El phishing es una técnica en la que actores maliciosos se hacen pasar por marcas de confianza, incluida la tuya, para engañar a la gente y que comparta información sensible como contraseñas, datos de pago o credenciales de cuenta.
Como los clientes de Duda crean y gestionan sitios web para sus propios clientes, los ataques de phishing en el ecosistema de Duda pueden atacar varios niveles: directamente tú o tus clientes mediante la suplantación de tu negocio. Esta guía ofrece pasos prácticos para proteger tanto tu cuenta Duda como a tus clientes.
Los sistemas de Duda no fueron comprometidos. Estas campañas de phishing son llevadas a cabo por actores externos que emplean información empresarial pública para hacer pasar por clientes de Duda. Esta guía se proporciona únicamente con fines informativos y no constituye una asunción de responsabilidad o responsabilidad por parte de Duda.
-
Duda nunca pedirá la contraseña de tu cuenta por email, teléfono o chat.
-
Duda nunca pedirá información de pago a través de enlaces de email.
-
Duda nunca se pondrá en contacto contigo ni con tus clientes a través de los formularios de tu sitio o el toolCRM.
Si recibes un mensaje que haga cualquiera de las cosas anteriores, no es de Duda.
-
Comprueba la dirección de email del remitente. Busca errores ortográficos, caracteres extra o dominios que imiten direcciones legítimas (por ejemplo,
support@dudda.coen lugar de@duda.co). -
Estate atento a la urgencia o amenazas. Mensajes que te presionan para que "actúes inmediatamente" o que advierten de suspensión de cuentas son tácticas habituales.
-
hover antes de que hagas clic. Previsualiza los destinos de los enlaces sin hacer clic — si la URL no apunta a un dominio que reconoces, no hagas clic en ella.
-
Verifica de forma independiente. Si un mensaje dice ser de Duda, inicia sesión directamente en tu cuenta de Duda (no por email) para confirmarlo.
-
Emplea SSO si está disponible para centralizar la gestión de acceso y hacer cumplir las políticas de seguridad de tu organización.
-
Como mínimo, activa la autenticación de dos factores (2FA) en tu cuenta de Duda y en todos los servicios asociados — email, registrador de dominios, hosting y proveedores de pago.
-
Emplea contraseñas fuertes y únicas para cada servicio. Cámbialos inmediatamente si sospechas que pueden estar comprometidos.
-
Audita las licencias de usuario de manera regular y elimina el acceso a quien ya no lo necesite.
Una autenticación de email correctamente configurada es una de las formas más efectivas de evitar que los atacantes envíen correos que parezcan provenir de tu dominio:
-
SPF (Marco de Políticas del Remitente) — especifica qué servidores de correo están autorizados para enviar emails para tu dominio.
-
DKIM (DomainKeys Identified Mail) — firma criptográficamente los correos salientes para que los destinatarios puedan verificar que realmente provienen de tu dominio.
-
DMARC (Autenticación, Reportes y Autenticación de Mensajes Basada en Dominio; Conformidad) — instruye a los servidores de correo receptores sobre cómo manejar mensajes que no superan las comprobaciones SPF/DKIM, y te da visibilidad sobre los remitentes no autorizados.
Revisa tus reportes DMARC de manera regular para detectar el uso no autorizado de tu dominio.
-
Mantén actualizados los sistemas operativos, navegadores y plugins.
-
Emplea un antivirus o un software de protección de endpoints de confianza.
-
Activar el cifrado de disco en todos los dispositivos empleados para gestionar los sitios clientes.
-
Limita las extensiones de navegador a las confiables y necesarias: las extensiones maliciosas son un vector común de robo de credenciales.
Dado que los ataques de phishing pueden dirigir a tus clientes suplantando tu negocio, te recomendamos:
-
Diles a tus clientes lo que harás y lo que no harás. Hazles saber que nunca pedirás contraseñas ni información de pago por email.
-
Anima a los clientes a verificar antes de actuar. Si reciben un email inesperado que parece provenir de tu negocio, deberían contactarte directamente usando un número de teléfono o email conocido, no a través de enlaces en el mensaje sospechoso.
-
Pide a los clientes que te reenvíen emails sospechosos para que puedas evaluar, denunciar y alertar a otros clientes si es necesario.
-
Cambia todas las contraseñas de las cuentas afectadas inmediatamente.
-
Contacta con tu registrador de dominio para cerciorar el acceso al dominio y activar los bloqueos a nivel de registrador.
-
Haz un escaneo completo de malware o antivirus en cualquier dispositivo que interactuó con el contenido de phishing.
-
Notifique a los clientes afectados y aconsejeles que monitorear las cuentas y contacten con sus instituciones financieras.
-
Informa a Duda en [email/formulario dedicado de phishing] para que podamos seguir la campaña y ayudar.
-
Presenta un reporte ante las autoridades competentes (por ejemplo, FBI IC3 en ic3.gov, FTC en reportfraud.ftc.gov o su equivalente local).
Esta guía se proporciona únicamente con fines informativos como recurso para los clientes de Duda. No constituye asesoramiento legal, de ciberseguridad ni profesional. Duda no hace ninguna garantía ni garantía respecto a la integridad o efectividad de estas recomendaciones y no asume responsabilidad ni responsabilidad por las acciones de actores amenazantes externos ni por pérdidas derivadas de campañas de phishing, accesos no autorizados u otros incidentes de seguridad.