{"id":5095,"date":"2026-03-23T08:58:58","date_gmt":"2026-03-23T14:58:58","guid":{"rendered":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=5095"},"modified":"2026-03-23T09:01:03","modified_gmt":"2026-03-23T15:01:03","slug":"el-uso-del-correo-institucional-en-las-redes-sociales-trae-consigo-riesgos","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=5095","title":{"rendered":"El uso del correo institucional en las redes sociales trae consigo riesgos."},"content":{"rendered":"
\"\"

Utilizar el correo institucional para registrarse en redes sociales nos hace vulnerables. Imagen con IA.<\/p><\/div>\n

La lectura de un post en X (abres Twitter) del profesor Henry Ra\u00fal Gonz\u00e1lez Brito, especialista en Ciberseguridad y profesor de la Universidad de Ciencias Inform\u00e1ticas de Cuba, nos hizo reflexionar en la necesidad de compartir una reflexi\u00f3n sobre un tema que es muy importante y que se ha convertido en una brecha por la que son atacadas muchas instituciones a nivel global.<\/p>\n

La apertura de una cuenta en una red social puede ser un hecho emocionante, pero cuando solicitan un correo electr\u00f3nico para el registro y, sin pensarlo dos veces, se facilita la direcci\u00f3n de correo institucional, este acto puede desencadenar serios problemas en el futuro.<\/p>\n

<\/p>\n

Un acto que puede parecer inofensivo podr\u00eda abrir una puerta trasera directa al sistema inform\u00e1tico institucional, lo que propicia la exposici\u00f3n de informaci\u00f3n personal y de la organizaci\u00f3n. Por eso aqu\u00ed, se desglosa, punto por punto, por qu\u00e9 usar un correo institucional en redes sociales es como dejar las llaves de la instituci\u00f3n en la puerta de entrada.<\/p>\n

Son frecuentes las noticias sobre el hackeo en redes sociales. Cuando esto ocurre las filtraciones de datos son un fen\u00f3meno m\u00e1s com\u00fan de lo que la mayor\u00eda de las personas piensa. Estas grandes plataformas como Facebook, LinkedIn, Twitter (ahora X), entre otras han sufrido brechas de seguridad que dejan expuestos los datos de millones de usuarios. <\/p>\n

Cuando estos incidentes ocurren, los atacantes obtienen acceso a bases de datos que contienen nombres, correos electr\u00f3nicos, n\u00fameros de tel\u00e9fono y un cuantioso volumen de informaci\u00f3n personal. El problema se agrava en forma exponencial cuando el correo expuesto pertenece a una organizaci\u00f3n, porque inmediatamente se establece un v\u00ednculo directo entre la filtraci\u00f3n y la entidad.<\/p>\n

Visto de forma m\u00e1s profunda, al utilizar el correo personal, si este es filtrado, el da\u00f1o se limita principalmente al \u00e1mbito privado. Pero el sistema de correo utilizado es institucional, el atacante obtiene informaci\u00f3n del lugar de trabajo, el rol probable dentro de la organizaci\u00f3n, y de c\u00f3mo, potencialmente, podr\u00eda acceder a sistemas corporativos. En fin que, la identidad profesional queda vinculada directamente a esa filtraci\u00f3n, aumentando la vulnerabilidad de manera significativa y convierte a la persona en un objetivo m\u00e1s atractivo para un ciberdelincuente.<\/p>\n

La ciberdelincuencia en la actualidad no act\u00faa al azar. Siempre desarrollan una estrategia minuciosa de recopilaci\u00f3n de informaci\u00f3n de fuentes muy diversas, para as\u00ed, construir perfiles de sus posibles v\u00edctimas. Cuando un correo institucional es filtrado, se tiene la pieza central de un rompecabezas que los atacantes empiezan a recopilar y correlacionar datos y adicionar informaci\u00f3n de otras fuentes mediante un vasto y sofisticado arsenal de t\u00e9cnicas de inteligencia avanzada. De esta manera el ciberdelincuente llega a conocer a su posible v\u00edctima mucho mejor de lo que puede parecer.<\/p>\n

Ante la filtraci\u00f3n de un correo institucional los atacantes logran combinar: <\/p>\n

1. La informaci\u00f3n p\u00fablica en redes sociales que contiene fotos, publicaciones, ubicaciones, amistades, intereses, opiniones pol\u00edticas, estado sentimental, vacaciones planificadas y mucha informaci\u00f3n que se comparte de manera voluntaria y sin pensar en las consecuencias.<\/p>\n

2. Los datos del dominio institucional, que pueden incluir la estructura organizacional, jerarqu\u00eda corporativa, departamentos existentes, pol\u00edticas internas visibles, y cualquier otra informaci\u00f3n que pueda obtenerse a trav\u00e9s del sitio web corporativo o de filtraciones previas.<\/p>\n

3. Las brechas obtenidas previamente, que incluyen las contrase\u00f1as filtradas en incidentes anteriores, preguntas de seguridad respondidas en otros sitios, h\u00e1bitos digitales que se han revelado, y patrones de comportamiento que pueden ser explotados.<\/p>\n

El resultado de la anal\u00edtica realizada a este gran c\u00famulo de datos es un perfil muy completo que permite dise\u00f1ar por ejemplo, un ataque de phishing personalizado que hace que estos mensajes parezcan completamente leg\u00edtimos y aumentan dram\u00e1ticamente la probabilidad de que las v\u00edctimas sean atrapados en la trampa que fue tendida de manera minuciosa con la cooperaci\u00f3n de la propia persona.<\/p>\n

Cuando el phishing escala estos niveles los resultados son desastrosos y eso lo ha convertidos en una de las t\u00e9cnicas de ataque m\u00e1s efectivas y devastadoras en el panorama actual de ciberseguridad y aunque no todos los ataques de phishing son iguales, esta modalidad est\u00e1 entre las m\u00e1s peligrosas porque el correo institucional es la llave maestra que permite la personalizaci\u00f3n.<\/p>\n

En este Blog se han publicado varios trabajos sobre el phishing<\/a> por lo que no se considera conveniente realizar nuevamente el an\u00e1lisis de las t\u00e9cnicas y formas de ataque. Pero si se debe recalcar que lo sofisticado de estas agresiones ha alcanzado niveles alarmantes porque se estudian los patrones de comunicaci\u00f3n de la organizaci\u00f3n, replican estilos de escritura, e incluso pueden hacer referencia a eventos o proyectos internos reales que se han obtenido a trav\u00e9s de la informaci\u00f3n p\u00fablica. La personalizaci\u00f3n hace que estos mensajes parezcan completamente leg\u00edtimos y burlen incluso al personal m\u00e1s capacitado y experimentado.<\/p>\n

Este proceso mediante el que se usan cuentas de correo para \u201cdarse de alta\u201d en las redes sociales trae consigo uno de los riesgos m\u00e1s subestimados, pero que es potencialmente devastador: la suplantaci\u00f3n de identidad. <\/p>\n

Con el acceso a un correo institucional filtrado, el atacante puede hacerse pasar por la persona para contactar dentro y fuera de la organizaci\u00f3n. Esta t\u00e9cnica, conocida como Business Email Compromise (BEC)<\/i>, es responsable de p\u00e9rdidas millonarias en todo el mundo y representa una de las amenazas m\u00e1s serias para las organizaciones en la actualidad. El problema est\u00e1 en que el atacante logra enga\u00f1ar porque ha logrado acopiar un volumen tal de informaci\u00f3n con cuyos detalles puede convencer a sus v\u00edctimas de que el mensaje es genuino.<\/p>\n

Con el uso de la suplantaci\u00f3n de identidad el atacante puede obtener nuevas posibilidades que son virtualmente infinitas entre las que pueden citarse el acceso a informaci\u00f3n sensible para escalar en los ataques, la autorizaci\u00f3n de transacciones fraudulentas, la manipulaci\u00f3n de procesos que pueden provocar dudas y confusiones que son aprovechadas en el delito. Todo esto aprovechando la confianza inherente a las comunicaciones internas de la organizaci\u00f3n sin que medie el algoritmo de detenerse \u2013 pensar \u2013 verificar<\/b> que caracteriza al pensamiento cr\u00edtico.<\/p>\n

Como es com\u00fan en los ataques, muy rara vez el delincuente se detiene despu\u00e9s de obtener el acceso. Una filtraci\u00f3n inicial produce un \u201cefecto domin\u00f3\u201d que convierte el hecho en punto de partida para una cadena de intrusiones y compromisos que se expanden como como olas en un mar brav\u00edo. Lo que comenz\u00f3 con un correo expuesto en una red social puede terminar en un incidente de seguridad que afecte a toda la organizaci\u00f3n.<\/p>\n

La afirmaci\u00f3n anterior puede verse materializada en diversos aspectos de la vida de una organizaci\u00f3n a trav\u00e9s de:<\/p>\n

* Accesos no autorizados a plataformas institucionales mediante el uso de las credenciales filtradas que posibilitan el acceso a sistemas de correo, redes virtuales privadas institucionales (VPN), plataformas de colaboraci\u00f3n, bases de datos internas, y sistemas de gesti\u00f3n cr\u00edticos, donde cada acceso adicional proporciona m\u00e1s informaci\u00f3n que sirve de combustible para nuevos pasos en el ataque.<\/p>\n

* Robo de informaci\u00f3n personal con lo que los atacantes pueden acceder a datos de personas con las que se tienen relaciones contractuales, informaci\u00f3n financiera, datos de investigaciones y propiedad intelectual, en fin, datos sensibles ubicados en los sistemas comprometidos. Toda esta informaci\u00f3n puede ser vendida, utilizada para extorsi\u00f3n, o empleada en futuros ataques.<\/p>\n

* Riesgos para la organizaci\u00f3n se manifiestan en que los impactos pueden incidir en el \u00e1mbito financiero, pero llegar a la necesidad de costos de remediaci\u00f3n, multas regulatorias por incumplimiento de protecci\u00f3n de datos, interrupci\u00f3n de operaciones, y potencial litigio por parte de partes afectadas.<\/p>\n

Da\u00f1o en la imagen institucional y de la persona implicada porque un incidente de seguridad puede erosionar la confianza en el radio de acci\u00f3n y porque la recuperaci\u00f3n de unaa reputaci\u00f3n da\u00f1ada lleva a\u00f1os de trabajo y puede tener efectos duraderos en la imagen institucional.<\/p>\n

En los \u00faltimos a\u00f1os a nivel global, el costo promedio de una brecha de datos, se ha incrementado significativamente seg\u00fan estudios recientes. Pero m\u00e1s all\u00e1 del impacto financiero, hay otras consecuencias, personas que pierden su trabajo, otros sufren fraudes, organizaciones que no se recuperan completamente del incidente, entre muchas otras. Una decisi\u00f3n aparentemente inocente como usar el correo del trabajo en una red social puede tener ramificaciones que se extienden mucho m\u00e1s all\u00e1 de lo que se pudiera anticipar.<\/p>\n

Por ello, despu\u00e9s de analizar todos estos riesgos, la conclusi\u00f3n es clara e ineludible y funciona como una regla de oro: el correo institucional es una identidad formal vinculada a una organizaci\u00f3n y debe usarse exclusivamente para cumplir las misi\u00f3n para la que fue creada<\/b>. No es una cuesti\u00f3n de preferencia personal ni de conveniencia, sino un principio fundamental de higiene digital que protege tanto al individuo como a la organizaci\u00f3n. Usar el correo institucional en redes sociales aumenta exponencialmente los riesgos de seguridad y puede comprometer irreversiblemente a toda la instituci\u00f3n y aumenta el \u00e1rea de exposici\u00f3n a un impacto.<\/p>\n

Cuando se recibe la identificaci\u00f3n corporativa, no se utiliza para entrar a otras instituciones, es solo para uso profesional. Con el correo institucional se debe actuar de la misma manera. Para las redes sociales y en cualquier plataforma de car\u00e1cter personal, lo m\u00e1s seguro es usar un correo personal dedicado exclusivamente a este fin.<\/p>\n

Existe un conjunto de aspectos que se establecen como buenas pr\u00e1cticas y que deben ser atendidas para evitar estar involucrado en un incidente de estas caracter\u00edsticas.<\/p>\n

* Mantener separaci\u00f3n estricta entre cuentas personales y profesionales. Se debe utilizar correos diferentes para cada \u00e1mbito y nunca mezclar los usos, incluso aunque parezca inconveniente en un momento dado.<\/p>\n

* Revisar la configuraci\u00f3n de privacidad en todas las redes sociales para limitar la cantidad de informaci\u00f3n p\u00fablica disponible sobre la persona, esto incluye lugar de trabajo y otros detalles que podr\u00edan ser explotados por un atacante.<\/p>\n

* Utilizar la autenticaci\u00f3n de factores m\u00faltiples en todas las cuentas, con esta medida de seguridad adicional puede prevenir el acceso no autorizado incluso si la contrase\u00f1a est\u00e1 comprometida.<\/p>\n

* Reportar inmediatamente cualquier actividad sospechosa como es la recepci\u00f3n de correos inusuales o notas comportamiento extra\u00f1o en las cuentas. Es importante notificar en un breve plazo a los directivos y el personal de seguridad inform\u00e1tica.<\/p>\n

* Participar activamente en programas de concienciaci\u00f3n y formaci\u00f3n continua sobre el manejo seguro de las TIC que son esenciales para enfrentar las amenazas emergentes y poseer las mejores pr\u00e1cticas de protecci\u00f3n.<\/p>\n

Como se ha mencionado veces la seguridad de la informaci\u00f3n en las organizaciones no es responsabilidad exclusiva de los especialistas en TIC o en ciberseguridad. Todo el personal desempe\u00f1a un papel crucial en la protecci\u00f3n de los activos de informaci\u00f3n y cualquier decisi\u00f3n por insignificante que parezca, como es el caso del uso del correo para registrarse en una red social, pueden tener consecuencias muy serias.<\/p>\n

Cada vez que se requiera del aporte de datos en una plataforma, no solo cuando se solicita un correo electr\u00f3nico, es necesario hacer un alto para reflexionar y cuestionar desde posiciones cr\u00edticas si esa entrega es necesaria y que costos pudiera tener en el futuro para la seguridad y la imagen personal y de la instituci\u00f3n. La ciberseguridad comienza con decisiones conscientes, y la decisi\u00f3n de separar tu correo institucional del personal es una de las m\u00e1s importantes que debe ser tomada en cuenta.<\/p>\n

Es vital recordar que el correo institucional es una llave digital de la instituci\u00f3n y debe ser protegida como cualquier otra llave valiosa. El sistema inform\u00e1tico de la instituci\u00f3n ser\u00e1 m\u00e1s s\u00f3lido con estas pr\u00e1cticas.<\/b><\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

La lectura de un post en X (abres Twitter) del profesor Henry Ra\u00fal Gonz\u00e1lez Brito, especialista en Ciberseguridad y profesor de la Universidad de Ciencias Inform\u00e1ticas de Cuba, nos hizo reflexionar en la necesidad de compartir una reflexi\u00f3n sobre un … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[56,75,14,20,24,53,29],"tags":[],"class_list":["post-5095","post","type-post","status-publish","format-standard","hentry","category-buenas-practicas","category-huella-digital","category-incidentes","category-phishing","category-prevencion","category-redes-sociales","category-suplantacion-de-identidad"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/5095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5095"}],"version-history":[{"count":3,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/5095\/revisions"}],"predecessor-version":[{"id":5103,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/5095\/revisions\/5103"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}