A estas alturas la mayoría de usuarios es consciente de que utilizar una cuenta de correo personal para los mensajes profesionales es una mala idea. No obstante, mucha gente no ve el mismo inconveniente en utilizar una dirección corporativa para registrarse en redes sociales, servicios online y otros recursos no profesionales. Al fin y al cabo, es práctico recibir todos los mensajes -personales y profesionales- en un solo buzón.
Uno de los problemas básicos que plantea esta situación es el volumen de información. Ver más mensajes en tu bandeja de entrada crea dificultades de gestión y los elementos peligrosos se vuelven más difíciles de detectar. Cuantos más correos electrónicos personales leas en horario laboral, más probabilidades tendrás de hacer clic accidentalmente en un archivo adjunto de malware o de seguir un enlace de phishing.
Por otro lado, cuando se trata de proteger los datos de tus clientes, no todos los recursos en línea son iguales. Las bases de datos, por ejemplo, se han convertido en un objetivo prioritario de los spammers, que compran o roban listas de direcciones para inundarlas después con enlaces maliciosos o mensajes de phishing. Y cuantos más recursos se vinculen a una cuenta de correo corporativo, más amenazas potenciales aparecerán en su bandeja de entrada.
Conciliación y seguridad
Hay muchas razones para no mezclar el correo electrónico de la empresa con el personal. Una de las principales es la seguridad de la información, pero no es la única. Además, hay otros argumentos en contra: por un lado, tener una sola dirección puede crear un desequilibrio entre la vida laboral y la privada. Por otro, está la falta de privacidad (los administradores pueden tener acceso al correo del trabajo). Y puede crear problemas en caso de despido, al perder el empleado el acceso a su información.
Otro de los principales problemas es que facilita el acceso a tu información desde el exterior. Antes de enviar un correo electrónico de phishing a una dirección específica los ciberdelincuentes recopilan información disponible online, utilizando herramientas especializadas para saber qué dirección corresponde a un usuario en las redes sociales, sus credenciales, su presencia en línea, etc. El uso de una dirección corporativa para fines no comerciales facilita la elaboración de perfiles, ya que ayuda a los atacantes a construir un perfil social del empleado más completo, lo que le hace más vulnerable al spear-phishing en la primera etapa de un ataque corporativo.
Sistema de alertas
Porque, en definitiva, los ciberdelincuentes utilizan las estrategias que creen más efectivas para atrapar mejor a sus víctimas. Si descubren que has utilizado tu dirección de correo corporativa para registrarte en otro sitio, pueden considerar que es probable que hagas clic en un correo electrónico de phishing; una de las estrategias más habituales es tratar de disfrazar el mensaje malicioso como una notificación legítima de un servicio profesional realmente contratado por la empresa.
Actualmente muchos servicios envían una notificación al titular de la cuenta en caso de que alguien intente iniciar sesión desde una dirección IP desconocida o intenta cambiar la contraseña. Se trata de una precaución fundamental porque en caso de una brecha de seguridad el tiempo es clave; con suficiente tiempo un hacker profesional puede burlar la mayoría de defensas. En este sentido es fundamental que las notificaciones estén correctamente organizadas y lleguen al correo de manera que sean visibles. De esta forma, si has vinculado tu dirección a recursos externos, cuando los hackers (o sus bots) empiecen a intentar comprometer tus redes sociales u otras cuentas personales, tu bandeja de entrada se llenará rápidamente de alertas.