Ser un reclutador legítimo ya es un desafío hoy en día. Trabajas duro para encontrar el talento adecuado, gestionar los procesos de contratación y proteger la información confidencial de los solicitantes. Pero en un mundo lleno de estafadores y fraudes laborales, los riesgos no solo afectan a quienes buscan empleo; tu empresa también es un objetivo.

Los ciberdelincuentes ven a los profesionales de RR. HH. y a las agencias de contratación como una mina de oro de datos personales y financieros valiosos. Dado que gestionan currículums, verificaciones de antecedentes, información de nóminas o documentos de identidad, podrían ser el objetivo. Un método común que utilizan son los ataques de phishing.

Un escenario real: cuando el phishing parece demasiado real

Imagina que recibes un correo electrónico titulado "Solicitud de empleo".  Parece legítimo: tiene un texto profesional, sin errores evidentes e incluso una carta de presentación bien redactada. Descargas el "CV" adjunto.  Pero al abrirlo, sin darte cuenta, activas un malware que compromete tu sistema. De repente, tu agencia de contratación sufre un ataque, tus datos quedan expuestos y los estafadores han obtenido acceso no autorizado a información confidencial de la empresa.

¿Qué más se puede hacer? Revisar correos electrónicos y archivos adjuntos de fuentes desconocidas es parte del trabajo. Los ciberdelincuentes lo saben y lo aprovechan, creando correos electrónicos que parecen auténticos, pero que están diseñados para robar datos confidenciales.

¿Por qué estás en la mira?

Porque almacena y tiene acceso a grandes cantidades de información personal y financiera, no solo de empleados, sino también de solicitantes de empleo, clientes y empresas asociadas. Los atacantes saben que los registros de RR. HH. suelen contener datos clave para la verificación de identidad, como nombres completos, direcciones y fechas de nacimiento. Esto hace que las agencias de contratación sean increíblemente valiosas para los ciberdelincuentes que buscan cometer fraude, robo de identidad o incluso espionaje corporativo.

Si dirige una pequeña empresa de recursos humanos o de contratación, podría ser el blanco de estafadores que intentan:

• Robar datos confidenciales, incluida información personal y financiera sobre solicitantes de empleo, empleados y clientes.
• Explote su credibilidad haciéndose pasar por su empresa para enviar ofertas de trabajo falsas o intentos de fraude en la nómina.
• Obtenga acceso no autorizado a su correo electrónico, plataformas de RR.HH. o sistemas de nómina para manipular transacciones financieras, alterar verificaciones de antecedentes o vender datos robados en la web oscura.

Además de las pérdidas financieras, la reputación de su empresa está en riesgo. Si los estafadores usan el nombre de su empresa en estrategias fraudulentas de contratación o roban datos de clientes, podrían minar la confianza tanto de los solicitantes de empleo como de los clientes corporativos, lo que perjudicaría su marca y futuras oportunidades de negocio.

Cómo los estafadores se dirigen a los profesionales de RR.HH. y contratación

El phishing es una de las mayores amenazas de ciberseguridad a las que se enfrentan los profesionales de RR. HH. Estas son las formas más comunes en que podrían contactarte:

• Estafas con candidatos falsos: Un estafador envía una solicitud de empleo con un currículum infectado con malware. Al abrir el archivo adjunto, el malware se instala en su sistema, lo que permite a los hackers acceder a su base de datos de RR. HH. y a la red de su empresa.
• Clientes falsos: Un estafador se hace pasar por una empresa que busca talento. Contacta con su agencia de reclutamiento, solicita datos confidenciales o incluso intenta acceder a su plataforma de contratación, solo para desaparecer una vez que ha recopilado información valiosa.
• Estafas en LinkedIn y mensajería: Recibes un mensaje en LinkedIn (u otra plataforma) de alguien que se hace pasar por un solicitante de empleo, un contacto del sector o un socio de contratación. El mensaje contiene un enlace de phishing diseñado para robar tus credenciales de inicio de sesión o infectar tu dispositivo.

Relacionado: 5 estafas en LinkedIn y cómo evitarlas

• Facturas falsas: Recibes una factura por servicios de RR. HH., como ofertas de empleo, verificación de antecedentes o software de reclutamiento. Parece legítima, pero los datos de pago envían fondos a un estafador en lugar de a un socio legítimo.

Relacionado: ¿Qué son las estafas de facturas y cómo pueden protegerse las pequeñas empresas?

• Bolsas de trabajo comprometidas: los atacantes crean publicaciones de trabajo falsas en sitios confiables y engañan a los reclutadores para que compartan credenciales de inicio de sesión o datos confidenciales.
• Estafas de suplantación de proveedores: un estafador se hace pasar por un proveedor de software de RR.HH. existente y solicita detalles de pago actualizados o credenciales de inicio de sesión.

Relacionado: Cómo investigar a los proveedores y evitar las estafas de vendedores falsos

• Estafas de suplantación de identidad de CEO o ejecutivo: Un estafador se hace pasar por un alto ejecutivo o cliente de una empresa con la que trabaja y solicita acceso urgente a los registros o información financiera de los empleados. Dado que los profesionales de RR. HH. freelance suelen interactuar con diferentes empresas, estos estafadores se aprovechan de la confianza que se genera entre los reclutadores y las empresas, presionándolas para que compartan información confidencial antes de verificar la solicitud.

Relacionado: Estafas de directores ejecutivos: cómo identificarlas, evitarlas y proteger su negocio

Aprenda a reconocer correos electrónicos de phishing (o a verificarlos con las herramientas adecuadas)

Los correos electrónicos de phishing están diseñados para engañarte, y detectarlos no siempre es fácil, sobre todo cuando estás ocupado y distraído. Los estafadores se aprovechan de esto, creando correos electrónicos que parecen rutinarios o incluso urgentes para que actúes sin pensar.

Cómo detectar correos electrónicos de phishing

• Comprueba el remitente, pero no te bases solo en esto. Si bien es importante revisar la dirección de correo electrónico del remitente, no te bases solo en ella. Los ciberdelincuentes pueden piratear cuentas legítimas, haciendo que los mensajes parezcan provenir de contactos de confianza.
• Busca contenido inusual o solicitudes inesperadas. ¿Esperabas recibir este mensaje? ¿Te pide que compartas información confidencial, descargues un archivo adjunto o hagas clic en un enlace? Si algo te parece extraño, investiga un poco más.
• Inspeccione los enlaces antes de hacer clic. Pase el cursor sobre cualquier enlace del correo electrónico. ¿Coincide el enlace mostrado con el hipervínculo real? Si no coinciden, evite hacer clic en él.
• Esté atento a las tácticas de urgencia y presión. Los correos electrónicos de phishing suelen usar palabras como "urgente", "solicitud" o "acción inmediata requerida" para presionarlo a tomar una decisión rápida. Tenga cuidado si se siente presionado.

Relacionado: Estafas de phishing: cómo identificarlas y evitarlas

Dado que los correos electrónicos de phishing son cada vez más difíciles de detectar, una solución de ciberseguridad como Bitdefender Ultimate Small Business Security ayuda a proteger su negocio de contratación al ofrecer, entre otras características:

• La protección de correo electrónico analiza los correos entrantes en busca de enlaces de phishing, malware y direcciones de remitentes falsificadas, y los bloquea antes de que lleguen a su bandeja de entrada. Esto es especialmente importante para los reclutadores que abren regularmente correos electrónicos de solicitantes de empleo y clientes.
• Scam Copilot analiza correos electrónicos sospechosos en tiempo real e identifica señales de alerta como remitentes falsos, solicitudes inusuales y lenguaje engañoso. Te ayuda a determinar rápidamente si un correo electrónico es legítimo o un intento de phishing.
• El monitoreo de identidad digital escanea credenciales, contraseñas y datos personales expuestos en la dark web. Si su correo electrónico empresarial o las credenciales de sus empleados se filtran durante una brecha de seguridad, recibirá una alerta que le permitirá tomar medidas inmediatas.

Conozca nuestros planes para pequeñas empresas.

Fuente: Bitdefender Central