Amenazas

Los usuarios de servicios en línea son objetivos potenciales de intentos de robo de credenciales de inicio de sesión y otra información confidencial. Entre estas amenazas se incluyen correos electrónicos fraudulentos (phishing y malware) y llamadas de teléfono que intentan recopilar información que se pueda utilizar para obtener acceso no autorizado o información privilegiada.

Phishing y malware

No sea una víctima más de correos electrónicos simulados ("phishing"), en los que los delincuentes por Internet han creado un sitio Web a imitación de un sitio real, como la página de inicio de sesión de salesforce.com. Si utiliza las siguientes sugerencias, puede evitar ser víctima de este tipo de actos fraudulentos:
  • Observe en todo momento el icono de candado en la esquina inferior derecha del navegador (consulte las imágenes siguientes).
  • Desconfíe de los mensajes de correo electrónico que incluyan vínculos a la página de inicio de sesión de salesforce.com. No haga clic en estos vínculos; inicie sesión en salesforce.com de una de las dos siguientes formas:
    (1) Introduzca " https:///www.salesforce.com/login.jsp" en el campo de la dirección
    (2) Haga clic en la ficha Inicio de sesión de cliente en la página de inicio de salesforce.com, (www.salesforce.com)
  • Inicie sesión en su entorno Sandbox de Force.com sólo en la siguiente dirección segura: https://test.salesforce.com/login.jsp.

 

trust.salesforce.com


Ejemplos de correos electrónicos sospechosos

Los correos electrónicos de phishing intentan engañarle para que revele información confidencial, solicitándole que "compruebe" o "actualice" sus datos. Este tipo de correos electrónicos pueden utilizar los logotipos de empresas o de organismos públicos para parecer auténticos.

Una pista es que este tipo de mensajes suelen estar mal redactados o contienen faltas de ortografía. Sin embargo, a medida que los timadores van perfeccionando sus técnicas, sus métodos son más variados y redactan sus mensajes de forma que tengan una apariencia más seria. Otra pista para detectar este tipo de vínculos es que no coinciden con las URL a las que intentan suplantar.

El ejemplo siguiente muestra algunos de los timos más comunes, pero debe estar preparado para cualquier cosa, ya que cuando los usuarios detectan el timo, los delincuentes por Internet crean métodos nuevos.

 

trust.salesforce.com
trust.salesforce.com "Estimado usuario de Salesforce..." Sospeche de los correos electrónicos que no mencionen su nombre y que no contengan ningún tipo de información específica. Este tipo de mensajes se suelen enviar de forma masiva, sin ningún tipo de información identificativa.
trust.salesforce.com "Sospechamos que se ha producido una transacción no autorizada en su cuenta. Para asegurar que su cuenta no está en peligro, confirme su identidad ..." Algunos correos electrónicos le piden que conteste, porque su seguridad se ha puesto en peligro.
trust.salesforce.com "Compruebe su cuenta ..." Las compañías no le preguntarán que envíe sus contraseñas, nombres de inicio de sesión, números de la seguridad social u otro tipo de información confidencial por correo electrónico.
trust.salesforce.com "Si no responde en 48 horas, cerraremos su cuenta ..." o bien "Si desea que se le devuelva el dinero ..." Una táctica es dotar al mensaje de un sentido de urgencia , provocando a la gente a que responda rápidamente sin pensárselo.


Recuerde, las empresas reales no le solicitarán información confidencial por correo electrónico. Si recibe este tipo de correos electrónicos, no los responda ni pulse en ningún vínculo que contengan. Envíe el mensaje a security@salesforce.com y elimínelo.


Tenga cuidado con los vínculos y archivos adjuntos sospechosos.
Los ataques de software dañino también provienen por correo electrónico y utilizan muchas de las tácticas del phishing. Estos correos electrónicos incluyen vínculos o archivos adjuntos que instalan código malicioso, como programas que capturan pulsaciones del teclado en su equipo. A medida que los usuarios se vuelven más precavidos con los archivos adjuntos con extensiones .exe o con extensiones desconocidas, los delincuentes de Internet comienzan a utilizar archivos adjuntos con extensiones aparentemente inofensivas como .doc o .pdf. Y la mayoría de usuarios siguen confiando en los vínculos que reciben por correo electrónico.


trust.salesforce.com Tenga cuidado con los vínculos que no conozca.
trust.salesforce.com Desconfíe de los vínculos que contengan URL que parezcan similares a vínculos reales, por ejemplo “www.salsforce.com” o “verify-salesforce.com”.
trust.salesforce.com Incluso si un vínculo parece correcto, asegúrese que introduce la URL de la empresa en la barra de direcciones usted mismo. Los ciberdelincuentes pueden crear vínculos que tengan la apariencia de llevarle a un sitio real, pero le llevan a otro sitio.


trust.salesforce.com


Informe de correos electrónicos sospechosos
Si recibe un correo electrónico sospechoso que implica a la marca salesforce.com, envíe un informe a: https://trust.salesforce.com/trust/security/reportsecurityissue/

Llamadas telefónicas sospechosas

Muchos clientes han informado de haber recibido llamadas telefónicas de personas que se hacen pasar por empleados o agentes de salesforce.com. Algunos de estas llamadas intentan obtener sus credenciales de salesforce.com, una práctica ilegal conocida como "ingeniería social".

Así es como suele funcionar:
  • Una persona identifica empresas que utilizan salesforce.com buscando ofertas de empleo, etc.
  • La persona se pone en contacto con el cliente y pregunta por la persona responsable de salesforce.com o por el administrador de salesforce.com. Esa persona puede ofrecer una "nueva versión de salesforce.com".
  • La persona solicita las credenciales de inicio de sesión para "instalar las mejoras" o para realizar otras acciones en la organización del cliente.


Qué debe hacer:
  • Recuerde a sus usuarios que los empleados de salesforce.com nunca le preguntarán sus nombres de usuario o contraseñas.
  • Si uno de sus usuarios revela sus credenciales de inicio de sesión, deberá restablecer inmediatamente la contraseña del usuarios y alertarnos a: security@salesforce.com
  • Si la persona se identifica como empleado de salesforce.com y no reconoce su nombre, pídale una dirección de correo electrónico y un número de teléfono para ponerse en contacto. A continuación, llame a nuestro número 1-800-NO-SOFTWARE (1-800-667-6389) para verificar si la persona que se ha puesto en contacto con su empresa es empleado de salesforce.com.

Precauciones contra el virus H1N1

La Organización Mundial de la Salud he designado oficialmente una pandemia por el virus H1N1. Pensamos que le resultaría de interés saber que salesforce.com está trabajando para garantizar la seguridad de sus empleados y la continuación del servicio.

salesforce.com ha implementado un plan de preparación ante la pandemia, que se creó y se validó a manos de International SOS, el proveedor más grande del mundo de asistencia médica, sanidad internacional, seguridad y servicios de transporte. El plan permite a los empleados responder de forma eficaz y efectiva a una pandemia, empleando un enfoque por fases, de modo que se mantienen las operaciones esenciales y la transmisión del virus pandémico se ve reducida entre empleados, clientes y socios.

Los clientes que deseen más información deben solicitar un informe detallado a través de su representante de cuenta.

La información anterior referente a la preparación ante la pandemia del virus H1N1 sólo tiene fines informativos. Salesforce.com se esfuerza en proporcionar información que sea precisa a fecha de la publicación de este documento. Los procedimientos y políticas descritos anteriormente pueden cambiar en cualquier momento.

Fraudes de phishing recientes

Los fraudes de phishing utilizan correos electrónicos para hacer que los usuarios revelen información confidencial. Dichos correos electrónicos normalmente simulan que proceden de una organización de confianza y pueden contener vínculos que parecen ser el sitio de la organización, pero realmente se trata de un sitio falso diseñado para obtener información.

Como estos fraudes se hacen cada vez más sofisticados, puede resultar difícil reconocer si el correo electrónico es de confianza o falsificado. La mejor forma de evitar los engaños es saber lo que se debe buscar: Lea nuestra carta de seguridad para conocer las medidas que puede adoptar para evitar el phishing.

No caiga en el fraude de phishing... Para obtener información detallada sobre alertas de seguridad recientes, haga clic aquí o compruebe estos ejemplos de fraudes recientes: 

Haga clic en una imagen en miniatura para obtener información: