Buenas prácticas de seguridad operativa para todo el personal de Carrefour  

Versión 1.0 – Junio 2025

OPSEC (Operational Security) nació en el ámbito militar para impedir que fragmentos de información dispersa permitieran al enemigo recomponer el “puzzle” y anticipar movimientos críticos. En el entorno empresarial sucede lo mismo: cada correo reenviado, cada foto con geolocalización o cada charla informal puede sumarse a datos públicos (OSINT) y a filtraciones previas, dando al atacante una visión completa de la organización y de quienes la dirigen.

El informe de exposición digital de junio 2025 muestra cómo direcciones de correo, teléfonos, credenciales, domicilios, rutinas e incluso IBAN parciales han aflorado en foros clandestinos, brechas de terceros y registros públicos. El peligro real no es cada dato aislado, sino su correlación: una contraseña reutilizada en un foro, un número móvil visible en LinkedIn y una foto geoetiquetada bastan para facilitar phishing selectivo, fraude del CEO o amenazas físicas a directivos y sus familias.

OPSEC no pretende prohibir, sino simplificar decisiones cotidianas: antes de compartir cualquier dato, pregúntate «¿podría alguien usarlo para comprometerme a mí o a Carrefour?». Si la respuesta es “sí” o “no estoy seguro”, aplica estas buenas prácticas:

Con miles de micro-acciones como estas reforzamos la confianza que clientes, socios y accionistas depositan en Carrefour.

La regla de oro consiste en mantener completamente diferenciadas la vida personal y la profesional. Utiliza siempre la cuenta _@carrefour.com_ para asuntos de negocio y una cuenta privada para trámites particulares; evita almacenar documentos corporativos en discos o nubes personales —ni redirigir correos a servicios como Gmail u Outlook— y desactiva la sincronización automática de fotos si tu móvil también contiene contenido de trabajo. Así, cualquier filtración que sufras en tu esfera privada no alcanzará los activos de la compañía, y viceversa.

Cuanta menos información expongas, menor será tu superficie de ataque. Aplica la contención incluso en detalles cotidianos: limita tu firma de correo a lo esencial (nombre, área y correo; sin móviles directos ni cargos exhaustivos), publica descripciones genéricas en redes (“equipo de e-commerce” en lugar de “responsable de plataforma SAP”) y, cuando te registres en servicios externos, rellena únicamente los campos obligatorios. Compartir solo lo imprescindible es la mejor barrera preventiva.

Los atacantes combinan datos públicos (OSINT) con filtraciones históricas para armar un “puzzle” de la organización. Ponles difícil ese trabajo revisando la privacidad de tus perfiles: oculta listas de contactos y fechas de cumpleaños, elimina la geolocalización automática de fotos y retrasa al menos 24 horas la publicación de viajes o eventos. Para boletines, foros o pruebas de servicios, emplea un alias de correo distinto al corporativo; cada paso resta piezas a ese puzzle.

“Confía, pero verifica” debe convertirse en reflejo. Incluso un remitente auténtico puede estar comprometido, de modo que antes de ejecutar pagos urgentes, cambiar números de cuenta o abrir ZIPs protegidos, confirma la petición por teléfono interno con el solicitante. Pasa siempre el ratón sobre los enlaces para comprobar la URL real, activa notificaciones de inicio de sesión en tus cuentas y revisa cualquier alerta de MFA. Esta doble comprobación corta la cadena del fraude.

La seguridad de Carrefour depende del eslabón más débil; si cada empleado mejora un pequeño porcentaje su comportamiento, el riesgo colectivo cae de forma exponencial. Reporta de inmediato cualquier indicio (un e-mail sospechoso, un portátil extraviado, un envío de información erróneo) al canal security@carrefour.com. Refuerza al equipo difundiendo estos consejos en reuniones y, cuando detectes una buena práctica en un compañero, reconócela: la cultura de seguridad se construye entre todos.

El informe de vigilancia digital revela un escenario de riesgo donde un puñado de vectores concentra la mayor parte de la exposición. A continuación se detalla cada uno, con el mecanismo de explotación observado, el impacto potencial y la acción preventiva clave que debe interiorizar todo el personal.

|Riesgo principal|Cómo se materializó|Impacto potencial|Acción preventiva clave|

|---|---|---|---|

|Credenciales filtradas|Malware Vidar Stealer se instaló en equipos personales sin antivirus corporativo y exfiltró contraseñas, cookies y tokens. Los datos terminaron en combolists de foros clandestinos.|1) Acceso remoto a la intranet, correo y nube.  
2) Escalada lateral dentro de la red.  
3) Multas RGPD si hay fuga de datos de clientes.|Activar MFA en todos los servicios y no reutilizar contraseñas entre portales personales y corporativos.|

|Teléfonos y correos públicos|Listas de marketing robadas y perfiles de LinkedIn expusieron mails y móviles de directivos. Los atacantes enviaron SMS y correos “urgentes” con enlaces a páginas clon.|1) Spear-phishing a VIPs.  
2) Transferencias bancarias fraudulentas (“fraude del CEO”).|Reducir datos en firmas y perfiles; verificar cualquier solicitud sensible por llamada interna.|

|Domicilios y rutinas|Fotos de running con geotag + registros públicos de propiedad permitieron mapear residencias de ejecutivos y horarios habituales.|1) Extorsión o amenazas físicas.  
2) Robo dirigido (documentación confidencial en el domicilio).|Desactivar geolocalización automática y publicar fotos de eventos tras haber regresado.|

|Datos bancarios (IBAN)|IBAN completo quedó almacenado en el autocompletado del navegador de un portátil personal; un stealer lo volcó a su servidor C2.|1) Cambios de cuenta de cobro no autorizados.  
2) Fraudes SEPA.  
3) Riesgo de blanqueo de capitales usando la cuenta.|Vaciar datos guardados del navegador y usar tarjetas/IBAN virtuales para pagos online.|

|Relaciones familiares|Los atacantes usaron OSINT para reconstruir árboles sociales (apellidos coincidentes, fotos etiquetadas, sociedades compartidas).|1) Ingeniería social avanzada (“suplantación de hijo/hermana”).  
2) Chantaje o presión a familiares menores.|Configurar perfiles sociales en modo privado y sensibilizar al entorno cercano sobre la publicación de datos.|

|Tokens de sesión y cookies|Las cookies persistentes exfiltradas por el mismo malware permitieron a terceros iniciar sesión sin contraseña ni MFA.|1) Sesiones corporativas secuestradas.  
2) Robo de documentación interna.|Cerrar sesión y limpiar cookies al terminar la jornada; usar navegadores endurecidos o perfiles de contenedor.|

|Documentos de identidad (DNI/Pasaporte)|Copias escaneadas localizadas en adjuntos de correos antiguos filtrados.|1) Apertura de líneas de crédito falsas.  
2) Suplantación de identidad legal.|Cifrar y borrar escaneos tras uso; nunca enviarlos sin contraseña.|

|Metadatos de localización|Historias de Instagram con ubicación en tiempo real durante eventos internos.|1) Seguimiento de movimientos de personal clave.  
2) Planificación de intrusión física.|Publicar sólo con retraso y sin geotag; revisar ajustes de privacidad “solo amigos”.|

A continuación se detallan las recomendaciones para cada ámbito cotidiano, con su propósito, paso a paso y ejemplo práctico. Todas las medidas son voluntarias, pero su adopción masiva reduce los vectores de riesgo identificados en el informe 06/2025.

Mantén dos entornos bien separados: el corporativo (todo lo que use tu cuenta _@carrefour.com_) y el personal (correo privado, redes sociales, banca online). Registrarte en un foro de recetas, por ejemplo, con el e-mail del trabajo solo multiplica tu exposición si esa base de datos sufre una brecha. Utiliza además alias distintos (p. ej. nombre + newsletter@dominio) cuando el servicio lo permita; así, si empiezas a recibir spam sabrás cuál de tus suscripciones ha sido comprometida.

Conéctate a recursos internos solo a través de la VPN oficial; el túnel cifra tu tráfico y aplica políticas corporativas de firewall. Deshabilita el guardado automático de tarjetas y contraseñas en el navegador: usa tu gestor. Al terminar la jornada, cierra sesión en portales críticos (correo, Teams, ERP) y borra cookies de trabajo; así evitas que un token de sesión robado permita entrar sin contraseña.

    - Sistema operativo y navegador actualizados.

    - Antivirus activo con firmas al día.

Señales de alerta:

Ante cualquiera de estos casos, escribe inmediatamente a security@carrefour.com o abre ticket “CSI” (Corporate Security Incident). Reportar en la primera hora facilita cortar la propagación y limita sanciones RGPD o NIS 2.

Con estas prácticas no solo blindamos los puntos débiles detectados, sino que alineamos nuestras rutinas con las exigencias de DORA y NIS 2 sobre resiliencia operativa y seguridad de la información.

|#|Pregunta de control|Vector que neutraliza|Cómo ponerle remedio tú mismo|

|---|---|---|---|

|1|¿He activado MFA en todas mis cuentas?|Ataques de credential-stuffing y phishing con contraseñas filtradas.|Ajustes → Seguridad → “Aplicación autenticadora” (Microsoft/Google); evita SMS si hay opción app.|

|2|¿Uso un gestor de contraseñas corporativo?|Reutilización de claves y contraseñas débiles.|Instala la extensión oficial (Bitwarden/KeePassXC); genera claves únicas ≥ 20 caracteres.|

|3|¿Publicaría esta foto si fuera un atacante?|Ingeniería social por geotags, credenciales visibles, logos.|Haz pausa de seguridad: sin ubicación, sin credencial a la vista, publícala 24 h después.|

|4|¿Mis documentos confidenciales están cifrados o destruidos?|Robo de info en dispositivos perdidos y fugas de papel.|ZIP AES-256 o “Cifrar con contraseña” en Office; usa destructora corte-cruzado para papel.|

|5|¿Accedo siempre vía VPN y con antivirus actualizado?|Intercepción en Wi-Fi pública y malware.|Activa VPN corporativa antes de usar correo/ERP; verifica que el antivirus esté actualizado al día.|

|6|¿He revisado mis contactos de redes sociales este trimestre?|Perfiles falsos que espían publicaciones internas.|Elimina contactos dudosos; oculta tu lista de conexiones (“solo yo”).|

|7|¿Informo al canal de seguridad ante actividad inusual?|Persistencia del atacante por falta de alertas tempranas.|Reenvía e-mails sospechosos a security@carrefour.com en < 30 min; guarda el contacto en favoritos.|

|8|¿Tengo sistema operativo y aplicaciones al día?|Explotación de vulnerabilidades conocidas.|Activa actualizaciones automáticas; reinicia cuando lo pida TI.|

|9|¿Bloqueo la pantalla al alejarme del dispositivo?|Acceso físico no autorizado, robo de sesión.|Windows + L ó Ctrl + Shift + Power en Mac; fija bloqueo automático a 2 min.|

|10|¿Uso solo memorias USB cifradas o aprobadas?|Infección por malware y pérdida de datos en soportes extraíbles.|Utiliza USB con cifrado hardware o BitLocker/Veracrypt; evita unidades promocionales.|

|11|¿He desactivado el autocompletado de tarjetas/contraseñas en el navegador?|Robo de datos financieros y credenciales vía stealer.|Ajustes → Privacidad → desmarcar “Guardar métodos de pago” y “Recordar contraseñas”.|

|12|¿Reviso periódicamente las apps con acceso a mis cuentas (OAuth)?|Secuestro de tokens de sesión persistentes.|Google/Microsoft/LinkedIn → “Aplicaciones y sesiones” → Revocar las que no reconozcas.|

|13|¿Mantengo la geolocalización desactivada salvo cuando la necesito?|Seguimiento de rutinas y ataques físicos.|Ajustes móvil → Ubicación → Permitir “Solo al usar”; desactiva “Permitir siempre”.|

|14|¿He configurado la privacidad de mis publicaciones familiares?|Ingeniería social dirigida a hijos o pareja.|Facebook/Instagram → Audiencia → “Amigos” o lista restringida; evita “Público”.|

|15|¿Vacío con frecuencia la papelera del correo y del gestor de archivos?|Recuperación de documentos sensibles “borrados”.|Programa limpieza semanal y usa “Eliminar definitivamente” para ficheros con PII.|

✅ Cambiar contraseñas y activar 2FA  

✅ Segregar cuentas personales y corporativas  

✅ Revisar exposiciones y eliminar accesos innecesarios  

✅ Proteger dispositivos y comunicaciones

✅ Cambiar contraseñas y activar 2FA  

✅ Segregar cuentas personales y profesionales  

✅ Revisar servicios vinculados y cerrar cuentas innecesarias  

✅ Proteger dispositivos y reforzar la privacidad del entorno familiar

✅ Cambiar la contraseña filtrada y activar 2FA  

✅ Revisar redes sociales y ajustar privacidad  

✅ Monitorear filtraciones y reforzar dispositivos móviles  

✅ Sensibilizar entorno familiar

✔ Contraseñas únicas y 2FA  

✔ Actualizaciones y antivirus al día  

✔ Separar vida laboral y personal  

✔ Precaución con correos y enlaces  

✔ Cuidar la información de la empresa  

✔ Supervisar tus dispositivos  

✔ Reportar incidentes rápido