Algunas profesiones son m\u00e1s susceptibles a los ciberataques que otras, sin importar el tipo de empresa. Hoy nos centraremos en las amenazas dirigidas contra los profesionales que trabajan en el \u00e1rea de recursos humanos. La raz\u00f3n m\u00e1s sencilla, aunque no la \u00fanica, consiste en que las direcciones de correo electr\u00f3nico de los empleados de recursos humanos se publican en los sitios corporativos con fines de contrataci\u00f3n. Por tanto, son f\u00e1ciles de encontrar.<\/p>\n
En recursos humanos, los empleados ocupan una posici\u00f3n un tanto inusual: reciben toneladas de correspondencia ajena a la empresa, pero tambi\u00e9n suelen tener acceso a los datos personales que la empresa debe evitar que se filtren.<\/p>\n
Normalmente, los ciberdelincuentes penetran en el per\u00edmetro de seguridad corporativo al enviar a los empleados un correo con archivos adjuntos o enlaces maliciosos. Esta es la raz\u00f3n por la que aconsejamos a los lectores no abrir mensajes de correo electr\u00f3nico sospechosos o hacer clic en enlaces enviados por desconocidos. Pero, para un profesional de RR. HH., ese consejo resulta rid\u00edculo. Probablemente la mayor\u00eda de los correos externos que reciban sean de desconocidos y muchos de ellos con un archivo adjunto, un curriculum vitae<\/em> (y a veces un enlace a una muestra de su trabajo). Puestos a conjeturar, dir\u00edamos que al menos la mitad parecen sospechosos.<\/p>\n Adem\u00e1s, los portafolios o muestras de trabajos anteriores a veces vienen en formatos poco convencionales, como archivos de programas CAD altamente especializados. La propia naturaleza del trabajo requiere que los empleados de RR. HH. abran y revisen los contenidos de dichos archivos. Aunque olvidemos por un momento que los ciberdelincuentes a veces ocultan el verdadero objetivo de un archivo alterando su extensi\u00f3n (\u00bfes un archivo CAD, una foto RAW, un DOC, un EXE?) y no todos esos programas est\u00e1n actualizados ni se han probado exhaustivamente en busca de vulnerabilidades. A menudo, los expertos encuentran brechas en la seguridad que permiten la ejecuci\u00f3n de c\u00f3digo arbitrario incluso en software<\/em> de uso muy extendido, analizado regularmente, como Microsoft Office.<\/p>\n Las grandes empresas pueden contar con especialistas responsables de comunicarse con aquellos que buscan un empleo y otros dedicados a los asuntos de trabajo de los empleados actuales, pero lo m\u00e1s probable es que las peque\u00f1as empresas solo tengan un representante de RR. HH. para ambos casos. Y seguramente esa persona tenga acceso a los datos del personal en manos de la empresa.<\/p>\n Sin embargo, si quieres causar problemas, basta con comprometer la bandeja de entrada del especialista en RR. HH. Los aspirantes que env\u00eden sus CV podr\u00edan expl\u00edcita o t\u00e1citamente estar dando permiso a una empresa para procesar y almacenar sus datos personales, pero definitivamente no est\u00e1n entregando sus datos a desconocidos externos. Los ciberdelincuentes pueden sacar provecho de dicha informaci\u00f3n para chantajear.<\/p>\n Y en cuanto al tema de la extorsi\u00f3n, no debemos dejar de lado el ransomware<\/em>. Antes de privar al due\u00f1o del acceso a sus datos, las versiones m\u00e1s recientes lo roban<\/a> primero. Si esa clase de malware<\/em> penetra en el ordenador de un empleado de RR. HH., los ciberdelincuentes podr\u00e1n acceder a la loter\u00eda de los datos personales.<\/p>\n Es peligroso confiar en que los empleados ingenuos o que no han recibido una formaci\u00f3n en seguridad no cometer\u00e1n errores. El ataque de correo corporativo comprometido (BE\u0421 por sus siglas en ingl\u00e9s)<\/a> est\u00e1 ahora en auge. Los ataques de este tipo a menudo toman el control de la bandeja de correo de un empleado y convencen a los compa\u00f1eros para que transfieran fondos o env\u00eden informaci\u00f3n confidencial. Para garantizar el \u00e9xito, los ciberdelincuentes necesitan secuestrar la cuenta de correo de alguien con cierta autoridad, a menudo recurren a directivos. La fase activa de la operaci\u00f3n se ve precedida de la larga y ardua tarea de encontrar a un empleado adecuado de alto nivel. Y aqu\u00ed, la bandeja de entrada de RR. HH. suele ser de gran utilidad.<\/p>\n Por una parte, como hemos dicho, es m\u00e1s f\u00e1cil hacer que RR.HH. abra un correo o un enlace de phishing<\/em>. Por otra, los empleados de la empresa son propensos a confiar en un correo que viene de recursos humanos. RR. HH. normalmente env\u00eda los CV de los candidatos a los jefes de departamento. Desde luego, RR. HH. tambi\u00e9n env\u00eda documentos internos a toda la empresa. Eso hace que el secuestro de la cuenta de correo de este tipo de empleados sea una plataforma efectiva para lanzar ataques BE\u0421 y<\/em> para el movimiento lateral a lo largo de la red corporativa.<\/p>\n Para reducir al m\u00ednimo la probabilidad de que los intrusos penetren los ordenadores del departamento de RR. HH., te recomendamos seguir estos consejos:<\/p>\nEl acceso a datos personales<\/h3>\n
Un factor para ataques BEC convincentes<\/h3>\n
C\u00f3mo proteger los ordenadores de RR. HH.<\/h2>\n
\n