skip to main content

Centro de Servicio

Guía de protección contra el robo de identidad comercial

21 formas de proteger su negocio contra el fraude y robo de identidad

Los estafadores empresariales y los ladrones de identidad son inteligentes y decididos, y pueden aprovecharse rápidamente de los propietarios de empresas que no toman ciertas precauciones para proteger su empresa.

Las siguientes son algunas de las acciones proactivas que usted y sus empleados pueden tomar para ayudar a evitar que los delincuentes usen la información de identidad de su empresa para robarle o cometer fraude en su nombre.

Proteja sus cuentas bancarias empresariales contra el fraude

1. Active controles de seguridad y autenticación para protegerse contra transferencias bancarias fraudulentas y transacciones electrónicas.

  • Los ataques DDoS internos se dirigen a los Proveedores de Servicios de Internet (ISP) de su empresa para distraerlos lo suficiente para hacerse pasar por usted y obtener acceso a sus cuentas de pago por transferencia y electrónicas.
  • Los ataques DDoS externos se dirigen a sistemas bancarios y recursos técnicos con el fin de distraerlos el tiempo suficiente para obtener acceso remoto no autorizado a la cuenta de un cliente y cometer fraude por medio de transferencias ACH (Automated Clearing House) y transferencias bancarias (apoderarse de la cuenta).

El fraude por transferencias bancarias y pagos electrónicos son amenazas serias para las empresas. A través de programas espía y las credenciales bancarias comprometidas, los delincuentes pueden hacer pagos y transferencias fraudulentas desde la cuenta bancaria de la empresa. Debido a que estas transacciones ocurren rápidamente, las empresas a menudo no detectan el fraude a tiempo y es demasiado tarde para detener la transferencia o recuperar los fondos. Las empresas afectadas por fraude con transferencias bancarias regularmente sufren pérdidas significativas y solo pueden recuperar parte de los fondos robados, si es que logran recuperar algo.

Si su empresa utiliza transferencias bancarias, comuníquese con The Provident Bank y pida la autenticación doble o dual en cualquier transferencia. Eso significa que una transferencia no se originará automáticamente cuando alguien la pida. El banco debe dar el paso siguiente obteniendo una segunda autorización de alguien en su empresa, por escrito o en persona, antes de completarla.

  • Provident Bank le sugiere que nos dé información sobre sus transacciones regulares de transferencias bancarias (por ejemplo, cantidad, día y hora).

Si su empresa no hace transferencias bancarias, considere consultar con el banco si puede filtrar, limitar o bloquear las transferencias bancarias por completo.

2. Monitoree y concilie sus cuentas empresariales diariamente.

  • Regístrese para banca en línea.
  • Regístrese para recibir alertas por correo electrónico.

La revisión frecuente de la cuenta y el aviso inmediato de transacciones sospechosas o fraudulentas pueden reducir la responsabilidad de su empresa y la posible pérdida por fraude. La banca en línea le permite iniciar sesión rápidamente en su cuenta y ver el saldo y las transacciones de su cuenta empresarial. Provident Bank también envía alertas por correo electrónico de la actividad en su cuenta, lo que puede ayudar a alertarlo sobre transacciones sospechosas. Con la banca en línea, también puede eliminar los estados de cuenta impresos por correo, lo que puede reducir aún más el riesgo de que puedan robar o esté expuesta su información bancaria empresarial.

3. Piense en "seguridad" cuando acceda a sus cuentas en línea.

  • Acceda a sus cuentas bancarias en línea y otras cuentas financieras usando una computadora en la que mantenga regularmente actualizado el software comercial de antivirus/antispyware/seguridad en Internet.
  • No confíe en versiones limitadas de software de seguridad.
  • La computadora que use para acceder a sus cuentas no la deben usar otras personas ni usarla para actividades no comerciales, como correos electrónicos o navegar en la web.
  • Use contraseñas fuertes y complejas que otros no puedan adivinar fácilmente; deben de tener por lo menos 8 caracteres, incluyendo una combinación de letras mayúsculas y minúsculas, caracteres especiales y números.
  • Cambie sus contraseñas cada 60 días y no use las mismas contraseñas en otros sitios web ni en cuentas en línea.
  • No inicie sesión en sus cuentas en línea usando puntos de acceso públicos ni zonas Wi-Fi, que pueden ser inseguros.

4. Tenga cuidado con las estafas de phishing.

  • No responda a correos electrónicos sospechosos.
  • No haga clic en vínculos sospechosos.

Las estafas de phishing con correo electrónico están diseñadas para engañarlo a usted o a sus empleados para que revelen información confidencial de su cuenta personal y empresarial (por ejemplo, SSN, número de identificación del empleador, número de identificación del contribuyente, número de cuenta, nombre de usuario, contraseña, etc.) El IRS, las agencias gubernamentales y las instituciones financieras legítimas nunca piden que usted dé ni que "verifique" esta información en comunicaciones por correo electrónico. Si usted o sus empleados reciben dicho correo electrónico, notifique al departamento de fraude de su banco. No responda al correo electrónico y no haga clic en ningún vínculo, ni abra ningún archivo adjunto en el correo electrónico, ya que esto puede conectarlo a un sitio web fraudulento o hacer que se instale un programa espía en su computadora.

5. Si paga con cheque de la compañía, inscríbase en Positive Pay.

Provident Bank ofrece servicios de Positive Pay que pueden reducir significativamente las pérdidas por fraude en cheques empresariales. Cuando escribe cheques empresariales, le da al banco una lista de números de cheques y las cantidades en dólares. El banco compara con la lista cualquier cheque que reciba para pago. Si un cheque no coincide, se identifica como una "excepción" y no se paga.

6. Conserve seguros los suministros de la cuenta empresarial de cheques.

Los cheques, las boletas de depósito, los sellos de endoso y todos los demás suministros y registros de la cuenta de cheques deben mantenerse en un lugar seguro al que no puedan acceder personas no autorizadas.

Proteja su información empresarial e identificadores

7. Conserve todos los documentos que contienen información empresarial o identificadores comerciales en un lugar seguro y al que no puedan acceder personas no autorizadas.

Asegúrese de proteger y asegurar los documentos impresos que tengan identificadores comerciales, números de cuenta y otra información confidencial en todo momento. Tenga presente a todas las personas que podrían ver o tener acceso a estos documentos (ya sea que estén autorizados o no), incluyendo a los clientes, visitantes, contratistas, personal de limpieza, etc.

8. Triture de forma segura los documentos viejos o innecesarios que tengan información empresarial o identificadores comerciales.

Triture cualquier documento viejo o innecesario que tenga números de licencia comercial, registros comerciales, EIN/TIN, números de cuenta, etc. con una trituradora de corte cruzado, de confeti o de diamante tallado. También puede emplear los servicios de una compañía de destrucción de documentos segura. Cualquier documento para triturar debe colocarse en un recipiente con cierre seguro o en un área de almacenamiento bajo llave a la que no puedan acceder personas no autorizadas.

Proteja y monitoree su tarjeta de crédito empresarial, cuentas de proveedores y comerciales

9. Mantenga un inventario de cuentas e información de contacto clave.

Conserve en un lugar seguro una lista de sus cuentas empresariales, incluyendo acreedor/institución financiera, números de cuenta, números de tarjeta, etc. para los departamentos de facturación y de fraude, para minimizar el tiempo necesario para hacer notificaciones en el caso de que se descubra un fraude.

10. Revise cuidadosamente y concilie los estados de cuenta tan pronto como los reciba.

Esté atento a compras o transacciones inusuales o sospechosas, y comuníquese de inmediato con el acreedor si descubre alguna actividad no reconocida o fraudulenta, sin importar qué tan pequeña sea. Tenga en cuenta que una táctica criminal frecuente es hacer pequeñas compras en una tarjeta comprometida, generalmente de $5 a $10, y esperar para ver si notan la transacción fraudulenta antes de hacer compras más grandes.

11. Pida referencias comerciales y crediticias para notificarle si son contactadas.

Si su empresa da o mantiene una lista de referencias comerciales o crediticias, pida a cada referencia que le notifique si un tercero se comunica con ellos.

Proteja y revise regularmente su expediente de crédito comercial

12. Revise los informes de crédito comerciales.

Aunque Dun & Bradstreet puede ser la fuente más reconocida para la verificación comercial e informes de crédito, las tres agencias nacionales de crédito (Equifax, Experian y TransUnion) también ofrecen servicios de créditos. Puede obtener copias de sus informes de crédito de cada una de estas organizaciones, revisarlas para detectar actividades sospechosas y asegurarse de que la información sea precisa. Estas organizaciones también ofrecen servicios con tarifa para monitorear su expediente de crédito comercial y alertarlo sobre cambios.

Dun & Bradstreet www.dnb.com Llamada sin costo: 1-800-234-3867
Equifax  www.equifax.com Llamada sin costo: 1-800-525-6285
Experian  www.experian.com Llamada sin costo: 1-888-397-3742
TransUnion  www.transunion.com Llamada sin costo: 1-800-680-7289

13. Mantenga separadas las finanzas empresariales y las finanzas personales.

Evite usar las tarjetas de crédito, cuentas y líneas de crédito personales para su empresa y use solo tarjetas empresariales para gastos y transacciones relacionados con la empresa. Si una cuenta empresarial se ve comprometida, cualquier método de pago personal (incluyendo los números de tarjeta o de cuenta) asociado con esa cuenta también puede estar en peligro.

Proteja sus computadoras y redes empresariales

14. Restrinja el uso de las computadoras de su empresa solo a actividades empresariales.

Actividades como la navegación informal por Internet, el uso de redes sociales (por ejemplo, Facebook, Twitter, LinkedIn), juegos en línea, descarga de programas y uso compartido de archivos, exponen las computadoras de su empresa a virus y programas espía que pueden poner en peligro sus operaciones comerciales, sus cuentas y la información confidencial de su empresa, clientes y empleados.

15. Instale y use regularmente un antivirus/antispyware/software de seguridad de Internet actualizado.

Asegúrese de instalar un programa que escanee activamente y se actualice con frecuencia para mantenerse al día con las nuevas amenazas.

16. Mantenga la última versión de los parches de seguridad y las actualizaciones.

  • Sistemas operativos (Windows, Mac)
  • Navegadores (Internet Explorer, Safari, Firefox, Chrome)
  • Microsoft Office
  • Productos Adobe
  • Flash
  • Java

Es de vital importancia verificar e instalar periódicamente las actualizaciones de seguridad para el sistema operativo y los navegadores de Internet de su computadora para asegurarse de que tiene las últimas versiones diseñadas para proteger contra las vulnerabilidades de software conocidas. Debe configurar su sistema para verificar e instalar las actualizaciones de seguridad importantes no menos de una vez por semana.

17. Instale y use un firewall en las computadoras o en la red de la empresa.

Un firewall es un programa de software o dispositivo de hardware que monitorea y controla las conexiones externas a su computadora o red. Muchos enrutadores incluyen un firewall integrado que ayuda a evitar las conexiones externas no autorizadas o no deseadas. Asegúrese de cambiar la contraseña administrativa predeterminada en su enrutador.

18. Asegure la red inalámbrica de su empresa.

Si su empresa usa una red inalámbrica y no está protegida (encriptada), otros pueden obtener acceso a su red. Generalmente las señales de Wi-Fi pueden extenderse unos pocos pies más allá del perímetro del edificio. Los dispositivos de red inalámbricos disponibles para la venta generalmente no vienen con las funciones de seguridad activadas. Debe revisar la documentación del producto para aprender cómo configurar las funciones de seguridad del dispositivo o llamar al fabricante si necesita ayuda. WPA2 es el estándar de cifrado de red inalámbrica más utilizado y está disponible en la mayoría de los dispositivos de red inalámbricos modernos. Asegúrese de cambiar la contraseña administrativa predeterminada del enrutador inalámbrico.

Conozca los riesgos y capacite a sus empleados

19. Lo que usted y sus empleados no saben puede dañar su negocio.

Proteger su empresa y la información confidencial de la empresa, clientes y empleados es responsabilidad de todos en su organización. Los empleados debidamente capacitados son su primera línea de defensa porque entienden los riesgos, saben cómo proteger la información y pueden reconocer y detener el fraude y los riesgos de seguridad de la información antes de que afecten a su empresa.

Proteja la presencia pública y en línea de su negocio

20. Base de datos Whois y servicios de privacidad de dominio.

  • Registre su nombre de dominio de forma privada

Los ladrones, estafadores y spammers examinan con frecuencia la base de datos pública Whois, que da información sobre el propietario registrado de un nombre de dominio de Internet (incluyendo el nombre del propietario, contactos clave, dirección, correo electrónico y teléfono) que se puede utilizar en una variedad de estafas y también para correos no deseados. Si su empresa tiene uno o más dominios de Internet o mantiene un sitio web, considere optar por un servicio de privacidad de registro de dominio que reemplace la información de su empresa en la base de datos Whois por la del proveedor de servicios de dominio. Su empresa conserva la propiedad y el control completos del dominio, pero la información está mejor protegida contra estafadores, spammers y miradas indiscretas. 

Proteja su negocio contra la manipulación humana

21. Cuidado con la ingeniería social.

Ingeniería social es el arte de manipular a las personas para que den información confidencial. En un ataque de ingeniería social, un agresor utiliza la interacción humana (competencias sociales) para obtener o comprometer información sobre una organización o sus sistemas informáticos. Un agresor puede parecer modesto y respetable, posiblemente afirmando ser un nuevo empleado, reparador o investigador. Incluso podría mostrarle credenciales para respaldar una identidad falsa. Sin embargo, al hacer preguntas, el delincuente puede reunir suficiente información para infiltrarse en la red de una organización.

Para proteger su negocio contra la ingeniería social:

  • No dé nombres de empleados ni corrija a personas que buscan información confidencial.
  • Sospeche de llamadas telefónicas no solicitadas, visitas o mensajes de correo electrónico de personas que preguntan sobre empleados u otra información interna. Si una persona desconocida afirma ser de una organización legítima, verifique la identidad directamente con la empresa.
  • No dé información personal ni información sobre su organización, incluyendo su estructura o redes, a menos que esté seguro de la autoridad que tiene una persona para recibir la información.
  • No revele información personal ni financiera en el correo electrónico, y no responda correos electrónicos que le pidan esa información. Esto incluye los vínculos que le envían por correo electrónico.
  • No envíe información confidencial por Internet antes de verificar la seguridad del sitio web.
  • Preste atención a la URL del sitio web. Los sitios web maliciosos pueden parecer idénticos a un sitio legítimo, pero la URL puede tener una variación en la ortografía o un dominio diferente Por ejemplo:
    • www.criminal.ebay.com (Este es ebay.com)
    • www.ebay.criminal.com (Este es criminal.com)
  • Si no está seguro si una solicitud de correo electrónico es legítima, verifíquela comunicándose con la empresa directamente. No use la información de contacto que está en el sitio web asociado con la solicitud; en vez de eso, verifique la información de contacto en una documentación segura. La información de los ataques de phishing conocidos también está disponible en línea en grupos como el Grupo de Trabajo Anti-Phishing (http://www.antiphishing.org).
  • Aproveche las funciones contra la suplantación de identidad (anti-phishing) ofrecidas por su cliente de correo electrónico y navegador web.

¿Qué hacer si cree que ha sido víctima?

  • Si cree que sus cuentas financieras pueden estar comprometidas, comuníquese con el Centro de Contacto para Clientes del Banco Provident al 1-800-448-7768, de lunes a viernes, de 8:00 a. m. a 7:00 p. m. y los sábados de 9:00 a. m. a 2:00 p. m.
  • Si cree que podría haber revelado información confidencial sobre su organización, repórtelo a las personas apropiadas dentro de la organización, incluyendo a los administradores de la red. Ellos podrán estar atentos a cualquier actividad sospechosa o inusual.
  • Cambie de inmediato cualquier contraseña que haya revelado. Si usó la misma contraseña para varios recursos, asegúrese de cambiarla en cada cuenta y no la use en el futuro.
  • Considere denunciar el ataque a la policía. 
  • Presente una queja ante la Comisión Federal de Comercio (Federal Trade Commission, FTC) en (http://www.ftc.gov/).

Recursos

Para obtener más información, visite el Centro de seguridad Provident

Sitio web de US Cert: http://www.us-cert.gov/home-and-business

APWG: Unificación del sitio web Global Response to Cybercrime: http://www.antiphishing.org

Gran parte de esta información es de la Organización de Robo de Identidad Empresarial en: http://www.businessidtheft.org/

JOIN THE CONVERSATION