Las ciberamenazas contra el departamento de RR. HH.

Por qué los ordenadores de los empleados de recursos humanos son especialmente vulnerables y cómo protegerlos.

Algunas profesiones son más susceptibles a los ciberataques que otras, sin importar el tipo de empresa. Hoy nos centraremos en las amenazas dirigidas contra los profesionales que trabajan en el área de recursos humanos. La razón más sencilla, aunque no la única, consiste en que las direcciones de correo electrónico de los empleados de recursos humanos se publican en los sitios corporativos con fines de contratación. Por tanto, son fáciles de encontrar.

Las ciberamenazas contra RR. HH.

En recursos humanos, los empleados ocupan una posición un tanto inusual: reciben toneladas de correspondencia ajena a la empresa, pero también suelen tener acceso a los datos personales que la empresa debe evitar que se filtren.

La bandeja de entrada

Normalmente, los ciberdelincuentes penetran en el perímetro de seguridad corporativo al enviar a los empleados un correo con archivos adjuntos o enlaces maliciosos. Esta es la razón por la que aconsejamos a los lectores no abrir mensajes de correo electrónico sospechosos o hacer clic en enlaces enviados por desconocidos. Pero, para un profesional de RR. HH., ese consejo resulta ridículo. Probablemente la mayoría de los correos externos que reciban sean de desconocidos y muchos de ellos con un archivo adjunto, un curriculum vitae (y a veces un enlace a una muestra de su trabajo). Puestos a conjeturar, diríamos que al menos la mitad parecen sospechosos.

Además, los portafolios o muestras de trabajos anteriores a veces vienen en formatos poco convencionales, como archivos de programas CAD altamente especializados. La propia naturaleza del trabajo requiere que los empleados de RR. HH. abran y revisen los contenidos de dichos archivos. Aunque olvidemos por un momento que los ciberdelincuentes a veces ocultan el verdadero objetivo de un archivo alterando su extensión (¿es un archivo CAD, una foto RAW, un DOC, un EXE?) y no todos esos programas están actualizados ni se han probado exhaustivamente en busca de vulnerabilidades. A menudo, los expertos encuentran brechas en la seguridad que permiten la ejecución de código arbitrario incluso en software de uso muy extendido, analizado regularmente, como Microsoft Office.

El acceso a datos personales

Las grandes empresas pueden contar con especialistas responsables de comunicarse con aquellos que buscan un empleo y otros dedicados a los asuntos de trabajo de los empleados actuales, pero lo más probable es que las pequeñas empresas solo tengan un representante de RR. HH. para ambos casos. Y seguramente esa persona tenga acceso a los datos del personal en manos de la empresa.

Sin embargo, si quieres causar problemas, basta con comprometer la bandeja de entrada del especialista en RR. HH. Los aspirantes que envíen sus CV podrían explícita o tácitamente estar dando permiso a una empresa para procesar y almacenar sus datos personales, pero definitivamente no están entregando sus datos a desconocidos externos. Los ciberdelincuentes pueden sacar provecho de dicha información para chantajear.

Y en cuanto al tema de la extorsión, no debemos dejar de lado el ransomware. Antes de privar al dueño del acceso a sus datos, las versiones más recientes lo roban primero. Si esa clase de malware penetra en el ordenador de un empleado de RR. HH., los ciberdelincuentes podrán acceder a la lotería de los datos personales.

Un factor para ataques BEC convincentes

Es peligroso confiar en que los empleados ingenuos o que no han recibido una formación en seguridad no cometerán errores. El ataque de correo corporativo comprometido (BEС por sus siglas en inglés) está ahora en auge. Los ataques de este tipo a menudo toman el control de la bandeja de correo de un empleado y convencen a los compañeros para que transfieran fondos o envíen información confidencial. Para garantizar el éxito, los ciberdelincuentes necesitan secuestrar la cuenta de correo de alguien con cierta autoridad, a menudo recurren a directivos. La fase activa de la operación se ve precedida de la larga y ardua tarea de encontrar a un empleado adecuado de alto nivel. Y aquí, la bandeja de entrada de RR. HH. suele ser de gran utilidad.

Por una parte, como hemos dicho, es más fácil hacer que RR.HH. abra un correo o un enlace de phishing. Por otra, los empleados de la empresa son propensos a confiar en un correo que viene de recursos humanos. RR. HH. normalmente envía los CV de los candidatos a los jefes de departamento. Desde luego, RR. HH. también envía documentos internos a toda la empresa. Eso hace que el secuestro de la cuenta de correo de este tipo de empleados sea una plataforma efectiva para lanzar ataques BEС y para el movimiento lateral a lo largo de la red corporativa.

Cómo proteger los ordenadores de RR. HH.

Para reducir al mínimo la probabilidad de que los intrusos penetren los ordenadores del departamento de RR. HH., te recomendamos seguir estos consejos:

  • Aísla los ordenadores de RR. HH. en una subred aparte siempre que sea posible, lo que reducirá al mínimo la probabilidad de que una amenaza se disemine al resto de la red corporativa, incluso en caso de que un ordenador se vea comprometido.
  • No almacenes información de identificación personal en estaciones de trabajo. En su lugar, guárdala en un servidor aislado o, mejor aún, en un sistema especial para dicha información y protegido mediante una autentificación de múltiples factores.
  • Préstale atención al consejo de los profesionales de RR. HH. respecto a las formaciones en materia de sensibilización de ciberseguridad para los empleados de la empresa.
  • Insta a los representantes de RR. HH. a prestar cuidadosa atención a los formatos o archivos enviados por los solicitantes. Los encargados de la selección de personal deben poder identificar un archivo ejecutable y saber que no lo deben abrir. La mejor opción es trabajar juntos para elaborar una lista de los formatos de archivo en las que se admiten los CV e incluir esa información en los anuncios para los solicitantes de buena fe.

Por último, pero no menos importante, pon en práctica normas de seguridad básicas: actualiza el software en los ordenadores de RR. HH. de forma oportuna; mantén un política de contraseñas estricta y fácil de seguir (nada de contraseñas poco seguras o duplicadas para recursos internos; cambia todas las contraseñas periódicamente) e instala en cada equipo una solución de seguridad que responda rápidamente ante nuevas amenazas e identifique los intentos de aprovechar vulnerabilidades en el software.

Consejos