos
Ingeniería social
Técnica de manipulación que explota la confianza humana para obtener información confidencial mediante engaños
Verificar siempre
Ante cualquier solicitud de información o contraseñas, verificar la identidad por canales oficiales antes de actuar
Reportar incidentes
Cualquier incidente de seguridad, por pequeño que parezca, debe notificarse inmediatamente al responsable
Paso a paso
Bloquea siempre tu equipo al ausentarte del puesto de trabajo
No dejes sobres, documentos o datos personales a la vista en tu escritorio
Destruye adecuadamente los documentos con información sensible
Verifica siempre el destinatario antes de enviar un correo electrónico
No compartas contraseñas ni las dejes escritas en lugares visibles
Recoge inmediatamente las impresiones con datos personales
Ante cualquier solicitud sospechosa de información, verifica la identidad del solicitante
Notifica cualquier incidente de seguridad al responsable o canal correspondiente
Ejemplos resueltos
Problema 1Un compañero deja en la impresora compartida un albarán con datos confidenciales de un cliente y otra persona lo recoge por error. ¿Qué consecuencias tiene y cómo debería haberse evitado?
Un compañero deja en la impresora compartida un albarán con datos confidenciales de un cliente y otra persona lo recoge por error. ¿Qué consecuencias tiene y cómo debería haberse evitado?
Solución:
- 1Identificar el incidente: se ha comprometido la confidencialidad de datos personales
- 2Consecuencia potencial: puede acarrear una sanción interna y posible brecha de seguridad
- 3Medida preventiva 1: recoger las impresiones inmediatamente tras enviarlas
- 4Medida preventiva 2: no imprimir documentos sensibles en impresoras compartidas si es posible
- 5Acción correctiva: notificar el incidente al responsable de seguridad
Este incidente se habría evitado siguiendo la norma del decálogo que indica 'recoge tus impresiones inmediatamente'. La responsabilidad es compartida y un simple descuido puede provocar una fuga de datos con consecuencias legales y reputacionales.
Verificación: Verificar que existe un protocolo de impresión segura y que todos los empleados lo conocen
Problema 2Recibes una llamada de alguien que dice ser técnico de sistemas y te pide tu contraseña para 'actualizar el sistema'. Días después se detecta una intrusión. ¿Qué ha ocurrido y cómo actuar?
Recibes una llamada de alguien que dice ser técnico de sistemas y te pide tu contraseña para 'actualizar el sistema'. Días después se detecta una intrusión. ¿Qué ha ocurrido y cómo actuar?
Solución:
- 1Identificar la técnica: esto es un ataque de ingeniería social (hacerse pasar por un técnico)
- 2Error cometido: compartir la contraseña sin verificar la identidad del solicitante
- 3Consecuencia: el atacante ha obtenido acceso al sistema mediante engaño
- 4Acción correcta ante la llamada: nunca compartir contraseñas por teléfono
- 5Acción correcta: verificar la identidad llamando al departamento técnico oficial
- 6Acción post-incidente: informar inmediatamente al responsable de seguridad
Se trata de un caso típico de ingeniería social. La regla de oro es: nunca compartir contraseñas, siempre verificar identidades por canales oficiales, e informar de cualquier solicitud sospechosa.
Verificación: ¿El solicitante puede verificar su identidad por un canal oficial? Si no, no proporcionar información
Problema 3Un técnico conecta su USB personal para imprimir un documento. ¿Por qué esto es un problema de seguridad?
Un técnico conecta su USB personal para imprimir un documento. ¿Por qué esto es un problema de seguridad?
Solución:
- 1Identificar el riesgo: los dispositivos USB pueden contener malware
- 2Consecuencia potencial: introducir un virus que comprometa todo el sistema
- 3Norma incumplida: 'Evita pendrives no autorizados' del decálogo de seguridad
- 4Esta norma aplica a todos: administrativos, técnicos y logísticos sin excepción
Conectar un USB personal está expresamente prohibido por el decálogo de seguridad porque ese simple acto puede introducir malware y comprometer todo el sistema informático de la organización.
Verificación: Usar solo dispositivos USB autorizados y escaneados por el departamento de seguridad
Buenas Prácticas en Ciberseguridad: Protección de Datos y Prevención de Ingeniería Social en el Trabajo
Introducción
La ciberseguridad y la seguridad de la información son pilares fundamentales en cualquier organización que maneje datos sensibles. En el caso de Correos, esta responsabilidad es especialmente crítica, ya que la empresa gestiona aproximadamente un millón de datos personales, económicos y operativos de ciudadanos y empresas.
Proteger esta información no es solo una cuestión técnica; es una obligación legal, un compromiso con los clientes y una necesidad operativa para prevenir fraudes y ciberataques. La seguridad de la información es responsabilidad de todos los empleados, desde el personal administrativo hasta los técnicos y logísticos.
En esta lección, abordaremos los conceptos fundamentales de seguridad de la información, las buenas prácticas que todo empleado debe aplicar en su puesto de trabajo, el decálogo de seguridad de Correos y cómo identificar y defenderse de los ataques de ingeniería social.
Los Tres Principios Fundamentales de la Seguridad de la Información
La seguridad de la información se define como el conjunto de medidas técnicas, organizativas y humanas destinadas a proteger los datos. Estas medidas se estructuran en torno a tres principios fundamentales conocidos como la "tríada CIA" (por sus siglas en inglés: Confidentiality, Integrity, Availability).
Confidencialidad
La confidencialidad garantiza que la información solo sea accesible para quienes tienen autorización para acceder a ella. Si una base de datos de clientes se filtra por un error humano o un ataque informático, se compromete este principio.
Ejemplos de medidas de confidencialidad:
- Control de acceso mediante contraseñas
- Clasificación de documentos según su nivel de sensibilidad
- Políticas de "necesidad de conocer"
Integridad
La integridad asegura que la información no se modifica sin control ni autorización. Los datos deben mantenerse exactos, completos y sin alteraciones no autorizadas.
Ejemplos de medidas de integridad:
- Registros de auditoría de cambios
- Firmas digitales
- Controles de versiones
Disponibilidad
La disponibilidad garantiza que la información esté accesible cuando se necesita. Los sistemas deben funcionar correctamente para permitir el acceso autorizado en el momento requerido.
Ejemplos de medidas de disponibilidad:
- Copias de seguridad regulares
- Sistemas redundantes
- Planes de continuidad de negocio
Estos tres principios se aplican tanto a documentos digitales como físicos, y tanto dentro como fuera de las instalaciones de Correos.
Buenas Prácticas y Hábitos en el Puesto de Trabajo
La seguridad comienza en el día a día de cada empleado. Las medidas técnicas más sofisticadas pueden ser inútiles si los trabajadores no aplican buenas prácticas de seguridad en sus actividades cotidianas.
Prácticas Esenciales
1. Bloquear la pantalla al ausentarse del puesto
Incluso si solo te ausentas un momento para ir al baño o hablar con un compañero, debes bloquear tu equipo. En Windows, puedes hacerlo rápidamente con la combinación de teclas Windows+L.
2. No dejar sobres o datos personales a la vista
Los documentos con información sensible no deben quedar expuestos en el escritorio donde cualquier persona pueda verlos. Esto incluye albaranes, facturas, listados de clientes o cualquier documento con datos personales.
3. Destruir adecuadamente documentos con información sensible
Los documentos que contienen datos personales o información confidencial no deben tirarse a la papelera común. Deben destruirse mediante trituradoras o los procedimientos establecidos por la empresa.
4. Verificar siempre el destinatario antes de enviar un correo
Antes de enviar un email, especialmente si contiene información sensible, verifica que el destinatario es correcto. No confíes ciegamente en el autocompletado del sistema de correo.
5. No compartir contraseñas ni dejarlas escritas
Las contraseñas son personales e intransferibles. Nunca las compartas con compañeros, aunque sean de confianza, y nunca las dejes escritas en lugares visibles como post-its pegados al monitor.
6. Recoger de inmediato las impresiones con datos personales
Cuando imprimas documentos con información sensible, recógelos inmediatamente de la impresora. No los dejes esperando donde cualquier persona pueda acceder a ellos.
La Responsabilidad es Compartida
Es fundamental entender que una sola acción descuidada puede provocar una fuga de datos. La seguridad no es responsabilidad exclusiva del departamento de informática; es responsabilidad de todos.
Ejemplo práctico: Imagina que un trabajador deja en la impresora compartida un albarán con datos confidenciales de un cliente. Otra persona lo recoge por error pensando que es suyo. En ese momento, se ha comprometido la confidencialidad de esos datos, lo que puede acarrear una sanción interna y potenciales consecuencias legales.
El Decálogo de Seguridad de Correos
Correos ha establecido un conjunto de 10 normas clave que todos los empleados deben cumplir obligatoriamente. Este decálogo aplica a todos los trabajadores sin excepción, independientemente de su área: administrativos, técnicos o logísticos.
Las 10 Normas del Decálogo
- Bloquea el equipo si te ausentas - Siempre, sin importar el tiempo de ausencia
- No dejes información visible - Guarda documentos sensibles fuera de la vista
- Evita pendrives no autorizados - Solo usa dispositivos USB aprobados por la empresa
- No abras enlaces o archivos sospechosos - Especialmente en correos de remitentes desconocidos
- Usa contraseñas robustas y cámbialas regularmente - Combina letras, números y caracteres especiales
- Recoge tus impresiones inmediatamente - No dejes documentos en la impresora
- Guarda documentación bajo llave - Los documentos sensibles deben estar protegidos
- No compartas tus claves - Las contraseñas son personales e intransferibles
- Revisa el destinatario antes de enviar emails - Verifica que envías al destinatario correcto
- Notifica cualquier incidente de seguridad - Informa siempre al responsable correspondiente
Consecuencias del Incumplimiento
Ejemplo de incumplimiento: Cuando un técnico conecta su USB personal para imprimir un documento, ese simple acto puede introducir malware y comprometer todo el sistema informático de la organización. El uso de dispositivos USB no autorizados está expresamente prohibido por el decálogo.
Ingeniería Social: El Factor Humano como Vulnerabilidad
¿Qué es la Ingeniería Social?
La ingeniería social es una técnica de manipulación psicológica utilizada para que un empleado revele información confidencial o proporcione acceso a sistemas sin darse cuenta de que está siendo engañado.
A diferencia de los ataques técnicos que explotan vulnerabilidades de software, la ingeniería social explota la vulnerabilidad humana: la confianza, la urgencia, el deseo de ayudar o el miedo.
Tácticas Más Comunes
Hacerse pasar por un compañero o técnico El atacante se presenta como alguien de confianza (un compañero de otro departamento, un técnico de sistemas) para generar confianza y obtener información.
Enviar emails falsos (Phishing) Correos electrónicos que aparentan ser de fuentes legítimas pero contienen enlaces maliciosos o archivos infectados. Suelen crear sensación de urgencia.
Llamadas telefónicas solicitando contraseñas El atacante llama haciéndose pasar por personal técnico, alegando que necesita la contraseña para solucionar un problema urgente.
Acceso físico no autorizado El atacante se presenta físicamente en las instalaciones, a veces con uniforme o identificación falsa, para obtener acceso a áreas restringidas.
Caso Práctico de Ingeniería Social
Un supuesto técnico llama a un empleado diciendo que necesita su contraseña para "actualizar el sistema urgentemente". El empleado, confiado y queriendo colaborar, proporciona la contraseña. Días después, se detecta una intrusión en el sistema y se descubre que los atacantes usaron esa contraseña para acceder.
Este es un caso típico de ingeniería social: el atacante no hackeó ningún sistema; simplemente engañó a una persona para que le diera acceso.
Cómo Defenderse de la Ingeniería Social
Reglas Básicas de Protección
1. No compartir claves bajo ninguna circunstancia Ningún técnico legítimo, ni interno ni externo, necesita tu contraseña para realizar su trabajo. Si alguien la solicita, es una señal de alarma.
2. Verificar siempre las identidades Antes de proporcionar cualquier información, verifica la identidad del solicitante a través de canales oficiales. Si alguien dice ser del departamento técnico, llama directamente al departamento para confirmar.
3. Informar de inmediato al responsable de seguridad Cualquier solicitud sospechosa debe reportarse inmediatamente, incluso si no has proporcionado ninguna información. La detección temprana es clave para prevenir incidentes mayores.
Señales de Alerta
- Solicitudes urgentes de información o acceso
- Amenazas de consecuencias negativas si no colaboras
- Solicitudes de información que normalmente no pedirían
- Personas desconocidas que conocen detalles internos
- Emails con errores ortográficos o direcciones sospechosas
Resumen: Puntos Clave para Recordar
- Correos gestiona datos sensibles que deben protegerse con medidas técnicas y humanas
- Se garantizan los principios de confidencialidad, integridad y disponibilidad en toda la gestión de información
- Las buenas prácticas en el puesto de trabajo son clave para evitar brechas de seguridad
- Existen 10 normas esenciales en el decálogo de seguridad que todos debemos seguir
- La ingeniería social busca engañar para obtener datos o accesos mediante manipulación
- Hay que verificar siempre y nunca compartir contraseñas ni abrir correos sospechosos
- Reportar siempre cualquier incidente de seguridad, por pequeño que parezca
Conclusión
La seguridad de la información no es solo responsabilidad del departamento de informática; es una responsabilidad compartida por todos los empleados de la organización. Cada persona, con sus acciones diarias, contribuye a mantener o comprometer la seguridad de los datos.
Aplicar las buenas prácticas, cumplir el decálogo de seguridad y estar alerta ante posibles intentos de ingeniería social son las claves para proteger la información de Correos y, por extensión, los datos de millones de ciudadanos y empresas que confían en los servicios de la organización.
Recuerda: en seguridad de la información, la prevención siempre es mejor que la corrección, y tu comportamiento marca la diferencia entre una organización segura y una vulnerable.
Errores comunes
Pensar que la seguridad es solo responsabilidad del departamento de informática
Actitudes como 'eso no es mi trabajo' o 'para eso está el técnico'
Entender que la responsabilidad es compartida y que una sola acción descuidada puede provocar una fuga de datos
Compartir contraseñas con compañeros de confianza
Frases como 'usa mi usuario que yo no estoy' o 'te paso mi clave para que lo hagas tú'
Las contraseñas son personales e intransferibles. Cada empleado debe usar exclusivamente sus propias credenciales
Confiar en llamadas o emails que solicitan información urgente
Mensajes que crean sensación de urgencia como 'necesito tu contraseña ahora mismo para arreglar un problema'
Verificar siempre la identidad del solicitante a través de canales oficiales antes de proporcionar cualquier información
No bloquear el equipo al ausentarse 'solo un momento'
Dejar la sesión abierta para ir al baño, tomar café o hablar con un compañero
Usar Windows+L (o el atajo correspondiente) SIEMPRE al levantarse del puesto, sin importar el tiempo de ausencia
Usar el mismo dispositivo USB personal en el trabajo y en casa
Traer pendrives de casa para pasar archivos o imprimir documentos
Usar únicamente dispositivos USB autorizados por la empresa, nunca dispositivos personales
No reportar incidentes de seguridad por miedo o vergüenza
Ocultar errores como haber clicado en un enlace sospechoso o haber dado información por teléfono
Notificar inmediatamente cualquier incidente al responsable de seguridad; la detección temprana minimiza el daño
Glosario
- Seguridad de la información
- Conjunto de medidas técnicas, organizativas y humanas para asegurar la confidencialidad, integridad y disponibilidad de los datos, tanto digitales como físicos.
- Confidencialidad
- Principio de seguridad que garantiza que la información solo sea accesible para quienes tienen autorización para acceder a ella.
- Integridad
- Principio de seguridad que asegura que la información no se modifica sin control ni autorización.
- Disponibilidad
- Principio de seguridad que garantiza que la información esté accesible cuando se necesita.
- Ingeniería social
- Técnica de manipulación psicológica utilizada para engañar a empleados y conseguir que revelen información confidencial o de acceso sin darse cuenta.
- Decálogo de seguridad
- Conjunto de 10 normas clave establecidas por Correos que todos los empleados deben cumplir obligatoriamente para reforzar la seguridad de la información.
- Brecha de seguridad
- Incidente que resulta en el acceso no autorizado, pérdida o divulgación de información protegida.
- Malware
- Software malicioso diseñado para dañar, infiltrarse o comprometer sistemas informáticos sin el conocimiento del usuario.
- Contraseña robusta
- Contraseña que combina letras mayúsculas, minúsculas, números y caracteres especiales, con longitud suficiente para resistir ataques de fuerza bruta.
- Phishing
- Tipo de ataque de ingeniería social que utiliza correos electrónicos falsos para engañar a las víctimas y obtener información confidencial.
Preguntas frecuentes
¿Por qué es tan importante la seguridad de la información en Correos?
Correos gestiona un millón de datos personales, económicos y operativos que deben protegerse para cumplir la ley, mantener la confianza del cliente y prevenir fraudes.
La gestión de tal volumen de datos sensibles implica una gran responsabilidad. Una filtración puede suponer sanciones legales por incumplimiento de la normativa de protección de datos, pérdida de confianza de los clientes, daño reputacional a la organización y posibles fraudes o ciberataques que afecten tanto a la empresa como a sus clientes.
¿Cuáles son los tres principios fundamentales de la seguridad de la información?
Confidencialidad (solo accede quien debe), integridad (la información no se modifica sin control) y disponibilidad (está accesible cuando se necesita).
Estos tres principios, conocidos como la tríada CIA por sus siglas en inglés, son la base de cualquier sistema de seguridad de la información. Se aplican tanto a documentos digitales como físicos, y tanto dentro como fuera de las instalaciones de Correos.
¿Qué debo hacer si me ausento de mi puesto de trabajo aunque sea solo un momento?
Debes bloquear siempre tu equipo, sin importar el tiempo de ausencia.
Bloquear el equipo es la primera norma del decálogo de seguridad. Puedes hacerlo rápidamente con Windows+L. No importa si solo vas al baño o a hablar con un compañero; cualquier momento de descuido puede ser aprovechado para acceder a información confidencial.
¿Puedo usar mi USB personal para imprimir un documento en el trabajo?
No, está expresamente prohibido por el decálogo de seguridad usar pendrives no autorizados.
Los dispositivos USB personales pueden contener malware que infecte el sistema informático de la empresa. Este simple acto puede comprometer toda la red. Solo debes usar dispositivos USB autorizados y verificados por el departamento de seguridad.
¿Qué es la ingeniería social y cómo puedo identificarla?
Es una técnica de manipulación para obtener información confidencial mediante engaños, como hacerse pasar por un técnico o enviar emails falsos.
Las tácticas más comunes incluyen: hacerse pasar por un compañero o técnico, enviar emails falsos con archivos o enlaces maliciosos, llamar para pedir contraseñas con urgencia, o presentarse físicamente en la oficina para obtener acceso. La clave es la manipulación psicológica, creando confianza o urgencia para que bajes la guardia.
¿Qué hago si alguien me llama pidiendo mi contraseña para solucionar un problema técnico?
Nunca compartas tu contraseña. Verifica la identidad del solicitante llamando directamente al departamento técnico oficial.
Este es un caso típico de ingeniería social. Ningún técnico legítimo necesita tu contraseña para hacer su trabajo. Ante cualquier solicitud sospechosa: no proporciones información, verifica la identidad por canales oficiales, e informa al responsable de seguridad del intento.
¿El decálogo de seguridad aplica a todos los empleados o solo a los informáticos?
Es obligatorio para todos los empleados sin excepción: administrativos, técnicos y logísticos.
La seguridad de la información es responsabilidad compartida. No importa tu puesto o departamento; todos manejamos información que debe protegerse. Un descuido en cualquier área puede comprometer la seguridad de toda la organización.
¿Qué consecuencias puede tener un incumplimiento de las normas de seguridad?
Puede acarrear sanciones internas, brechas de seguridad, fugas de datos y posibles consecuencias legales.
Un simple descuido, como dejar un albarán con datos en la impresora, puede comprometer la confidencialidad y resultar en sanciones disciplinarias. En casos graves, las brechas de seguridad pueden suponer multas por incumplimiento de la normativa de protección de datos y daño reputacional a la empresa.
¿Debo reportar un incidente de seguridad aunque crea que es menor?
Sí, siempre debes notificar cualquier incidente al responsable de seguridad o canal correspondiente.
La notificación de incidentes es la norma número 10 del decálogo. Incluso los incidentes que parecen menores pueden ser indicadores de problemas mayores. La detección temprana permite una respuesta rápida y minimiza el daño potencial. No reportar por miedo o vergüenza solo agrava las consecuencias.
¿Cómo debe ser una contraseña robusta según las normas de seguridad?
Debe ser compleja, combinar diferentes tipos de caracteres, y cambiarse regularmente.
Una contraseña robusta combina letras mayúsculas y minúsculas, números y caracteres especiales. Debe tener una longitud suficiente (generalmente mínimo 8-12 caracteres) y no debe basarse en información personal fácil de adivinar. Además, debe cambiarse periódicamente según las políticas de la empresa.
¿Qué hago si recibo un correo electrónico sospechoso con un enlace o archivo adjunto?
No abras enlaces ni archivos sospechosos. Es una de las normas del decálogo de seguridad.
Los correos de phishing son una forma común de ingeniería social. Antes de abrir cualquier enlace o archivo, verifica el remitente, comprueba si el mensaje tiene sentido en tu contexto laboral, y si tienes dudas, consulta con el departamento de seguridad. Nunca hagas clic en enlaces de correos que generen urgencia o parezcan demasiado buenos para ser verdad.
Artículos relacionados
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Organización y Gestión del Área de Trabajo en Gabinetes de Dietética
Competencias esenciales para organizar, planificar y gestionar un gabinete de dietética de forma eficiente, segura y conforme a la normativa vigente.
Formas de Admisión de Envíos en Correos: Buzones, Domicilio y CityPack
Guía completa sobre las modalidades de admisión de envíos en Correos: buzones amarillos, recogida a domicilio, preregistro online, servicio sin espera y CityPack.
Admisión Unitaria de Envíos en OV2: Procedimientos y Elementos Identificativos en Iris
Guía completa sobre la admisión unitaria de envíos preregistrados en OV2, incluyendo elementos identificativos de etiquetas y procedimientos en el sistema Iris.
Admisión de Envíos Postales en Oficina: Aplicación Iris y Normativas
Guía completa sobre la admisión de envíos postales en oficinas de Correos mediante la aplicación Iris, incluyendo requisitos y normativa internacional.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Correos de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.