GUIAS DE SEGURIDAD UJA

4
Seguridad en el correo electrnico

Servicio de Informtica
Vicerrectorado de Tecnologas de la Informacin y la Comunicacin
Universidad de Jan
Edicin: enero 2013

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Contenidos
1. Introduccin
2. Peligros ms frecuentes asociados al correo electrnico
3. Consejos para un uso seguro del correo electrnico
4. Consejos de seguridad en el uso del correo web (webmail)
5. Seguridad en el correo electrnico de la UJA
5.1. Sistema Anti-SPAM centralizado
5.2. Configuracin del filtro de correo no deseado en Microsoft Outlook
5.3. Proteccin y anlisis del correo con Panda Antivirus

6. Referencias en Internet

Pgina 2 de 11

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 3 de 11

1. Introduccin
Segn recientes estadsticas, en el mundo existen ms de 500 millones de usuarios de correo
electrnico, lo que supone un enorme mercado para organizaciones y personas con fines
maliciosos.
Todos hemos recibido alguna vez en la bandeja de entrada de nuestro cliente de correo
electrnico mensajes cuyo contenido resulta cuando menos sospechoso. En los peores casos,
hemos aprendido a partir de la experiencia que abrir determinados mensajes de correo
electrnico, abrir determinados ficheros adjuntos o hacer clic en enlaces incluidos en
determinados mensajes pueden hacer que nuestro ordenador quede infectado por algn virus,
gusano, troyano o cualquier otro tipo de malware, nuestras contraseas pueden ser capturadas
o podemos ser vctima de algn tipo de estafa en Internet, por citar tan solo algunas de las
amenazas ms habituales.
No se trata de ser alarmistas, pero la realidad es que en Internet existen todo tipo de trampas y
artimaas diseadas para obtener algn tipo de beneficio de los usuarios, y actualmente la
mayor parte de esas amenazas llegan en forma de mensajes de correo electrnico.
En esta gua pretendemos identificar cuales son esas amenazas y al mismo tiempo, ofrecer una
completa lista de consejos y medidas a tener en cuenta para seguir haciendo uso de un sistema
de comunicacin tan habitual como es el correo electrnico, con las mayores garantas de
seguridad.

2. Peligros ms frecuentes asociados al correo electrnico

En la actualidad, las amenazas ms habituales asociadas al uso del correo electrnico son las
siguientes:

SPAM (correo basura)

basura):
ra) se calcula que ms del 73 % de correos electrnicos enviados en
todo el mundo actualmente son SPAM, y este porcentaje sigue creciendo.

Phishing (captura de credenciales):

credenciales) consiste en un mtodo fraudulento de capturar
informacin sensible, como nuestros nmeros y claves de cuentas bancarias o de
tarjetas de crdito. Se nos intenta engaar con mensajes que aparentan ser mensajes
oficiales de entidades financieras o empresas de nuestra confianza.

Estafas de todo tipo:

tipo donde se nos intenta vender productos falsos o inexistentes, se nos
solicita dinero aludiendo a buenas causas, ofertas de trabajo inexistentes, y un largo
etctera.

Correos con ficheros adjuntos maliciosos (virus, gusanos, troyanos).

troyanos) Actualmente es
una de los peligros ms extendidos. Recibimos un mensaje (de un remitente no
necesariamente desconocido ya que puede estar falsificado) con un fichero adjunto que
nos invita a abrirlo. Dicho fichero contiene cdigo malicioso que, si no disponemos de
software antivirus o antimalware adecuado, infecta nuestro equipo, con consecuencias
diversas. Muchos de estos ficheros infectados a menudo utilizan la libreta de direcciones
de nuestro cliente de correo para renviarse a su vez a todos nuestros contactos.

Cadenas de mensajes falsos (hoaxes o bulos)

bulos): generalmente se trata de mensajes
variados acerca de hechos o falsas alarmas de cualquier tipo, en los que se nos pide
que reenviemos y difundamos el mensaje entre nuestros conocidos. El problema de las
cadenas de mensajes falsos es el volumen de correos electrnicos que crea.. Si una
persona enva un mensaje a 10 personas y cada persona que le recibe enva el mensaje

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 4 de 11

a otras 10, en poco tiempo se habrn enviado millones de mensajes de correo, con el
coste asociado que esto tiene en cuando al tiempo de millones de personas leyendo el
mensaje y el coste de los servidores de correo que tienen que recibir, guardar y enviar
estos millones mensajes (y su posible cada de rendimiento y lentitud por la sobrecarga).

3. Consejos para un uso seguro del correo electrnico

Existen numerosos consejos a seguir para usar el correo electrnico de forma segura, muchos
de ellos de sentido comn:

Consejos de carcter general

21. Usar diferentes cuentas de correo electrnico: Un buen consejo prctico es mantener
varias cuentas de correo electrnico para diferentes usos. Se recomienda usar dos o tres
cuentas diferentes: una para el trabajo, otra para uso personal y una tercera para
subscripciones y recepcin de informacin. La cuenta de trabajo debe ser usada
exclusivamente para temas relacionados con el trabajo. La segunda cuenta de correo
electrnico debe ser usada para conversaciones con nuestros contactos personales, y la
tercera cuenta de correo electrnico deba ser usada para ser expuesta en Internet,
usndola para subscripciones a boletines de noticias y dems fuentes de informacin,
sin problema de que nos la puedan capturar. Igualmente, si tenemos que proporcionar
nuestra cuenta de correo electrnico en algn sitio de Internet, debemos usar esta
tercera cuenta de correo electrnico. Probablemente, ser en esta tercera cuenta donde
recibiremos la mayor parte del SPAM o correo sospechoso, pero las dems las
tendremos ms protegidas.
22. No use de forma habitual el correo electrnico para enviar y recibir informacin
sensible. Si necesita enviar datos importantes o sensibles a travs de correo electrnico,
en primer lugar, asegrese de que los protocolos de envo (SMTP) y recepcin
(POP3/IMAP) de correo configurados en el cliente son seguros.. En el caso de las
cuentas de correo de la UJA, se recomienda
recomienda la configuracin de esto
estos protocolos
protocolos
seguros (cifrados) de correo: SMTP Seguro (puerto 25 con TLS),
TLS), POP3S (puerto 995 con
SSL)
SSL) e IMAPS (puerto 993 con SSL).
SSL). Puede consultar las guas de configuracin segura
de correo en la siguiente direccin:
http://www10.ujaen.es/conocenos/servicios-unidades/sinformatica/guias/correoelectronico

7. Usar la opcin de copia oculta (BCC): Cuando incluimos las direcciones de correo
electrnico de una persona en el campo BCC ninguno de los receptores pueden ver
las direcciones de los otros receptores de correo electrnico, mientras que si utilizamos
CC, si se vern los destinatarios.
Cuando enviamos correo a un grupo diverso de personas sin usar el BCC ponemos en
peligro la privacidad y la seguridad. Basta con que un spammer consiga todos los
correos electrnicos e inmediatamente todos los destinatarios de nuestra lista sern
bombardeados con SPAM o phishing. Adems, muchos programas de correo
electrnico estn configurados por defecto para agregar de forma automtica las
nuevas direcciones de correo electrnico entrantes a la agenda. Esto significa que las
personas del grupo receptor del mensaje habrn aadido inadvertidamente la lista
entera a su libreta de direcciones, y como consecuencia, si el ordenador de alguno de
esos usuarios est infectado con malware podr estar enviando SPAM de forma
silenciosa sin que ste lo sepa.
8. Ser prudente a la hora de contestar. Aunque los clientes de correo suelen tener por
defecto la opcin de contestar slo al remitente, a veces por error podemos seleccionar
la opcin de Contestar a todos e incluir a todos los que estaban en el correo
electrnico original en la respuesta, con las consecuencias que ello pueda tener.

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 5 de 11

9. En muchos casos, el SPAM proveniente del reenvo de correo electrnico.

electrnico El reenviar
correos puede ser una excelente va para comunicarse con alguien sin tener que escribir
algo muy extenso. Pero cuando un correo electrnico se reenva, los receptores del
correo son aadidos de forma automtica al listado en el cuerpo del mensaje. Como la
cadena permanece continuamente en movimiento, cada vez se aaden ms y ms
receptores a la lista. Si ese correo finalmente llega a un spammer puede hacerse con
una gran cantidad de direcciones de forma inmediata. Slo se necesitan unos pocos
segundos para borrar todos las direcciones de mail recibidas antes de reenviar una
parte o la totalidad del correo, y ello puede evitar que por nuestra culpa, nuestros
contactos sean vctimas de SPAM o phishing.

Para evitar el correo electrnico fraudulento:

10. Aprenda a reconocer los fraudes por correo electrnico. Los correos electrnicos no
deseados usan una gran variedad de ttulos atractivos para conseguir que el
destinatario los abra. Muchos usuarios de correo electrnico a menudo cometen el error
de abrir estos correos electrnicos, abrir o ejecutar un adjunto malicioso o hacer clic en
un link incluido en el propio mensaje. Tenga especial cuidado en no abrirlos y elimine
directamente aquellos correos en los que:
o
o
o
o
o
o

Nos informen de que hemos ganado en cualquier tipo de lotera o sorteo o que
vamos a recibir cualquier tipo de premio.
Correos en los que nos informan de reyes o prncipes de Nigeria tratando de
enviarnos una enorme cantidad de dinero.
Los detalles de ninguna cuenta bancaria en ningn caso necesitan ser
reconfirmados inmediatamente.
Si nos informan de algn tipo de herencia sin reclamar.
Si nos indican que hemos ganado cualquier tipo de dispositivo electrnico o nos
informan de alguna oferta sospechosa.
Cualquier otro tipo de correo que nos resulte altamente sospechoso y que
provenga de remitentes que no conocemos.

11. Aprenda a reconocer los ataques de phishing en los mensajes de correo electrnico.
Aunque seamos el usuario de correo electrnico ms experimentado del mundo, antes
o despus acabaremos abriendo algn correo electrnico de phishing. En este punto, la
clave para limitar el dao est en reconocer este tipo de mensajes.
El phishing es un tipo de fraude en lnea donde el remitente del correo electrnico
Intenta engaarnos y nos solicita contraseas personales o informacin relacionada con
cuentas bancarias, por poner algunos ejemplos. El remitente generalmente roba el logo
de un banco o empresa muy conocida y trata de disear un mensaje de correo
electrnico para parecerse al que vendra del banco. Normalmente el correo electrnico
de phishing nos invita a hacer clic en un enlace a fin de confirmar nuestra informacin o
contrasea, pero tambin puede invitarnos a contestar al correo electrnico con nuestra
informacin personal. Si proporcionamos informacin personal, el estafador usar la
informacin para tratar de robar nuestra identidad y nuestro dinero.
Las pistas que nos pueden hacer sospechar de un phishing incluyen:
o
o
o
o
o

Un logotipo que parece distorsionado o estirado.

Mensajes que se refieran a nosotros como estimado cliente o estimado
usuario en lugar de incluir nuestro nombre real.
Mensajes que nos adviertan que una cuenta nuestra se cerrar a menos que
confirmemos nuestra informacin inmediatamente.
Mensajes que vengan de una cuenta de correo similar, pero diferente a una que
la compaa real que nos enva el correo usa normalmente.
Mensajes que informan de amenazas a la seguridad y requieren que actuemos
inmediatamente.

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 6 de 11

Si sospechamos que un correo electrnico es un intento de phishing, la mejor defensa

es no abrir nunca dicho mensaje. Y en caso de abrirlo, nunca debemos contestar ni
hacer clic en ningn enlace incluido en el mensaje.
12. Nunca enve informacin sensible por correo electrnico y nunca proporcione
informacin sensible a travs de ningn enlace ni formulario que aparezca en el correo
electrnico que ha recibido. Acceda siempre directamente a la web que se indica,
tecleando su direccin en el navegador, as evitamos en entrar en una direccin
maliciosa a travs de un enlace falsificado.
13. Nunca proporcione sus contraseas a nadie. Son totalmente personales!
personales! Si usted se las
proporciona a terceros, las
las acciones que realicen las harn en su propio nombre.
nombre.
14. Como norma general, no anule la suscripcin a boletines de noticias a los que nunca se
haya
haya suscrito.
suscrito Una tcnica comn usada por correos electrnicos no deseados es enviar
miles de boletines de noticias falsos de organizaciones con un enlace de tipo Darse de
baja o Unsubscribe en la parte inferior del boletn de noticias. Los usuarios de correo
que introducen su direccin de correo electrnico en ese link de la supuesta lista en
muchos casos sern vctimas de SPAM o phishing. Si no recordamos habernos subscrito
a un boletn de noticias, es mejor poner en lista negra la direccin de correo electrnico
o configurar un filtro para que todos los mensajes de esa direccin se enven
directamente a la papelera. En muchos clientes de correo directamente se pueden
marcar esos correos como SPAM y el filtro anti-SPAM del cliente automticamente los
filtrar y los eliminar.

Para evitar el malware a travs de correo electrnico:

15. Nunca abra ningn mensaje ni fichero adjunto de un remitente que desconozca o que
que
le resulte sospechoso. Elimine directamente este tipo de mensajes. Una buena prctica
si no estamos seguros es contactar con la persona que lo enva, para ver si realmente lo
ha enviado. Si al abrir un mensaje automticamente nos aparece alguna ventana o se
nos redirige a una pgina web donde se nos pide que instalemos algo, cierre la ventana
automticamente y elimine el mensaje de correo electrnico.
16. Es importante mantener actualizado el software antivirus y tenerlo configurado para
que analice todos los correos electrnicos entrantes.
17. Habilitar en el cliente de correo los filtros de correo electrnico no deseado.
deseado Estos filtros
inicialmente necesitan algo de entrenamiento para diferenciar el SPAM del correo real y
los usuarios deben tomarse el tiempo de marcar los mensajes que no han sido
clasificados por el filtro de correo no deseado. No obstante, es algo totalmente
recomendable, y en poco tiempo, la efectividad del filtro ser cada vez mayor y veremos
los resultados.

Otros consejos
18. No comparta la informacin de su cuenta de correo con otros.
otros. Todos lo hemos hecho:
necesitamos una comprobacin del correo urgente, llamamos a nuestro cnyuge o
amigo y le pedimos verificar nuestro correo electrnico. Por supuesto, confiamos en
estas personas, pero una vez la contrasea es conocida por alguien aparte de nosotros,
nuestra cuenta no es tan segura como debera serlo. El problema real es que quizs
nuestro amigo no use las mismas medidas de seguridad que nosotros. l podra estar
accediendo a su correo electrnico mediante una conexin inalmbrica sin garantas de
seguridad, quizs no tenga su antivirus actualizado, o podra haber sido infectado con
un keylogger (capturador de pulsaciones de teclado), que robe de forma automtica su
contrasea una vez que la escribe.

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 7 de 11

19. No use contraseas simples y fciles de adivinar. Los intrusos usan software que buscan
nombres comunes para generar posibles nombres de usuario y cuentas validas de
correo electrnico. Cuando abrimos un SPAM, en muchos casos se enva un mensaje de
vuelta al intruso indicndole que la cuenta es vlida, por lo que el siguiente paso es
tratar de adivinar su contrasea.
Los intrusos a menudo usan programas que realizan ataques de diccionario por fuerza
bruta, usando bloques de palabras comunes y combinaciones de nmeros a fin de
tratar de adivinar una contrasea. En consecuencia, las contraseas que consisten de
una palabra sencilla, un nombre, o una fecha son fcilmente adivinadas por los intrusos.
Por lo tanto, cuando cree una contrasea use nmeros poco comunes y combinaciones
de letras que no formen una palabra que se puedan encontrar en un diccionario. Una
contrasea segura debe tener un mnimo de ocho caracteres, usando maysculas y
minsculas, nmeros y caracteres especiales (%, &, $...).
Como consejo adicional, es muy recomendable cambiar sus contraseas (incluidas las
del correo electrnico) de forma peridica, al menos una vez al ao.
20. Cifre sus correos electrnicos importantes.
importantes. No importa cuantas precauciones tome para
minimizar las posibilidades de que su correo sea controlado por intrusos, siempre debe
asumir que alguna otra persona est mirando cualquier cosa que entre y salga de su
ordenador. Dada esta suposicin, es importante cifrar sus correos para asegurarse de
que si alguien est controlando su cuenta, al menos no pueden acceder lo que est
enviando. Consulte en la ayuda de su cliente de correo electrnico la forma de cifrar el
correo. Para ello, debe disponer de un certificado digital.
21. Haga peridicamente una copia de seguridad de su perfil de correo electrnico.
electrnico Para
hacer una copia de seguridad del perfil en Outlook, siga el siguiente procedimiento:
Microsoft Outlook guarda todos los mensajes de las carpetas personales en uno o varios
ficheros con extensin PST. Para hacer una copia de seguridad de tu correo debe
exportar todas las carpetas personales a ficheros .PST y posteriormente guardarlos en un
disco externo o CD/DVD. Para hacer una copia de seguridad:
1. Abra Outlook, elija su perfil y entre en el men Archivo > Abrir > Importar.
mportar.
2. Seleccione Exportar a un archivo y pulse en el botn Siguiente.
Siguiente.
3. Seleccione exportar a un Archivo de carpetas personales (.pst) y pulse Siguiente.
Siguiente.
4. Seleccione la carpeta a exportar y no olvide activar Incluir Subcarpetas
5. Guarde el archivo en un disco externo o en el directorio que luego grabar en
CD/DVD.
6. Finalmente, pulse Aceptar.
Aceptar
7. Repita los pasos para cada una de sus carpetas personales.
Nota:
Nota no olvide grabar a CD/DVD los ficheros exportados

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 8 de 11

4. Consejos de seguridad en el uso del

del correo web (webmail)
A menudo, consultamos nuestro correo directamente va web, con el sistema de webmail. En el
caso de la UJA, el sistema de webmail est accesible desde la siguiente direccin:
https://webmail.ujaen.es/webmail
Aqu van unos consejos de seguridad a tener en cuenta si usamos este sistema:
1. Siempre cierre la sesin de webmail antes de cerrar el navegador. Esto es una buena
costumbre, y algo especialmente necesario cuando est consultando su correo
electrnico en un sitio pblico, como una biblioteca o cibercaf. Para cerrar sesin en el
webmail de la UJA, basta con pulsar el botn desconectarse, de la barra de botones:

2. Cuando se consulta el webmail en lugares pblicos, es recomendable borrar la cache

del navegador, el historial y las contraseas.
contraseas La mayor parte de los navegadores
recuerdan de forma automtica todas las pginas web que hemos visitado (historial),
as como cualquier contrasea e informacin personal que hayamos tecleado con el
objeto de ayudar a completar formularios similares en el futuro. Si esta informacin cae
en malas manos, puede llevar a robos de identidad, robo bancario y robo de
informacin usando nuestra cuenta correo electrnico.
En Internet Explorer esto se hace desde el men Herramientas > Opciones de Internet,
Internet
haciendo clic sobre Eliminar. Marcamos los elementos a eliminar, y pulsamos de nuevo
el botn Eliminar:

En el caso de Mozilla Firefox, desde el men principal, hay que entrar en Historial >
Limpiar el Historial reciente.
Limpiar ahora:
reciente Marcamos todas las casillas y pulsamos en Limpiar
ahora

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 9 de 11

5. Seguridad en el correo electrnico de la UJA

5.1.

Sistema antianti-SPAM centralizado

La Universidad de Jan dispone de un sistema anti-SPAM para atenuar el aumento de las

amenazas a la seguridad contenidas en el correo, tales como SPAM, phishing, virus, etc... Este
sistema incorpora filtros centralizados que se aplican en el siguiente orden:

5.2.

Filtro de reputacin:
reputacin rechaza la conexin de mensajes entrantes cuando la reputacin
de los servidores emisores no sea buena. Esta reputacin se monitoriza diariamente por
miles de sensores repartidos por todo el mundo.
Filtro antivirus:
antivirus elimina todos los mensajes que contienen virus.
Filtro de contenidos:
contenidos analiza el contenido del mensaje, tratando de detectar el cualquier
tipo de SPAM. Si se considera que un mensaje es un correo basura se marca, aadiendo
en el asunto el texto: [POSIBLESPAM]. El usuario seguir recibiendo todos los mensajes,
pero con este sistema podr definir filtros en su lector de correo para moverlos a una
carpeta y, posteriormente, revisarlos o borrarlos, si lo cree conveniente. Esto permite
controlar la bandeja de entrada (Inbox), impidiendo que el correo basura se mezcle con
el resto de mensajes.

Configuracin del filtro de correo no deseado en Microsoft Outlook

Microsoft Outlook incluye un filtro de correo no deseado que ayuda a proteger nuestra cuenta
de las amenazas ms habituales (SPAM, phishing). Se puede acceder a este filtro desde un
men especfico (Correo no deseado) que aparece en el botn Eliminar de la barra de
herramientas Inicio:
Inicio

Este men nos permite bloquear correo procedente de un remitente determinado, y si

accedemos a las Opciones para el correo electrnico no deseado,
deseado podemos acceder a funciones
ms especficas como:

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 10 de 11

3. Gestionar las diferentes listas: remitentes seguros (lista blanca), remitentes bloqueados
(lista negra) y destinatarios seguros.
4. En el apartado de Opciones
Opciones podemos seleccionar el nivel de proteccin, adems de
poder deshabilitar automticamente enlaces y dems funciones peligrosas incluidas en
los mensajes as como avisar si en las direcciones de correo aparecen nombres de
domino sospechosos.

5.3.

Proteccin
Proteccin y anlisis del correo electrnico con Panda Antivirus

Panda AV, el antivirus que se usa oficialmente en la Universidad de Jan, cuenta con un mdulo
especfico para proteccin y anlisis de los mensajes de correo electrnico. Todas las opciones
de configuracin se encuentran detalladas en la web de Panda, en la siguiente direccin:
http://www.pandasecurity.com/homeusers/downloads/docs/product/help/ap/2012/sp/700.htm

En el caso de Panda AV 2012, la configuracin de la proteccin del correo electrnico se hace

desde la pantalla principal, en la opcin Protecciones > Configurar.
Configurar Debe estar marcada la casilla
Analizar
Analizar correo
correo

Si pulsamos el botn C
Configurar
onfigurar aparecen las diferentes opciones disponibles para la
proteccin del correo electrnico (tipo de mensajes a analizar (entrantes/salientes), tipo de
extensiones a analizar para los ficheros adjuntos, deteccin de hoaxes (opciones avanzadas),
acciones a realizar en caso de infeccin y la posibilidad de recibir alertas en tiempo real o por
correo electrnico en caso de infeccin):

GUIAS DE SEGURIDAD UJA

4. Seguridad en el correo electrnico

Pgina 11 de 11

6. Referencias en Internet
Universidad de Jan: Guas prcticas relacionadas con el correo electrnico
http://www10.ujaen.es/conocenos/servicios-unidades/sinformatica/guias/correoelectronico

Medidas de seguridad en el correo de Google

http://support.google.com/accounts/bin/answer.py?hl=es&answer=46526
Declogo de seguridad para el correo electrnico
http://www.baquia.com/blogs/seguridad/posts/2012-10-09-decalogo-de-seguridadpara-el-correo-electronico
Instituto Nacional de Tecnologas de la Comunicacin (INTECO)
http://cert.inteco.es/Formacion/Buenas_Practicas/Ciudadanos_Consejos_de_Seguridad/Correo_E

Oficina de Seguridad del Internauta (OSI)

http://www.osi.es/
Guardia Civil - Grupo de Delitos Telemticos:
https://www.gdt.guardiacivil.es
Polica Nacional Brigada de Investigacin Tecnolgica
http://www.policia.es/org_central/judicial/udef/bit_alertas.html