🎯 Simulador de phishing
Encontradas: 0/5 señales encontradas · Reiniciar

Este correo llegó a tu bandeja. Haz clic en cada elemento sospechoso que detectes.

🔐 Laboratorio de contraseñas

Escribe una contraseña de prueba (no uses una real) y mira cuánto tardaría en romperse. Nunca se envía ni se guarda: todo el cálculo ocurre en tu navegador.

Esperando…0 caracteres
Requisitos de la política CA-01
Mínimo 12 caracteres
Mayúsculas y minúsculas
Al menos un número
Al menos un símbolo (!@#$…)
🔒 Esta contraseña no se envía a ningún servidor ni se almacena en ningún lugar.
Tiempo estimado para crackearla
con un ataque de fuerza bruta
a 10 mil millones de intentos por segundo
🗂️ Clasificador de información
Aciertos: 0/8 · Reiniciar

Antes de compartir, guardar o enviar un dato hay que saber qué nivel tiene. Clasifica cada uno según la regla MI-01: Pública, Interna o Confidencial.

✅ ¡Terminaste! Clasificar bien es el primer paso para proteger un dato: no puedes cuidar lo que no sabes cuán sensible es.
🔗 ¿Sitio real o trampa?
Aciertos: 0/6 · Reiniciar

Los atacantes registran dominios casi idénticos al real (typosquatting). Mira la barra de direcciones y decide si entrarías o no.

🔒
✅ ¡Ojo entrenado! Ante la duda, escribe la dirección tú mismo o usa un marcador guardado — nunca el enlace de un correo.
🔍 Encuentra los riesgos del escritorio
Encontrados: 0/6 · Reiniciar

Este es el puesto de un colaborador que salió a almorzar. Haz clic sobre los 6 riesgos de seguridad que dejó a la vista.

Sesión abierta 🔓 core-bancario.larimarpay clave: Larimar2024! cliente RNC 1-30 CONFIDENCIAL USB sin cifrar puesto solo
Sesión desbloqueada con el sistema bancario abierto — cualquiera puede operar en tu nombre.
Contraseña anotada en un post-it pegado al monitor (viola CA-01).
Teléfono mostrando datos de un cliente (RNC) sin bloqueo de pantalla.
Documento marcado "Confidencial" a la vista sobre el escritorio (viola MI-01).
Memoria USB sin cifrar: si se pierde, los datos que contiene quedan expuestos.
Puesto abandonado sin bloquear el equipo — la política de escritorio limpio no se cumplió.
✅ ¡Los 6! La regla de oro: al levantarte, bloquea (Win+L) y no dejes nada sensible a la vista. Un escritorio limpio es un escritorio seguro.
💉 Cómo funciona una inyección SQL
Para entender el riesgo

Cuando una aplicación mete lo que escribe el usuario directo en su consulta a la base de datos, un atacante puede "colar" comandos. Prueba este login de demostración y observa la consulta que se genera abajo.

Escribe un usuario y contraseña, o usa uno de los ejemplos. Nada de esto sale de tu navegador: es una simulación con fines educativos.

Consulta que ejecuta el servidor:
SELECT * FROM usuarios WHERE user='' AND pass='';
Cápsulas formativas
Básico4 min
Detecta un phishing en 10 segundos
Los 5 puntos que revisas antes de hacer clic en cualquier correo: remitente, urgencia, enlace, adjunto y saludo.
Básico5 min
Tu contraseña, tu llave
Cómo construir frases de contraseña que recuerdas tú y nadie más, sin anotarlas en ningún lado.
Intermedio7 min
Datos personales no son datos públicos
Qué exige la Ley 172-13 a quienes custodian datos de terceros, y por qué el consentimiento no es un trámite.
Básico3 min
Reporta sin miedo
Por qué reportar un incidente a tiempo te protege a ti y a todos, aunque el error haya sido tuyo.
Intermedio6 min
MFA: el candado que sí detiene ladrones
Por qué activar el segundo factor es la acción individual con mayor impacto en tu seguridad.
Básico4 min
Escritorio limpio, mente tranquila
La regla más simple y más olvidada: nada con datos de clientes debe quedar a la vista.
Glosario
Phishing
Suplantación por correo o mensaje que busca robar credenciales o datos haciéndose pasar por una entidad legítima.
Malware
Software malicioso diseñado para dañar, espiar o secuestrar sistemas: virus, troyanos, spyware.
Ransomware
Malware que cifra tus archivos y exige un rescate económico para devolverlos.
MFA
Autenticación multifactor: verificación adicional (app, token) además de la contraseña.
Ingeniería social
Manipulación psicológica para que una persona revele información o realice acciones inseguras.
e-CF
Comprobante Fiscal Electrónico: factura digital con validez tributaria emitida ante la DGII.
Cifrado
Transformación de datos para que solo quien tenga la clave pueda leerlos.
VPN
Red privada virtual: túnel cifrado entre tu equipo y la red corporativa.
Spoofing
Falsificación de identidad digital: correos, números o sitios que aparentan ser legítimos.
Fuga de datos
Salida no autorizada de información confidencial fuera del control de la organización.
Firewall
Barrera que filtra el tráfico de red permitiendo solo conexiones autorizadas.
Habeas data
Derecho constitucional a conocer, actualizar y exigir la protección de tus datos personales.
Ataque de fuerza bruta
Intento sistemático de adivinar una contraseña probando combinaciones hasta acertar.
Parche de seguridad
Actualización que corrige una vulnerabilidad conocida en un sistema o aplicación.
Backup (respaldo)
Copia de la información que permite recuperarla ante un borrado, falla o ataque de ransomware.
Casos breves: ¿qué harías?
Contabilidad recibió un correo del "suplidor de siempre" pidiendo cambiar la cuenta bancaria de pago. El dominio tenía una letra cambiada.

Solución: la verificación telefónica por otro canal —regla IC-01— evitó una pérdida de RD$800,000. Moraleja: toda solicitud de cambio de pago se confirma por un canal distinto al correo, sin excepción.
Un colega comparte en el chat grupal de la oficina una captura de pantalla con datos de un cliente, "solo para consultar rápido si alguien sabe la respuesta".

Solución: aunque el chat sea interno, compartir datos de clientes fuera de los canales oficiales viola la regla MI-01 de clasificación. Lo correcto es describir la duda sin exponer el dato, o consultarlo por el canal formal con el supervisor.
Recibes una llamada de alguien que dice ser de "Soporte Corporativo" y pide que instales un programa de acceso remoto para "arreglar un problema" detectado en tu equipo.

Solución: el soporte real de LarimarPay nunca solicita acceso remoto por una llamada no solicitada. Cuelga, verifica por el canal oficial de TI y reporta la llamada — es un intento clásico de ingeniería social.
Preguntas frecuentes
No entres en pánico y no lo ocultes. Desconecta el equipo de la red, no introduzcas credenciales y reporta de inmediato a Seguridad TI. Reportar a tiempo convierte un incidente en un susto; ocultarlo lo convierte en una crisis.
Solo con autorización de TI y con los controles corporativos instalados (VPN, antivirus, cifrado de disco). Nunca almacenes datos de clientes en equipos personales.
Todos. TI administra las herramientas, pero cada colaborador es la primera línea de defensa. La mayoría de las brechas involucran el factor humano — por eso existe este portal.
Puedes intentarlo de nuevo las veces que necesites. Tu progreso por protocolo se guarda en este navegador; el certificado solo se genera cuando apruebas los 3 protocolos con al menos 7 de 10 respuestas correctas.
No. Para eso existe el gestor de contraseñas autorizado: genera y recuerda claves únicas y fuertes por ti. Solo debes memorizar la contraseña maestra del gestor, idealmente una frase de contraseña larga.
Coméntaselo directamente si la confianza lo permite, y repórtalo a tu supervisor o a Seguridad TI si el riesgo es alto. No se trata de "acusar": una brecha afecta a toda la empresa y a los clientes, no solo a quien cometió el error.