Estafa de informes de recursos humanos

Los ciberdelincuentes siguen explotando temas relacionados con el entorno laboral porque los empleados confían instintivamente en cualquier cosa que parezca provenir de departamentos internos. La estafa del Informe de Recursos Humanos es un claro ejemplo de esta táctica. Aunque los mensajes parecen profesionales y rutinarios, son totalmente fraudulentos y están diseñados para recopilar información confidencial. Estos correos electrónicos no están vinculados a ninguna organización, empresa o proveedor de servicios legítimo, a pesar de parecer relacionados con el sector empresarial.

Un mensaje engañoso disfrazado de actualización de RR.HH.

El correo electrónico fraudulento afirma que el destinatario tiene acceso a un nuevo informe mensual de su departamento de RR. HH. Según el mensaje, este informe supuestamente incluye evaluaciones de rendimiento, resúmenes de actividades, resúmenes de bajas e incluso una lista de próximos ascensos. Estos detalles se eligen estratégicamente, parecen creíbles y probablemente inciten a los destinatarios a hacer clic sin dudarlo.

En realidad, el mensaje no tiene relación con el empleador del destinatario y el informe no existe. Su único propósito es atraer a los usuarios a un portal de phishing diseñado para robar credenciales de inicio de sesión de correo electrónico.

El portal de informes falsos

El enlace incluido en el correo electrónico dirige a las víctimas a una página de phishing que imita una pasarela de documentos de Microsoft Excel. En lugar de cargar un archivo real, la página solicita a los visitantes que verifiquen su identidad con su correo electrónico y contraseña. Todo lo que se escribe en este formulario se captura silenciosamente y se entrega a los atacantes.

Debido a que las cuentas comerciales a menudo brindan acceso a sistemas corporativos, unidades compartidas y plataformas en la nube, estas credenciales son muy valiosas para los estafadores.

Cómo se explotan las cuentas robadas

Una vez que los ciberdelincuentes obtienen acceso a una cuenta de correo electrónico, el daño puede escalar rápidamente. Una bandeja de entrada comprometida actúa como puerta de entrada a múltiples plataformas conectadas y puede exponer datos personales o corporativos confidenciales. Los atacantes con frecuencia intentan infiltrarse dentro de una organización utilizando la cuenta comprometida como punto de apoyo, a veces implementando malware o ransomware.

A continuación se presentan algunos de los abusos más comunes relacionados con las credenciales de correo electrónico robadas:

• Entrada no autorizada a cuentas vinculadas, como herramientas de colaboración, almacenamiento en la nube, servicios de mensajería o plataformas financieras
• Infección de redes empresariales con troyanos, ransomware y otro malware
• Hacerse pasar por la víctima para solicitar dinero, préstamos o donaciones
• Distribuir archivos o enlaces maliciosos a contactos
• Realizar compras o transacciones fraudulentas utilizando cuentas financieras comprometidas

Las víctimas a menudo enfrentan graves violaciones de la privacidad, pérdidas financieras significativas, interrupciones del servicio e incluso robo de identidad.

Por qué funciona esta estafa

El phishing con temática laboral tiene éxito porque muchos empleados están acostumbrados a recibir actualizaciones de RR. HH. y documentos internos. Los atacantes se basan en hábitos digitales rutinarios y en la suposición de que las comunicaciones internas son fiables.

Además, los correos electrónicos de phishing suelen acompañar campañas de spam más amplias que pueden intentar recopilar datos personales, difundir estafas no relacionadas o distribuir malware. Los mensajes fraudulentos suelen contener enlaces o archivos adjuntos diseñados para desencadenar una cadena de infección.

Cómo el Malspam distribuye malware

El spam malicioso sigue siendo uno de los métodos más comunes para distribuir software dañino. Los atacantes utilizan numerosos formatos de archivo para ocultar sus cargas útiles:

• Documentos como Microsoft Office, OneNote o archivos PDF
• Archivos como ZIP o RAR, así como archivos ejecutables, incluidos EXE o RUN
• Scripts como JavaScript y formatos ejecutables similares

Cuando un usuario abre uno de estos archivos, comienza la instalación del malware. Algunos formatos requieren un paso adicional; por ejemplo, los archivos de Office pueden solicitar a los usuarios que habiliten las macros, y los archivos de OneNote suelen contener objetos incrustados que activan la carga útil al hacer clic.

Qué hacer si ya ingresaste tus credenciales

Cualquier persona que haya proporcionado sus datos de acceso a través de la página de phishing debe restablecer inmediatamente las contraseñas de todas las cuentas que puedan estar vinculadas al correo electrónico comprometido. También es importante notificar a los equipos de soporte técnico oficiales de los servicios afectados para que puedan ayudar a proteger la cuenta e identificar actividades no autorizadas.

Mantenerse a salvo

Dado que los correos electrónicos engañosos pueden ser muy convincentes, es fundamental ser cauteloso con los mensajes inesperados. Los usuarios deben tener especial cuidado al recibir notificaciones no solicitadas, especialmente aquellas que solicitan la verificación de credenciales u ofrecen acceso a documentos inesperados.

La vigilancia a través del correo electrónico, mensajes directos, SMS y otros canales de comunicación es una de las defensas más eficaces contra ataques como la estafa del informe de recursos humanos.