Tu empresa verse envuelta en un problema de hackeo con dos situaciones distintas:
- Que le pagues a un hacker en vez de a tu proveedor.
- Que algún cliente tuyo le pague a un hacker en vez de pagarte a ti.
Hay algunas medidas técnicas imprescindibles para que no hackeen tu correo electrónico:
- Que las contraseñas de las cuentas de correo electrónico sean suficientemente seguras y si es posible que el acceso al correo utilice un segundo factor de autenticación.
- Que los equipos informáticos que utilices tengan un sistema operativo actualizado y que tengan activado el antivirus.
QUE NO TE ENGAÑEN: No pagues al hacker: Paga a tu proveedor.
El eslabón más débil en la cadena de la ciberseguridad solemos ser las personas. Si un hacker envía un correo desde facturacion@provedor.com en vez de facturacion@proveedor.com es posible que muchas personas caigan en la trampa (la primera dirección tiene proveedor sin una “e”).
Por eso, además de recomendar la máxima atención a todos los empleados, es conveniente aplicar también algunas medidas organizativas.
Por ejemplo: Sólo pagaremos facturas a la cuenta registrada del proveedor. Si un proveedor nos pide que cambiemos la cuenta, confirmaremos la nueva cuenta:
Para ello le podemos pedir un pdf donde indique el cambio de cuenta y que tenga la firma digital de representante. (O bien del banco, o bien del representante legal de nuestro proveedor). OJO: Si se trata de un hacker espabilado, puede que aporte un certificado en pdf. Lo importantes es que comprobemos que se trata CON LA FIRMA DIGITAL VÁLIDA. Ejemplo:
Otra comprobación factible es llamar por teléfono al proveedor. OJO: Busca en internet su teléfono, pero desconfía del teléfono en la factura o en el correo, un hacker espabilado pondrá su teléfono en la factura y te confirmará encantado la cuenta para que le pagues a él.
QUE NO ENGAÑEN A TUS CLIENTES POR TU CULPA:
Si tu empresa tiene un dominio propio (ejemplo: miempresa.com) es importante que configures las DNS del dominio activando la política DMARC que indique a todos los servidores de correo electrónico del mundo, que sólo deben aceptar correos de los orígenes autorizados por tu empresa.
Esto es especialmente importante si emites facturas de más de 1000 euros a tus clientes.
Durante la próxima revisión anual tu consultor lo revisará y te informará de si tu dominio está correctamente protegido frente a ataques de phishing.