01. PROPÓSITO
En el Consorcio HSO Venezuela (en adelante, "HSO Consorcio" o "el Consorcio"), la seguridad de nuestra información y la de nuestros socios, clientes y contrapartes es crítica. El sector de hidrocarburos es un objetivo de alto perfil para ciberataques, siendo el phishing (suplantación de identidad) el punto de entrada más común para el fraude financiero, el robo de datos y las violaciones de cumplimiento normativo. El propósito de esta política es proteger al Consorcio, a sus miembros y a sus usuarios contra estas amenazas, estableciendo directrices claras para identificar, prevenir y reportar intentos de phishing, así como para mantener un nivel adecuado de seguridad de la información en línea con los requisitos legales de Estados Unidos y Venezuela.
02. ALCANCE
Esta política se aplica a:
- Todos los empleados, contratistas y proveedores del Consorcio.
- Las empresas miembro del Consorcio (Empresas Venezolanas Adherentes).
- Cualquier persona que utilice los sistemas de información, correo electrónico, el sitio web https://www.hsoconsortium.com o acceda a los datos del Consorcio, ya sea desde dispositivos del Consorcio o personales.
- Las comunicaciones electrónicas con PDVSA, el Ministerio de Petróleo de Venezuela, socios internacionales (IOCs) y compradores de crudo.
03. MARCO NORMATIVO APLICABLE
Esta política se fundamenta en las siguientes disposiciones legales y regulatorias:
En Estados Unidos:
- Ley de Privacidad del Consumidor de California (CCPA) – derechos de los titulares de datos.
- Ley de Abuso y Fraude Informático (CFAA) – tipificación del acceso no autorizado.
- Regulaciones de la Oficina de Control de Activos Extranjeros (OFAC) – Licencias Generales 46B, 48A, 49A, 50A y Orden Ejecutiva 14373 (prohibición de transacciones con personas/entidades sancionadas).
- Directrices de la Comisión Federal de Comercio (FTC) sobre prácticas de seguridad y notificación de violaciones.
- Leyes estatales de notificación de violaciones de datos (ej. California, Nueva York).
En Venezuela:
- Constitución de la República Bolivariana de Venezuela (arts. 28 y 60) – habeas data, intimidad y privacidad.
- Ley Orgánica de Protección de Datos Personales (LOPDP) – principios de licitud, consentimiento y seguridad de los datos.
- Ley de Infogobierno – protección de datos en registros públicos y privados.
- Ley Especial contra los Delitos Informáticos – sanciones por acceso indebido, phishing y sabotaje informático.
04. DEFINICIONES
- Phishing: Tipo de ciberataque donde los delincuentes se hacen pasar por entidades legítimas (bancos, proveedores, clientes, o incluso la gerencia del Consorcio) a través de correos electrónicos falsos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos. Su objetivo es engañar para revelar información confidencial, hacer clic en enlaces maliciosos, descargar archivos infectados o realizar transferencias de dinero a cuentas controladas por estafadores.
- Ingeniería social: Manipulación psicológica de personas para que realicen acciones o divulguen información confidencial.
- Seguridad de la información: Conjunto de medidas técnicas y organizativas destinadas a garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos.
- Violación de datos (Data breach): Incidente que resulta en la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales o información sensible.
- Listas de sanciones (SDN List): Lista de personas y entidades bloqueadas administrada por OFAC. El Consorcio no intercambiará información ni permitirá accesos desde o hacia dichas listas.
05. IDENTIFICACIÓN DE CORREOS ELECTRÓNICOS SOSPECHOSOS: PRIMERA LÍNEA DE DEFENSA
Cada usuario, empleado o miembro del Consorcio actúa como un "cortafuegos humano". Antes de hacer clic en cualquier enlace o archivo adjunto, o de responder a una solicitud de información, verifique las siguientes señales de alerta:
| Señal de Alerta | Qué verificar |
|---|---|
| Remitente | ¿La dirección de correo coincide exactamente con el dominio real de la empresa (ej. @hsoconsortium.com vs @hsoconsortium-seguro.com)? Desconfíe de dominios públicos (Gmail, Yahoo, Outlook) utilizados por supuestas empresas. |
| Saludo genérico | ¿El correo utiliza frases como "Estimado Usuario", "Estimado Cliente" o "Estimado Miembro" en lugar de su nombre completo? |
| Urgencia o amenazas | ¿Lo presionan con frases como "Su cuenta será cerrada en 24 horas", "Transferencia urgente requerida" o "Actualización inmediata de sus datos"? El phishing usa la urgencia para impedir el pensamiento crítico. |
| Enlaces y archivos adjuntos | NUNCA haga clic en un enlace sospechoso. Pase el mouse sobre él (sin hacer clic) para ver la URL real. Desconfíe de URLs acortadas (bit.ly, tinyurl) o dominios mal escritos (ej. hsoconsortiun.com). |
| Solicitud de cambio de datos bancarios | Cualquier solicitud para cambiar información de cuenta bancaria para pagos a proveedores o miembros debe verificarse a través de un segundo canal (llamada telefónica a un contacto conocido y verificado). Este es el fraude más común en el sector oil & gas. |
| Ortografía y gramática | Los correos fraudulentos suelen contener errores ortográficos, traducciones automáticas o frases poco naturales. |
| Solicitud de credenciales o datos personales | Ninguna entidad legítima le pedirá su contraseña, número de seguridad social, datos de tarjeta de crédito o información de cuenta bancaria por correo electrónico no solicitado. |
| Dominio del remitente sospechoso | Verifique que el dominio del remitente coincida con el sitio web oficial de la entidad. Por ejemplo, @example.com no es el dominio oficial de Example (el oficial es @example.com.ve). |
06. DIRECTRICES DE ACCIÓN: QUÉ HACER Y QUÉ NO HACER
NO HAGA:
- No haga clic en enlaces ni abra archivos adjuntos de correos electrónicos sospechosos o no solicitados.
- No responda al correo electrónico ni proporcione información personal, credenciales, datos financieros o información confidencial del Consorcio.
- No realice transferencias bancarias basándose únicamente en instrucciones recibidas por correo electrónico. Siempre verifique por teléfono utilizando un número que usted conozca (no el que aparece en el correo sospechoso).
- No reenvíe el correo sospechoso a otros contactos sin antes reportarlo al equipo de seguridad.
- No intente investigar por su cuenta ni "responder" al atacante.
HAGA lo siguiente:
- No haga clic en enlaces ni abra archivos adjuntos de correos electrónicos sospechosos o no solicitados.
- Reporte el incidente inmediatamente al Oficial de Seguridad de la Información del Consorcio en security@huronsmithoil.com o por teléfono al +1 (866) 954-5938
- Reenvíe el correo electrónico sospechoso como un archivo adjunto (no como un reenvío directo) a security@huronsmithoil.com para análisis. Si no es posible reenviarlo como un archivo adjunto, tome una captura de pantalla.
Si has hecho clic en un enlace o descargado un archivo:
- Desconecta tu dispositivo de la red inmediatamente.
- Notifica a TI/seguridad sin demora.
- No intentes eliminar los archivos por tu cuenta.
Si has proporcionado credenciales o datos financieros:
- Cambia tus contraseñas inmediatamente.
- Notifica a tu banco o institución financiera si corresponde.
- Documenta todos los detalles del incidente.
07.SEGURIDAD DE LA INFORMACIÓN EN EL SITIO WEB DEL CONSORCIO
El sitio web https://www.hsoconsortium.com implementa las siguientes medidas de seguridad para proteger a los usuarios y prevenir ataques de phishing y otras amenazas cibernéticas:
7.1. Medidas técnicas
- Cifrado TLS 1.3 para todas las comunicaciones (certificado SSL válido).
- Protección contra suplantación (anti-spoofing) mediante autenticación de correo electrónico (SPF, DKIM, DMARC) para el dominio hsoconsortium.com.
- Monitoreo continuo del tráfico web y correos electrónicos para detectar actividad maliciosa.
- Cortafuegos de aplicaciones web (WAF) para bloquear intentos de inyección, scripting entre sitios (XSS) y otras vulnerabilidades.
- Detección de intrusiones (IDS/IPS) en tiempo real.
- Bloqueo geográfico: en cumplimiento de las Licencias Generales 46B, 48A y 49A de la OFAC, el sitio web bloquea automáticamente el acceso desde direcciones IP, dominios o jurisdicciones asociadas a China, Rusia, Irán, Corea del Norte o Cuba. Cualquier intento de acceso desde estos países es registrado y reportado a las autoridades.
7.2. Medidas organizativas
- Políticas de contraseñas seguras para cuentas de administradores y usuarios registrados.
- Autenticación multifactor (MFA) obligatoria para accesos privilegiados.
- Capacitación periódica obligatoria para todos los empleados y miembros del Consorcio sobre detección de phishing y buenas prácticas de seguridad.
- Plan de respuesta a incidentes actualizado y probado semestralmente.
7.3. Protección de datos personales
- Los datos personales recopilados a través del sitio web se tratan conforme a nuestra Política de Privacidad y a la Ley Orgánica de Protección de Datos Personales (LOPDP) de Venezuela y la CCPA de EE. UU.
- No se almacenan contraseñas en texto plano; se utilizan funciones hash seguras (bcrypt, Argon2).
- Los datos financieros (si los hay) se tokenizan y no se almacenan en los servidores del Consorcio.
08.SIMULACIONES DE PHISHING Y CAPACITACIÓN
HSO Consorcio implementará campañas periódicas de simulación de phishing para evaluar y mejorar nuestra conciencia colectiva. Estas simulaciones:
- Son una herramienta de capacitación, no punitiva.
- Identifican necesidades de capacitación específicas.
- Refuerzan una cultura de ciberseguridad y cumplimiento normativo.
Los usuarios que "caigan" en una simulación recibirán capacitación inmediata y personalizada sobre cómo identificar mejor las amenazas. Los resultados agregados ayudarán al Consorcio a enfocar sus esfuerzos de concienciación.
09.INFORME DE INCIDENTES
Si eres víctima de un ataque de phishing o sospechas que la información del Consorcio, de un miembro o de un cliente ha sido comprometida, debes reportarlo INMEDIATAMENTE siguiendo el protocolo a continuación:
| Tipo de incidente | Canal de reporte | Plazo máximo |
|---|---|---|
| Correo electrónico sospechoso (sin clic) | security@huronsmithoil.com | 2 horas |
| Enlace clicado o archivo descargado | legal@huronsmithoil.com + llamar a +1 (866) 954-5938 | Inmediato (dentro de 30 minutos) |
| Divulgación de credenciales o datos sensibles | security@huronsmithoil.com + llamada + aviso a legal@huronsmithoil.com | Inmediato (dentro de 15 minutos) |
| Transferencia financiera no autorizada | Contactar inmediatamente al banco, luego security@huronsmithoil.com | Inmediato |
La velocidad de detección e informe es clave para minimizar daños y cumplir con los plazos de notificación regulatoria (por ejemplo, 72 horas bajo ciertas leyes estatales de EE. UU., o dentro de los plazos establecidos por la LOPDP de Venezuela).
10.CONSECUENCIAS DEL INCUMPLIMIENTO
El incumplimiento negligente o intencional de esta política que resulte o pueda resultar en un incidente de seguridad puede llevar a consecuencias que incluyen:
- Capacitación remedial obligatoria.
- Amonestación escrita.
- Suspensión temporal del acceso al sistema.
- En casos graves (negligencia grave, mala fe o violación de las obligaciones de cumplimiento de OFAC), terminación de la relación contractual o laboral.
- Responsabilidades legales y financieras tanto para la empresa como para el individuo, incluyendo sanciones civiles o penales conforme a la Ley Especial contra los Delitos Informáticos de Venezuela o la CFAA de EE. UU.
El Consorcio se reserva el derecho de reportar incidentes graves a las autoridades regulatorias (OFAC, Departamento de Estado, o el Ministerio Público de Venezuela) según corresponda.
11.CONTACTO Y REPORTES
Para cualquier consulta, informes de incidentes o solicitudes de asistencia sobre seguridad de la información y phishing:
Correo electrónico (seguridad): security@huronsmithoil.com
Correo electrónico (legal y cumplimiento): legal@huronsmithoil.com
Teléfono: +1 (866) 954-5938
Formulario web: disponible en https://www.hsoconsortium.com/contact
Director de Seguridad de la Información (CISO):designado por HSO Consorcio y accesible a través de los canales mencionados anteriormente.
12.ACTUALIZACIONES Y REVISIÓN
Esta política será revisada al menos anualmente o después de cualquier incidente de seguridad significativo. Las actualizaciones se notificarán a los usuarios a través del sitio web y por correo electrónico a los miembros registrados.
Última actualización: 10 de abril de 2026