Alertan de la nueva estafa de currículums
Redacción | 10/05/2023
Vuelve la ola de ciberataques a empresas.
El hecho de poder enviar nuestro currículum a un departamento de recursos humanos para una vacante es tan bueno para la empresa como una amenaza de ciberseguridad si un grupo de ciberdelincuentes consigue 'colar' malware dentro de alguno de los currículos que envíe.
“A estas alturas de la vida, todos sabemos que uno de los riesgos más comunes y peligrosos para la seguridad de una empresa es la recepción de correos electrónicos que contienen malware”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Este tipo de software está diseñado para causar daño a los sistemas de información y puede introducirse de diferentes formas, ya sea como virus, gusanos, troyanos, ransomware y spyware.
“Sin embargo, la estrategia favorita de los hackers es a través de correos electrónicos maliciosos que, a priori, parecen legítimos. Una modalidad bastante común de llevar a cabo este ciberdelito es a través del envío de currículums vitae y solicitudes de trabajo falsas a las empresas”, comenta el ciberexperto.
EN QUÉ CONSISTE LA ESTAFA
Un supuesto solicitante de empleo interesado en trabajar en la empresa en cuestión manda un mail, en el que incluye uno o varios archivos adjuntos con el nombre de CV o carta de presentación, que en realidad contiene un malware.
“Hay que matizar que normalmente estos correos suelen contener faltas de ortografía incluso en el asunto, por lo que es fácil identificarlos si se hace una lectura correcta y detallada. Sin embargo, las nuevas herramientas de inteligencia Artificial como ChatGPT facilitan el trabajo a los cibercriminales y se está viendo que cada vez se redactan mensajes más elaborados y coherentes”, puntualiza Lambert.
Una vez que el destinatario de correo electrónico abre el archivo adjunto, el malware se instala en el sistema de información de la empresa y puede provocar daños graves e irreversibles como, inclusive, la suspensión total del equipo informático.
“Las consecuencias de la descarga de este malware malicioso no solo se limitan a eso, sino que también puede robar información confidencial, instalar software no autorizado, cifrar archivos y exigir un rescate, o incluso bloquear por completo el acceso a los sistemas de información de la empresa”, resalta Hervé Lambert, Global Consumer Operations Manager de Panda Security.
RECOMENDACIONES PARA EVITAR ESTE TIPO DE CIBERATAQUES
1. Capacitación y sensibilización en materia de ciberseguridad a los empleados de la empresa
En primer lugar, es importante que los empleados estén formados para detectar correos electrónicos fraudulentos. Una buena educación digital les permite estar atentos a cualquier correo electrónico de remitentes desconocidos, correos electrónicos no solicitados, mails con errores gramaticales y ortográficos, y/o con archivos adjuntos sospechosos. “Y la primera regla de oro: los trabajadores deben tener como máxima categórica no abrir mensajes sospechosos y menos descargar archivos adjuntos desconocidos”, insiste Lambert.
Estas medidas para educar y sensibilizar a los empleados sobre los riesgos de seguridad de la información deben de tener un enfoque integral en todo tipo de prácticas que se desarrollen de manera digital en la empresa.
La plantilla debe entender la importancia de la ciberseguridad y cómo sus acciones pueden afectar a la seguridad de la información de la compañía. “En la actualidad, una empresa concienciada con su futuro, el bienestar de negocio y de sus empleados es aquella que decide ofrecer capacitación en seguridad de la información a los empleados y promover prácticas seguras del uso del correo electrónico y la tecnología en general”.
2. Uso de soluciones de seguridad avanzadas
Otra forma de protegerse contra los ataques de malware a través de correos electrónicos es mediante el uso de soluciones de seguridad avanzadas. Las empresas pueden instalar software antivirus, firewall y software de detección de intrusiones para detectar y prevenir estos ciberataques. “Su respuesta es bastante eficaz porque pueden ayudar a detectar correos electrónicos fraudulentos y eliminarlos antes de que lleguen a la bandeja de entrada. Y, además, también es capaz de eliminar el malware antes de que cause daños graves a los sistemas de información”, responde el ciberexperto.
3. Tecnologías de filtrado en el mail
Otro método que puede implementarse es el uso de tecnologías de filtrado de correo electrónico para reducir el riesgo de infiltración de malwares. Este tipo de herramientas pueden escanear automáticamente los correos electrónicos entrantes y salientes para detectar y bloquear correos y archivos adjuntos sospechosos. Aunque no se trate necesariamente de un documento con malware, esta solución ayuda a prevenir el spam y otras formas de correo no deseado.
4. Planes de contingencia ante ciberataques
Además de estas medidas preventivas, es importante que las empresas tengan planes de respuesta a incidentes mayores. “Aquí la clave se basa en contar con un equipo de seguridad de la información que pueda identificar rápidamente la fuente del ataque, determinar el alcance del daño y tomar medidas para mitigar el daño y proteger la información crítica de la empresa. Como decimos siempre: el presupuesto destinado en ciberseguridad no es un gasto, sino una inversión a corto, medio y largo plazo con resultados visibles desde el primer minuto”, concluye Hervé Lambert, Global Consumer Operations Manager de Panda Security.