self.post_img_alt

Estafas de phishing suplantan al departamento de recursos humanos para robar datos confidenciales

  • Alex De los Llanos Dueñas
  • Enero 2025

En el ámbito empresarial actual, los ciberdelincuentes han perfeccionado sus tácticas de ingeniería social, dirigiendo sus ataques hacia los empleados mediante correos electrónicos fraudulentos que aparentan ser comunicaciones legítimas del departamento de recursos humanos. El objetivo principal de estas estafas es obtener información confidencial, como credenciales de acceso y datos personales, poniendo en riesgo la seguridad de las organizaciones.

Modus operandi de la estafa

Los estafadores envían correos electrónicos que simulan provenir del departamento de recursos humanos de la empresa. Estos mensajes suelen solicitar al empleado que participe en una evaluación de desempeño obligatoria o que complete un formulario de autoevaluación. El contenido del correo está diseñado de manera convincente, utilizando logotipos corporativos y un lenguaje formal para engañar al destinatario.

Un aspecto común en estos correos fraudulentos es la urgencia; se insta al empleado a completar la evaluación antes de que finalice la jornada laboral. Además, aunque las preguntas iniciales del formulario pueden parecer inofensivas, las últimas suelen solicitar información sensible, como la dirección de correo electrónico corporativo y la contraseña asociada. Esta estrategia busca aprovechar la confianza del empleado en las comunicaciones internas para obtener sus credenciales de acceso.

Algunos casos reportados también han incluido enlaces a sitios web falsos que imitan páginas de inicio de sesión corporativas. Una vez que el empleado introduce sus credenciales, estas son capturadas por los atacantes, quienes las utilizan para acceder a sistemas internos y comprometer información confidencial.

Para identificar y evitar caer en este tipo de estafas, es fundamental prestar atención a ciertos indicadores en los correos electrónicos recibidos:

  • Dirección de correo del remitente: Verificar que la dirección de correo coincida exactamente con la oficial de la empresa. Los estafadores suelen utilizar direcciones similares pero con ligeras variaciones, como añadir caracteres adicionales o cambiar dominios.
  • Urgencia injustificada: Mensajes que exigen acciones inmediatas o establecen plazos muy cortos pueden ser sospechosos.
  • Solicitudes de información sensible: Los departamentos legítimos rara vez solicitan contraseñas u otra información confidencial a través de correo electrónico.
  • Enlaces y archivos adjuntos: Antes de hacer clic en enlaces o descargar archivos, es esencial verificar su legitimidad. Pasar el cursor sobre el enlace puede revelar la URL real, que debe coincidir con la del sitio oficial de la empresa.

Recomendaciones para protegerse de estas estafas

La empresa de ciberseguridad Kaspersky ofrece una serie de consejos para protegerse contra estos ataques de phishing:

  1. Desconfiar de mensajes de fuentes desconocidas: No interactuar con correos de remitentes desconocidos y evitar hacer clic en enlaces o proporcionar información personal en respuesta a estos mensajes.
  2. Utilizar contraseñas seguras y únicas: Emplear contraseñas robustas y diferentes para cada cuenta. Considerar el uso de gestores de contraseñas que generen y almacenen credenciales de manera segura.
  3. Verificar la legitimidad de los enlaces: Antes de hacer clic, asegurarse de que los enlaces dirigen a sitios web oficiales y no a páginas fraudulentas diseñadas para robar información.
  4. Activar la autenticación de doble factor (2FA): Implementar esta capa adicional de seguridad dificulta el acceso no autorizado, incluso si las credenciales han sido comprometidas.
  5. Mantener el software de seguridad actualizado: Utilizar soluciones de seguridad confiables y asegurarse de que estén actualizadas para protegerse contra las amenazas más recientes.

Además de las medidas técnicas, es crucial que las organizaciones inviertan en la formación continua de sus empleados en materia de ciberseguridad. La concienciación sobre las tácticas de los ciberdelincuentes y el conocimiento de las mejores prácticas para manejar información sensible pueden reducir significativamente el riesgo de sufrir una brecha de seguridad.

Programas de formación que incluyan simulaciones de ataques de phishing, talleres sobre la creación de contraseñas seguras y sesiones informativas sobre la importancia de la autenticación multifactor pueden empoderar a los empleados para reconocer y responder adecuadamente ante posibles amenazas. Además, estas iniciativas refuerzan la confianza del personal en los sistemas internos y fomentan una cultura organizacional de seguridad.

Responsabilidad compartida en la protección de datos

La seguridad de la información es una responsabilidad compartida entre la organización y sus empleados. Mientras que la empresa debe proporcionar las herramientas y políticas necesarias para proteger los datos, los empleados deben mantenerse vigilantes y seguir las directrices establecidas para evitar caer en trampas de ingeniería social.

Establecer canales de comunicación claros y confiables para las interacciones internas, especialmente aquellas relacionadas con información sensible, puede ayudar a prevenir confusiones y reducir la efectividad de los correos electrónicos fraudulentos. Además, es recomendable que las empresas realicen auditorías periódicas de sus sistemas y procesos para identificar posibles vulnerabilidades y mejorar sus defensas.

En los últimos años, se han reportado múltiples incidentes de phishing dirigidos a departamentos de recursos humanos, resultando en pérdidas significativas para las organizaciones afectadas. Estos casos destacan la importancia de actuar rápidamente una vez que se identifica un ataque:

  • Notificar al equipo de TI: Informar de inmediato sobre cualquier correo sospechoso puede prevenir mayores daños.
  • Revocar accesos comprometidos: Cambiar contraseñas y revocar accesos a cuentas potencialmente afectadas ayuda a contener el impacto del ataque.
  • Colaborar con expertos en ciberseguridad: Trabajar con empresas especializadas para investigar el incidente y reforzar las medidas de seguridad.

Conclusión

Las estafas de phishing que se hacen pasar por el departamento de recursos humanos representan una amenaza significativa para la seguridad de las organizaciones. La combinación de medidas técnicas, formación continua y una cultura de seguridad sólida puede ayudar a mitigar estos riesgos.

Mantenerse alerta y seguir las mejores prácticas en ciberseguridad es esencial para proteger tanto la información personal como la integridad de la empresa. Para obtener más información sobre cómo protegerse contra estafas de phishing y otras amenazas cibernéticas, se recomienda consultar fuentes confiables y mantenerse actualizado sobre las últimas tendencias en ciberseguridad.

En Minery Report, estamos comprometidos con la educación y prevención en ciberseguridad. Si necesitas asesoramiento o apoyo para mejorar la seguridad de tu organización, contacta con nosotros. La seguridad es una responsabilidad compartida y juntos podemos construir un entorno digital más seguro y resiliente.

Etiquetas:
  • phishing
  • estafas recursos humanos
  • ciberseguridad
  • seguridad empresarial
Categorías:
  • Ciberseguridad
  • Noticias
VOLVER