Ciberamenazas contra RH

Por qué las computadoras en recursos humanos son especialmente vulnerables, y cómo protegerlas.

Algunas profesiones son simplemente más susceptibles a los ciberataques en comparación con otras, sin importar el tipo de negocio. Hoy nos centraremos en las amenazas dirigidas contra los profesionales que trabajan en el área de recursos humanos. La razón más sencilla, pero ni por asomo la única, consiste en que las direcciones de correo electrónico de los empleados de RH se publican en los sitios corporativos para fines de contratación. Así pues, son fáciles de encontrar.

Ciberamenazas contra RH

En recursos humanos, los empleados ocupan una posición un tanto inusual: reciben montañas de correspondencia ajena a la empresa, pero también suelen tener acceso a los datos personales que la empresa debe evitar que se filtren.

Correo entrante

Normalmente, los cibercriminales penetran el perímetro de seguridad corporativo al enviar a los empleados un correo con archivos adjuntos o enlaces maliciosos. Esta es la razón por la que les aconsejamos a los lectores no abrir mensajes de correo electrónico sospechosos o hacer clic en enlaces enviados por desconocidos. Para un profesional de RH, ese consejo sería ridículo. La mayoría de los correos externos que les llegan probablemente son de desconocidos, y muchos incluyen un archivo adjunto con un curriculum vitae (y a veces un enlace a una muestra de su trabajo). Puestos a conjeturar, diríamos que al menos la mitad lucen sospechosos.

Además, los portafolios o muestras de trabajos pasados a veces vienen en formatos poco convencionales, como archivos de programas CAD altamente especializados. La propia naturaleza del trabajo requiere que los empleados de RH abran y revisen los contenidos de dichos archivos. Incluso si olvidamos por un momento que los cibercriminales a veces ocultan el verdadero objetivo de un archivo alterando su extensión(¿es un archivo CAD, fotos RAW , un DOC, un EXE?), y no todos esos programas están actualizados ni se han probado exhaustivamente en busca de vulnerabilidades. A menudo, los expertos encuentran brechas en la seguridad que permiten la ejecución de código arbitrario incluso en software de uso muy extendido, analizado regularmente, como Microsoft Office.

Acceso a datos personales

Las grandes empresas pueden tener una variedad de especialistas responsables de comunicarse con quienes buscan empleo, y para asuntos de trabajo con los empleados actuales, pero es probable que las pequeñas empresas solo tengan un representante de RH para todos los casos. Y es persona muy probablemente tiene acceso a los datos del personal en manos de la empresa.

Sin embargo, si quieres causar problemas, basta con comprometer la bandeja de entrada del especialista en RH. Los aspirantes que envíen sus CV podrían explícita o tácitamente estar dando permiso a una empresa para procesar y almacenar sus datos personales, pero definitivamente no están entregando sus datos a desconocidos externos. Los cibercriminales pueden sacar provecho de dicha información para chantajear.

Y en el tema de la extorsión, también debemos contemplar al ransomware. Antes de privar al dueño del acceso a sus datos, las versiones más recientes lo roban primero. Si esa clase de malware penetra en una computadora de RH, los criminales pueden puede haberse sacado la lotería de los datos personales.

Un factor para ataques BEC convincentes

Es peligroso confiar en que los empleados ingenuos o sin educación no cometerán errores. El ataque de correo corporativo comprometido (business e-mail compromise o BEС) figura ahora de modo prominente. Los ataques de este tipo a menudo toman en control de la bandeja de correo de un empleado y convencen a los colegas de transferir fondos o enviar información confidencial. Para garantizar el éxito, los cibercriminales necesitan secuestrar la cuenta de correo de alguien cuyas instrucciones probablemente serán obedecidas. A menudo se trata de un ejecutivo. La fase activa de la operación se ve precedida de la larga y ardua tarea de encontrar a un empleado adecuado de alto nivel. Y aquí, la bandeja de entrada de RH se vuelve algo de gran utilidad.

Por una parte, como hemos dicho, es más fácil hacer que RH abra un correo o un enlace de phishing. Por otra, los empleados de la empresa son propensos a confiar en un correo que viene de recursos humanos. RH normalmente envía los CV de los candidatos a los jefes de departamento. Desde luego, RH también envía documentos internos a toda la empresa. Eso hace que la cuenta de correo de RH secuestrada sea una plataforma efectiva para lanzar ataques BEС y para el movimiento lateral a lo largo de la red corporativa.

Cómo proteger las computadoras de RH

Para reducir al mínimo la probabilidad de que los intrusos penetren las computadoras del departamento de RH, te recomendamos seguir estos consejos:

  • Separa las computadoras de RH en subred aparte si es posible, lo que reducirá al mínimo la probabilidad de que una amenaza se disemine al resto de la red corporativa, incluso en caso de que una computadora se vea comprometida.
  • No almacenes información identificable de modo personal en sitios de trabajo. En su lugar, guárdala en un servidor separado o, mejor aún, en un sistema hecho para dicha información y protegido mediante autentificación multifactor.
  • Préstale atención al consejo de los profesionales de RH respecto a [KASAP placeholder] capacitar en concientización de ciberseguridad [/KASAP placeholder] para los empleados de la empresa, y anótalos en dicha capacitación.
  • Insta a los representantes de RH a prestar cuidadosa atención a los formatos o archivos enviados por los solicitantes. Los encargados de selección deben poder identificar un archivo ejecutable y saber que no lo deben abrir. Idealmente, trabajen juntos para elaborar una lista de los formatos de archivo aceptables para los CV e incluye esa información en los anuncios para solicitantes de buena fe.

Por último, pero no menos importante, pon en práctica normas de seguridad básicas: actualiza el software en las computadoras de RH de manera oportuna; mantén un política de contraseñas estricta y fácil de seguir (nada de contraseñas poco seguras o duplicadas para recursos internos; cambia todas las contraseñas periódicamente) e instala en cada equipo una solución de seguridad que responda rápidamente ante nuevas amenazas e identifique los intentos de aprovechar vulnerabilidades en el software.

Consejos