El timo del correo de recursos humanos: cómo funciona y qué pretenden robar

Las estafas de 'phishing' son algunas de las más habituales que nos encontramos por internet. Los ciberdelincuentes suplantan diferentes entidades con el objetivo de robar nuestros datos personales, claves de acceso o información delicada. Desde suplantar a la Agencia Tributaria, hacerse pasar por nuestro banco o intentar engañarnos con una falsa oferta de trabajo, los métodos son muy diversos pero tienen algo en común: te piden datos personales.

Recientemente ha proliferado un método de 'phishing' que consiste en suplantar a tu departamento de recursos humanos. Las empresas, sobre todo las grandes corporaciones, piden a sus empleados evaluaciones de desempeño que se suelen hacer una vez al año, pero muchas veces los empleados desean comunicarse con la dirección más a menudo, es ahí cuando los ciberdelincuentes atacan.

En cualquier momento del año, los estafadores envían correos falsos en los que se comunica a los objetivos que deben participar en una evaluación obligatoria. Estos mensajes se diseñan para que sean convincentes y aparentemente provienen del departamento de recursos humanos y despliegan un formulario de autoevaluación que permite a los trabajadores interactuar con sus superiores. Sin embargo, hay detalles que provocan sospechas y debemos prestar atención para identificarlos y no caer en la trampa.

Por ejemplo, la dirección de correo electrónico del remitente no coincide nunca con el de la empresa y se insta al usuario a rellenar el formulario antes del fin de la jornada, estos aspectos son característicos de este tipo de estafas. A continuación, las preguntas del formulario son, en principio, inofensivas y neutras, sin embargo, las últimas por lo general solicitan la dirección de correo, la contraseña y la confirmación de esta. Información muy sensible que se solicita justo al final del texto para tratar de pillar desprevenida a la víctima.

El experto en ciberseguridad de la empresa Kaspersky, Roman Dedenok, explica que "los empleados deben tener cuidado al recibir correos electrónicos, especialmente aquellos que parecen provenir del departamento de recursos humanos. Para mantener los datos a salvo, es crucial verificar la autenticidad de las solicitudes de autoevaluación no mencionadas por el propio departamento".

Cómo identificar y evitar la estafa

Para estar protegidos frente a estas estrategias de 'phishing', los expertos de Kaspersky recomiendan:

• Prestar atención a la fuente de la que proviene el mensaje. Los ataque de 'phishing' a menudo provienen de remitentes extraños o desconocidos. Nunca hagas clic en los enlaces de estos correos ni facilites datos personales.
• Usa claves de seguridad únicas para cada caso, evitando utilizar la misma contraseña en varias cuentas. Evitarás de esta forma que todas tus cuentas se pongan en peligro si se produce una brecha de datos.
• Considera el uso de administradores de contraseñas, que gestionan y generan credenciales complejas y seguras.
• Verifica los enlaces antes de hacer clic en ellos. Los estafadores generan webs falsas que buscan imitar a las originales, por ello es importante revisar bien la url antes de facilitar cualquier información.
• Activa la verificación en dos pasos siempre que sea posible. Esto añade una capa más de seguridad, bloqueando accesos no autorizados.
• Usa un software de seguridad de confianza y analiza regularmente los dispositivos en búsqueda de amenazas. Además, debemos mantener actualizados los programas de seguridad en todo momento.