Buenas prácticas para la seguridad de las cuentas

Propósito

Este manual describe los mecanismos de seguridad disponibles en el Área de Cliente INTROSERV y las prácticas recomendadas para proteger su cuenta. Especifica las herramientas disponibles, cómo utilizarlas y las mejores prácticas para evitar accesos no autorizados y mantener la integridad de la cuenta.

Alcance y audiencia

Público destinatario: Clientes nuevos y existentes de INTROSERV responsables de la gestión de cuentas, facturación y administración de servicios.

Este manual cubre las características de seguridad dentro del Área de Cliente INTROSERV y las prácticas para la protección de la cuenta personal. No cubre la seguridad a nivel de servidor, el endurecimiento de aplicaciones o la seguridad de la infraestructura más allá de los controles de acceso a la cuenta.

1. Visión general

El Área de Cliente INTROSERV incluye varias herramientas de seguridad para evitar el acceso no autorizado: contraseñas seguras, autenticación de dos factores (2FA), restricciones de acceso IP, información de contacto verificada y registro de actividad con revisión del historial.

Ninguna medida de seguridad por sí sola proporciona una protección completa. INTROSERV recomienda el uso conjunto de varias herramientas de seguridad para proteger su cuenta. Las medidas de seguridad son acumulativas; cada control añadido reduce significativamente el riesgo.

Capas de seguridad

El sistema de seguridad de la cuenta opera a través de cinco capas complementarias:

Contraseña fuerte - Primera barrera contra ataques de fuerza bruta y de relleno de credenciales.
Autenticación de dos factores (2FA): segunda barrera de protección contra el robo de contraseñas y el inicio de sesión no autorizado.
Restricciones de acceso IP - Control perimetral que limita el acceso únicamente a las ubicaciones de confianza
Verificación de contactos - Capa de recuperación y verificación de identidad para la restauración de cuentas, incluida una palabra clave opcional para la confirmación de identidad durante operaciones delicadas
Registro de actividad - Capa de detección que registra las operaciones de la cuenta y permite revisar el historial de acceso en busca de indicios de compromiso.

2. 2. Seguridad de contraseñas

2.1 Requisitos de las contraseñas

Una contraseña segura es la base de la protección de cuentas.

Ubicación: Configuración > Seguridad > Cambiar contraseña

Las contraseñas seguras deben incluir

Mínimo 12 caracteres (16+ recomendado para cuentas críticas)
Letras mayúsculas y minúsculas
Números y caracteres especiales (!@#$%^&*)
Contraseña única para cada servicio (no reutilice contraseñas)

Ejemplos de contraseñas seguras:

Zk9$Pm2#Vx7nQ!wL
¡Blue$Sky-River-92!

Ejemplos de contraseñas débiles (no utilizar):

INTROSERV123
qwerty2024
mypassword
123456789

2.2 Gestión de contraseñas

Utiliza un gestor de contraseñas para almacenar y generar contraseñas seguras. Los gestores de contraseñas las cifran localmente y sólo requieren una contraseña maestra para acceder a ellas.

2.3 Cambiar la contraseña

Importante: Cambie su contraseña inmediatamente si sospecha de un acceso no autorizado o si puede haber sido comprometida.

3. Autenticación de dos factores (2FA)

3.1 Cómo funciona la 2FA

La autenticación de dos factores refuerza la protección de la cuenta al requerir tanto su contraseña como un código único generado por una aplicación autenticadora.

Ubicación: Configuración > Seguridad > Autenticación de dos factores

3.2 Activar 2FA

Para activar 2FA, sigue estos pasos:

Abre la sección Autenticación de dos factores en Configuración > Seguridad.
Escanee el código QR mostrado con una aplicación de autenticación:

Google Authenticator
Authy
Microsoft Authenticator
Cualquier aplicación TOTP compatible

Introduzca el código de 6 dígitos generado por la aplicación
Guarde los cambios

3.3 Cuando se requiere 2FA

La verificación 2FA es necesaria para iniciar sesión en la cuenta. Una vez autenticado, podrá acceder a todas las funciones de la cuenta dentro de su sesión activa.

3.4 Códigos de recuperación

Cuando activa 2FA, el sistema genera códigos de recuperación. Guarde estos códigos de forma segura por si pierde el acceso a su dispositivo autenticador. Los códigos de recuperación le permiten recuperar el acceso a su cuenta si su autenticador no está disponible.

Importante: Guarde los códigos de recuperación en un lugar seguro y separado del dispositivo de autenticación. Los códigos de recuperación conceden acceso completo a la cuenta. Trátalos con el mismo nivel de seguridad que tu contraseña maestra.

4. Palabra de código

Una palabra de código es una función de seguridad opcional que se utiliza para verificar su identidad durante las operaciones sensibles de la cuenta y las interacciones de asistencia.

Propósito: La palabra clave protege contra el acceso no autorizado incluso si alguien ha obtenido sus credenciales. Sirve como paso final de verificación de identidad al contactar con el servicio de asistencia.

Ubicación: Configuración > Seguridad

Cuándo se utiliza: El servicio de asistencia de INTROSERV le pedirá su Palabra clave solo cuando se ponga en contacto con el servicio de asistencia para restablecer el acceso a su cuenta (contraseña olvidada, dispositivo 2FA perdido, etc.). Esto confirma que usted es el propietario de la cuenta.

El servicio de asistencia puede solicitar su palabra clave cuando usted:

Solicite el restablecimiento de la contraseña
Informar de un acceso no autorizado a la cuenta
Realice cambios en la información de facturación o pago
Solicite modificaciones de servicios sensibles

Importante: Nunca comparta su palabra clave si alguien se pone en contacto con usted en primer lugar alegando ser del servicio de asistencia de INTROSERV. El personal de soporte legítimo sólo se lo solicitará cuando usted inicie una solicitud de recuperación.

5. Restricciones de acceso IP

5.1 Finalidad

La función "Restricción por IP" limita el acceso a la cuenta únicamente a las direcciones IP de confianza. Una vez configurada, sólo podrá acceder a su cuenta desde las direcciones IP indicadas.

Ubicación: Configuración > Seguridad > Restricción por IP

5.2 Configuración

Vaya a Configuración > Seguridad > Restricción por IP.
Añada una o más direcciones IP de confianza
Sólo se permitirá el acceso desde las direcciones indicadas
Todos los demás intentos de acceso serán bloqueados

5.3 Cuándo utilizar restricciones por IP

Las restricciones por IP se recomiendan si:

Usted accede a su cuenta desde una dirección IP estática (invariable) de su oficina o domicilio.
Quiere la máxima seguridad para su cuenta
Su organización tiene una red corporativa con una IP fija

Nota: No active las restricciones de IP si su dirección IP cambia con frecuencia (por ejemplo, si utiliza redes móviles). Póngase en contacto con el servicio de asistencia de INTROSERV si está bloqueado debido a restricciones de IP.

6. Verificación de la información de contacto

6.1 Verificación del correo electrónico

Se requiere información precisa del correo electrónico para la recuperación de contraseñas, notificaciones de seguridad y verificación de la cuenta.

Ubicación: Configuración > Configuración general

El correo electrónico debe tener el estado "Confirmado" para:

Solicitudes de restablecimiento de contraseña
Recibir notificaciones de seguridad
Procedimientos de recuperación de cuenta

Para verificar su correo electrónico

Vaya a Configuración > Configuración general
Haga clic en el enlace de verificación situado junto a su dirección de correo electrónico
Complete el proceso de verificación

6.2 Verificación del número de teléfono

La verificación del número de teléfono es necesaria para verificar la identidad durante las interacciones de soporte y las operaciones sensibles de la cuenta.

Ubicación: Configuración > Configuración general

Para verificar su número de teléfono

Vaya a Ajustes > Ajustes generales
Haga clic en el botón "Confirmar con llamada" situado junto a su número de teléfono.
Siga las instrucciones de verificación
Su número se marcará como confirmado

6.3 Actualizar la información de contacto

Importante: Actualice su información de contacto inmediatamente si cambia. Una información de contacto desactualizada puede impedir la recuperación de la contraseña y el acceso a la cuenta.

7. 7. Protección contra el phishing

7.1 ¿Qué es el phishing?

El phishing consiste en intentos fraudulentos de hacerse pasar por INTROSERV u otros servicios de confianza para robar sus credenciales, información de pago o códigos 2FA.

7.2 Cómo identificar los correos electrónicos de phishing

Los correos electrónicos de phishing suelen mostrar estas características:

Banderas rojas - Probable Phishing:

El remitente no pertenece al dominio @INTROSERV.COM
Solicitud de contraseñas, códigos 2FA o datos de tarjetas.
Urgencia artificial ("¡Su cuenta será suspendida en 24 horas!")
Los enlaces no apuntan al dominio oficial INTROSERV.COM
Errores ortográficos, gramaticales o de formato inusuales
Archivos adjuntos o solicitudes de descarga inesperados
Saludos genéricos ("Estimado cliente" en lugar de su nombre)

Banderas Verdes - Emails auténticos de INTROSERV:

La dirección del remitente es de @INTROSERV.COM
Saludo personal utilizando su nombre registrado
No hay solicitudes de contraseñas o códigos de autenticación
Enlaces sólo a https://INTROSERV.COM
Formato y ortografía profesionales

7.3 Lo que INTROSERV nunca solicitará

INTROSERV nunca solicitará lo siguiente a través de ningún canal (correo electrónico, chat, teléfono o soporte):

La contraseña de su cuenta
Códigos 2FA
Desactivación de funciones de seguridad
Pagos a través de criptomoneda, tarjetas de regalo o transferencias bancarias
Acceso remoto a su ordenador
Datos completos de la tarjeta de crédito por correo electrónico o chat

Si recibes este tipo de solicitudes, es fraudulento. Informe inmediatamente de comunicaciones sospechosas a través del sistema oficial de tickets de soporte.

7.4 Verificación de enlaces

Antes de hacer clic en un enlace de un correo electrónico, compruebe su destino real:

Pase el cursor por encima del enlace (no haga clic)
Observe la URL real en la barra de estado del navegador.
Compare el destino con la fuente declarada

Enlace legítimo de INTROSERV:

https://introserv.com/ (sitio web principal)
https://my.introserv.com/ (Área de clientes)

Phishing - dominios sospechosos:

Banderas rojas en URLs:

Protocolo no cifrado (http en lugar de https)
Extensiones de dominio distintas de .com
Palabras adicionales antes o después de "INTROSERV" en el dominio
Acortadores de URL (bit.ly, tinyurl, etc.)
Errores ortográficos o sustituciones de caracteres (INTR0SERV, INTROSERY, INTROSERB)

7.5 Notificación de phishing

Si recibe un correo electrónico de phishing que dice ser de INTROSERV:

No haga clic en enlaces ni descargue archivos adjuntos
No responda al correo electrónico
Informe del correo electrónico a través del sistema oficial de tickets de soporte
Incluya las cabeceras del correo electrónico si es posible

Póngase en contacto con el soporte de INTROSERV inmediatamente: support@INTROSERV.COM

8. Monitorización de la actividad

8.1 Revisión del historial de la cuenta

La supervisión periódica de la actividad de la cuenta permite detectar accesos no autorizados o comportamientos sospechosos.

Ubicación: Configuración > Historial

La sección de historial muestra

Intentos de inicio de sesión recientes (con éxito y fallidos)
Direcciones IP utilizadas para el inicio de sesión
Marcas de tiempo de acceso
Operaciones realizadas en la cuenta

8.2 Qué buscar

Revise regularmente su historial de actividad y esté atento a

inicios de sesión desde direcciones IP o ubicaciones desconocidas
Intentos fallidos de inicio de sesión (varios en poco tiempo pueden indicar un ataque)
Cambios inesperados en la configuración de la cuenta
Aprovisionamiento o modificaciones inesperadas del servicio
Horas de acceso inusuales (especialmente fuera de sus patrones normales de uso)

8.3 Respuesta a actividades sospechosas

Si detecta una actividad sospechosa

Cambia tu contraseña inmediatamente (Configuración > Seguridad)
Habilita 2FA si no está activo.
Revise toda la actividad reciente en Configuración > Historial
Verifique todos los servicios (Servidores Dedicados, VPS/VDS, Almacenamiento en la Nube) en busca de cambios no autorizados
Compruebe los registros de facturación (sección Facturación) en busca de transacciones no autorizadas
Actualice la información de contacto si ha sido comprometida
Contacte con el soporte de INTROSERV a través del sistema oficial de tickets con los detalles completos de la incidencia

9. 9. Respuesta a incidentes de seguridad

9.1 Si sospecha de un acceso no autorizado

Acciones inmediatas:

Cambie su contraseña inmediatamente (Configuración > Seguridad > Cambiar contraseña)
Habilita o actualiza 2FA si no está activo actualmente.
Revise Configuración > Historial para ver toda la actividad reciente
Verifique todos los servicios (Servidores Dedicados, VPS/VDS) en busca de cambios no autorizados o intentos de acceso
Revise Facturación > Facturas en busca de transacciones o provisiones de servicio no autorizadas
Actualice la información de contacto si está comprometida
Contacte inmediatamente con el soporte de INTROSERV

9.2 Proporcionando Detalles del Incidente al Soporte

Cuando informe de un incidente de seguridad, incluya

Fecha y hora de la primera actividad sospechosa
Descripción de lo que ha observado (cambios no autorizados, inicios de sesión desconocidos, etc.)
Capturas de pantalla de la actividad sospechosa o registros del historial
Cualquier mensaje de error o comportamiento inusual del sistema
Cambios recientes en la configuración de la cuenta
Si se compartieron credenciales o dispositivos con otras personas

El equipo de asistencia investigará el incidente y le recomendará medidas específicas para solucionarlo en función de su situación.

9.3 Calendario de recuperación

La resolución de incidentes de seguridad depende de la gravedad y el alcance del incidente. El soporte de INTROSERV priorizará los informes de seguridad y proporcionará una evaluación inicial dentro de los tiempos de respuesta estándar.

10. Recomendaciones adicionales de seguridad

10.1 Protección de cuentas

No guarde contraseñas en dispositivos compartidos u ordenadores públicos
Utilice un gestor de contraseñas para almacenar contraseñas de forma segura
Supervise las direcciones IP de inicio de sesión recientes en Configuración > Historial
Revise regularmente la sección Historial (al menos una vez al mes).
Utilice restricciones de IP si tiene una dirección IP estática en casa o en la oficina.
Cierre siempre la sesión en ordenadores públicos o compartidos.
No comparta las credenciales de su cuenta con otras personas.
No proporcione sus credenciales al personal de soporte (el soporte de INTROSERV accede a las cuentas a través de sistemas backend seguros, nunca a través de su contraseña)

10.2 Seguridad de los dispositivos

Mantenga su sistema operativo y aplicaciones actualizados con parches de seguridad
Utilice software antivirus y antimalware
Evite acceder a su cuenta desde redes Wi-Fi públicas; utilice una VPN cuando sea necesario
Habilita el cifrado de disco en los dispositivos que utilices para acceder a tu cuenta
Active bloqueos de pantalla (PIN, biométrico o contraseña).
Utiliza el cifrado WPA3 para tu red doméstica (o WPA2 si WPA3 no está disponible).

10.3 Seguridad del correo electrónico

Habilite 2FA para su cuenta de proveedor de correo electrónico
Utilice una dirección de correo electrónico dedicada para servicios críticos (INTROSERV, banca, criptomoneda)
No haga clic en enlaces de correos electrónicos sospechosos; visite directamente los sitios web.
Verifique las direcciones de los remitentes antes de responder a los correos electrónicos.
Tenga cuidado con los archivos adjuntos de correo electrónico de remitentes desconocidos

11. Errores comunes que hay que evitar

Evite estas prácticas de seguridad comunes que debilitan la protección de su cuenta:

Usar la misma contraseña para múltiples servicios - Si un servicio se ve comprometido, todas sus cuentas se vuelven vulnerables. Utilice contraseñas únicas y seguras para cada servicio.
Almacenar contraseñas en el navegador sin contraseña maestra - Los gestores de contraseñas del navegador sin cifrado ofrecen una protección mínima. Utilice un gestor de contraseñas específico con cifrado.
Utilizar una única dirección de correo electrónico desechable o compartida - La recuperación de la cuenta depende del acceso al correo electrónico. Utilice una dirección de correo electrónico dedicada y segura para INTROSERV que sólo usted controle.
Desactivar 2FA temporalmente o "sólo por ahora" - Desactivar 2FA deja su cuenta expuesta. Vuelva a activarlo inmediatamente después de la situación que motivó su desactivación.
Acceder a su cuenta desde una red Wi-Fi pública sin VPN - Las redes públicas están vigiladas por los atacantes. Utilice siempre una VPN cuando acceda a su cuenta desde una red Wi-Fi pública.
Añadir direcciones IP dinámicas o móviles a las restricciones de IP - Las restricciones de IP sólo funcionan con direcciones estáticas (que no cambian). IPs móviles o cambiantes te bloquearán tu cuenta.

12. Funciones de seguridad frente a mitigación de riesgos

La siguiente tabla muestra qué funciones de seguridad protegen contra amenazas específicas:

Función de seguridad	Protege contra
Contraseña segura	Ataques de fuerza bruta, relleno de credenciales
Autenticación de dos factores (2FA)	Robo de contraseñas, inicio de sesión no autorizado sin segundo factor
Restricciones de acceso IP	Acceso remoto no autorizado desde ubicaciones desconocidas
Verificación del correo electrónico	Intentos de apropiación de cuentas, restablecimiento no autorizado de contraseñas
Supervisión de actividad	Infracciones no detectadas, operaciones de cuentas no autorizadas
Palabra clave	Suplantación de identidad, acceso no autorizado a soporte técnico