La seguridad y la privacidad son temas que se están tratando mucho en la actualidad y no es para menos, teniendo en cuenta el panorama que nos rodea. A raíz de los virus en hospitales, en plena pandemia de coronavirus, han surgido otras amenazas muy graves: malware en departamentos de recursos humanos.
Puede que en un primer momento no nos demos cuenta de la gravedad del asunto, pero si entendemos cómo funciona un Departamento de Recursos Humanos, sabremos la cantidad de datos privados que mueven a diario desde hace años.
El Departamento de Recursos Humanos es el encargado de organizar y planificar la plantilla, también realiza las promociones dentro de la empresa, evalúa a los trabajadores, se encarga de que haya un buen clima, etc. Pero estos departamentos son más conocidos por las entrevistas de trabajo.
Ellos son la primera barrea entre la empresa y quien envía sus datos para encontrar trabajo. Y en esta idea se basa este grave peligro que acecha cada día decenas de Departamentos de Recursos Humanos.
Como hemos dicho antes, los de recursos humanos son la primera barrera, y ellos están acostumbrados a recibir decenas de correos electrónicos de interesados, incluso algunos correos tienen archivos adjuntos.
Un ciberdelincuente puede hacerse pasar por un aspirante a un puesto en la empresa, enviar un correo aparentemente normal, pero añadir algún tipo de link o adjunto donde agrega el malware.
Teniendo el archivo descargado, el ciberdelincuente puede descargar toda la información que quiera de la empresa, o incluso chantajear. Y aquí es momento de volver al principio, ya que hemos dicho que los Departamentos de Recursos Humanos reciben decenas de correos con información privada, aparte de la que ya está almacenada en los ordenadores de la empresa.
Es por esto por lo que el ciberdelincuente puede acceder a miles de ficheros y sacar de ahí direcciones, números de teléfono, fotos, nombres completos, universidades, redes sociales, incluso enlaces a esas redes sociales, nombres de otras empresas, correos electrónicos, etc.
Es por esto por lo que el consejo de «no abras correos electrónico de desconocidos o que no esperabas», eso no funciona en un departamento de estas características. Tampoco el consejo de «no descargar archivos adjuntos desconocidos», obviamente es un archivo desconocido porque es un departamento de RR.HH. y tiene que valorar los trabajos de los aspirantes.
Esto sumado a que los archivos a veces no son comunes, por ejemplo, .doc, sino que pueden ser otro tipo de archivos. Se trata de métodos que no están revisados al detalle, como por ejemplo Microsoft Office, así que aunque sea un archivo bueno y real, puede contar con vulnerabilidades.
Así pues, Kaspersky ofrece otras soluciones que detallamos brevemente a continuación:
- Aislar los equipos de recursos humanos en una subred.
- No almacenar información de identificación personal de forma local, sino en un servidor aparte o incluso en un sistema protegido con autenticación multifactor.
- Mantener los equipos bien actualizados con buenos antivirus.
- Formar y concienciar al personal en ciberseguridad.
En último lugar, aunque detectar un correo de estafa sea relativamente difícil en el caso de un Departamento de Recursos Humanos, es conveniente estar alerta y ser capaces de detectar un archivo que no debemos descargar.
Para cumplir con lo anterior podemos establecer una serie de pautas que después pediremos a los aspirantes. Es decir, limitar el peso de cada archivo, reducir la lista de los tipos de archivos admitidos, solo permitir un currículum y nada de adjuntos, etc.