Recomendaciones de seguridad de la información
Para BNP Paribas Cardif Colombia la seguridad de la información es uno de los aspectos principales sobre los cual trabajamos de manera constante. A continuación compartimos diferentes recomendaciones para proteger los datos de situaciones fraudulentas.
- Phishing: modalidad de robo de información mediante la cual se simula un mensaje official de una entidad para obtener fraudulentamente las contraseñas y cuentas de los usuarios.
- Spoofing: robo de información simulando un sitio web oficial, en donde el usuario confiado digita su información personal, como usuario, contraseñas, números de cuenta, entre otros.
- Keylogger: programas o aparatos que capturan lo que el usuario digita por teclado, captura de pantalla en espacios consultados, para posteriormente extraer datos confidenciales de los cuales puedan sacar beneficio económico.
- Pharming: manipulación de las direcciones DNS que utilizan los usuarios y los llevan a páginas web falsas, que simulan ser las de entidades bancarias o de portales de ventas online, entre otras.Una vez allí, el usuario digita sus datos, los cuales son capturados y utilizados para la ejecución de fraudes.
- Ingeniería social: técnica especializada del uso de acciones estudiadas y habilidosas que permitan manipular a las personas para que realicen actos que normalmente no harían.
- Ciberseguridad: es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad.
- Ciberespacio: entorno virtual resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red, el cual no existe en ninguna forma física.
- Para hacer uso de nuestros canales de forma segura, recuerda que nunca te solicitaremos por correo ni teléfono información confidencial, como: usuarios, claves, saldos, movimientos, números completos de cuentas y tarjetas de créditos. ¡Nunca la reveles! La seguridad de la información es un compromiso entre Cardif, sus socios y clientes.
- Evita el uso de computadores públicos para las comunicaciones. Para contactarte con nuestros canales de atención, utiliza computadores de confianza o equipos de uso personal.
- Por tu seguridad, hay información confidencial que no podemos enviar ni recibir por correo datos.
- Evita acceder a la página de Cardif a través de links o enlaces recibidos a tu correo, ya que pueden conducirte a sitios no confiables.
- Nunca accedas a la página web de Cardif a través de enlaces publicados en los buscadores (Google, Yahoo, MSN, Bing, entre otros), estos pueden redireccionarte a una página falsa. Digita bnpparibascardif.com.co
a. Correos electrónicos fraudulentos (SPOOFS)
Los usuarios de internet deben informarse acerca de los spoofs (imitaciones o engaños), mensajes de correo electrónico que parecen provenir de una compañía reconocida y que pueden representar un riesgo.Estos mensajes pueden ser difíciles de identificar.
Generalmente le piden que haga clic en un link que conduce a un sitio sweb falso (sitio spoof, que luce igual al real) para que ingrese, actualice o confirme información personal y/o confidencial. Para atraerlo a la persona, pueden hacer referencia a alguna condición urgente o amenazadora acerca de su cuenta.
Los mensajes de correo electrónico falso buscan capturar:
- Clave de cajero automático (PIN)
- Código para validación de tarjetas de crédito
- Número de tarjeta de crédito o débito
- Número de cédula
- Número de cuenta bancaria
- Contraseña del portal
Aunque no se provean los datos que piden, un simple clic en un link dentro de un correo electrónico fraudulento puede disparar secretamente la instalación de software que graba la actividad de tu teclado (key logging) o la instalación de un virus.
Algunas advertencias sobre posibles correos fraudulentos:
- Fallas en ortografía
- Al pasar el puntero del mouse la URL es diferente frente a la que está redactada.
- Los logos corporativos difieren de los legítimos.
- La dirección de correo electrónico no finaliza con las direcciones reales.
b. Imitación de sitios web
No existe un método exacto para identificar sitios web o correos electrónicos fraudulentos o falsos, las siguientes situaciones pueden dar señales de posibles ataques:
- Transmisión de un comunicado de urgencia. Por ejemplo: tiene una multa de tránsito, demanda por alimentos o citación en juzgado.
- Existen links dentro del mail que parecen legítimos porque contienen todo o parte del nombre de una compañía real. Estos links pueden conducirte a sitios web falsos (o ventanas pop-up) que te piden que ingreses, actualices o confirmes información personal y/o confidencial.
- Errores de ortografía obvios, permitiendo evitar filtros que usan los ISP para correo no deseado (spam).
- Los sitios web falsos pueden ser más difíciles de identificar porque en el campo de dirección y el candado en la parte inferior de tu browser pueden ser imitados. Para asegurarse que se encuentra en nuestro sitio web, digitar www.bnpparibascardif.com.co directamente en el navegador.
- Actualizar el navegador, sistema operativo y antivirus: las actualizaciones de software normalmente incluyen mejoras de seguridad. Por ejemplo, en el sitio web de Microsoft se puede escanear el computador para asegurarse de que el software está o no actualizado. Verifica que tu computador personal disponga de la versión más actualizada de software antivirus.
- No dar clicen los links que se encuentren dentro de mensajes de correo electrónico no solicitados, especialmente aquellos que piden información personal. Con solo hacer clic en estos links puede facilitarse el acceso de malware al computador, que puede grabar lo que se teclea y capturarcontraseñas al ingresar a sitios web.
- Administrar sigilosamente sus contraseñas.
Las contraseñas son la llave para identificarse ante los sistemas. Si comparte la contraseña o escoge una que pueda ser fácilmente adivinada, es posible que otros tengan acceso a sus cuentas, pueden enviar correos electrónicos en nombre propio, obtener información sensible que permita realizar transacciones usando algún identificador. Por esto, se recomienda seguir los siguientes principios:
a. Selecciona contraseñas robustas
Al menos ocho caracteres alfanuméricos de longitud, incluyendo una mezcla de mayúsculas, minúsculas, números y el uso de caracteres especiales o símbolos (i.e. #$%^&).
En la contraseña no se recomienda incluir:
- ID de usuario
- Nombres comunes de personas o lugares
- Nombres de familiares o mascotas
- Fechas de cumpleaños
- No uses números secuenciales (123, abcd, password1, password2, etc.)
Proteja la contraseña
- Nunca compartirla con nadie
- Jamás anotarla
- Cambiar las contraseñas periódicamente
- Estar atento de los alrededores al momento de digitarla, para prevenir que alguien la vea
Si sospecha que su contraseña ha sido comprometida, cámbiela inmediatamente y comuníquese con áreas de atención, con el fin de identificar transacciones sospechosas y bloquear la cuenta o producto de ser necesario.
b. Reportar en menor tiempo posible
En caso de recibir correos electrónicos sospechosos que soliciten diligenciar datos o contraseñas, por favor repórtelo de inmediato a seguridad.informatica@cardif.com.co y haga caso omiso a la solicitud.
Recomendaciones de seguridad por teléfono:
- En teléfonos con pantalla, verificar que al marcar la tecla “redial” no quede almacenada la información digitada (número de identificación, de cuenta o tarjeta, clave, etc...).
- Realizar las operaciones desde lugares y teléfonos que sean de su confianza.
- No realizar operaciones marcando números telefónicos desconocidos.
- Nunca tomar como legítimos los mensajes en los cuales solicitan llamar a un supuesto número de la entidad.
- No realizar operaciones en computadores públicos (bibliotecas, centros comerciales, cafés Internet, etc.) o desde computadores desconocidos.
- Evitar realizar operaciones utilizando redes públicas inalámbricas.
- Para acceder a la página de la entidad financiera, siempre digita su dirección de Internet (por ejemplo www.bancoabc.com.co); nunca a través de un link o enlace.
- Nunca ingresar a la página de la entidad financiera por los enlaces o links que muestran los buscadores.
- Mantener en secreto las claves que se usan en Internet.
- Verificar la dirección de la página donde se pide información confidencial (documento de identidad, números de cuentas, claves, etc.) comience con https://
- Culminar la sesión con las opciones de salida segura que ofrece cada sitio Web, tan pronto se finalicen las operaciones o en retiro temporal del computador.
- Actualizar periódicamente el software del computador, así como el paquete de seguridad.
- No hacer caso a los correos electrónicos que advierten sobre problemas en la cuenta o soliciten la verificación o el suministro de información financiera. No responder a estos correos, ni hacer click en ningún enlace que aparezca en el mensaje. Alerte de esta situación al área de Seguridad de la Información.
- No llamar a los números telefónicos que aparezcan en correos supuestamente enviados por tu entidad, si se requiere contactarla buscar el número telefónico en un directorio o en el sitio Web oficial de la entidad.
- Considere sospechoso toda solicitud de información personal por correo electrónico.
- Nunca enviar por correo electrónico información personal como números de tarjeta de crédito o débito, identificación personal, claves o PIN.
