Los ciberataques a las empresas son una amenaza cada vez más común y grave en el mundo digital actual. Estos fraudes pueden tomar muchas formas, desde el phishing y la ingeniería social hasta el malware y el ransomware, y pueden causar daños financieros, reputacionales y operativos significativos.
Y es que, el objetivo principal de estos ciberataques es conseguir un beneficio económico, ya sea incluyendo enlaces fraudulentos que la gente rellena con sus datos bancarios o ya sea robando información confidencial para después pedir una recompensa. Además, los ciberataques también pueden tener como objetivo interrumpir los servicios y la operación normal de la empresa, lo que puede causar daños significativos como pérdidas de dinero o insatisfacción por parte de los clientes.
En los últimos años se ha hecho cada vez más común un tipo de ataque: el fraude de RR.HH., una acción que se dirige principalmente a los miembros del departamento de gestión de personal y que, desde Opentix, queremos dar a conocer para que sepas identificarlo y saber actual contra él.
¿Qué es el fraude de Recursos Humanos?
El fraude de RR.HH. se trata de un ataque dirigido a un miembro del departamento de gestión de personal de una empresa, del cual se ha recopilado previamente información a través de distintos medios (página web corporativa, redes sociales profesionales…). El objetivo de esto es que el ataque sea más creíble y que las víctimas no duden.
En este tipo de fraudes se ataca a dos personas de la misma organización: por una parte, una persona perteneciente al equipo de Recursos Humanos y, por otra parte, un empleado de la empresa al que se le suplanta la identidad. En este sentido, en la comunicación – que suele hacerse a través de correo electrónico -, el ciberdelincuente se hace pasar por un empleado de la compañía y solicita que la siguiente nómina se le ingrese a un “nuevo” número de cuenta controlado por el estafador.
Como ya hemos comentado, uno de los pasos previos al ataque es un estudio previo de la empresa víctima. Algunos de los datos recabados para realizar el fraude son la identidad de los empleados de Recursos Humanos, así como de los empleados con los que cuenta la empresa, la entidad financiera con la que trabaja y las cuentas de correo electrónico. Para otorgarle más veracidad al ciberataque, los estafadores utilizan dos técnicas principales: email spoofing y el cybersquatting.
- Email spoofing: esta técnica consiste en falsear el remitente, haciendo que parezca que procede de la entidad legítima. Sin embargo, el mensaje procede de otra fuente fraudulenta. Se suele conocer también como suplantación de la dirección de correo electrónico.
- Cybersquatting: a diferencia de la técnica anterior, el cybersquatting consiste en modificar ligeramente el nombre de dominio (añadiendo una letra, suprimiéndola, intercambiando la posición de dos letras, etc.). Este método puede ser utilizado tanto para falsear la dirección del remitente como los enlaces a páginas web que contengan enlaces fraudulentos.
¿Cómo identificar un fraude de RR.HH. y prevenirlo?
Aunque los ciberataques son cada vez más sofisticados, existen una serie de características que debemos tener en cuenta cada vez que recibamos una comunicación sospechosa. Y es que, con la creciente dependencia de las empresas y las personas en la tecnología, los ciberdelincuentes tienen cada vez más oportunidades para explotar vulnerabilidades en los sistemas informáticos y de comunicación. A continuación, te presentamos algunas pautas para identificar y prevenir el fraude de RR.HH.:
Doble verificación por otro medio de comunicación
Si hay una forma inequívoca de verificar si un correo electrónico es un fraude o es una comunicación legítima esa es, sin duda, la de contactar directamente con la persona que ha enviado el mensaje. O bien enviando un correo electrónico, haciendo una llamada telefónica o bien utilizando las aplicaciones de mensajería instantánea, lo mejor es preguntar al supuesto remitente si él ha enviado alguna comunicación. Lo más importante es no responder al correo sin antes realizar estas comprobaciones.
Un método que utilizan muchas organizaciones para autorizar operaciones sensibles es utilizar un código secreto que solo conocen las personas dedicadas a hacer estas transferencias bancarias y los altos directivos. Este código servirá para identificar si la comunicación es legítima o no y se recomienda actualizarlo periódicamente.
Comprobar el remitente
Este es el primer paso a realizar cuando se recibe un correo electrónico con indicios de fraude. Si se observa un remitente cuyo dominio no coincide con el corporativo, la comunicación es ilegítima. Sin embargo, los ciberdelincuentes tienen otras técnicas para que las víctimas piquen como el cybersquatting – comprar dominios similares al de la empresa -, y el email spoofing.
Revisar solicitudes urgentes y confidenciales
Si el correo que recibimos proviene de un alto directivo y va acompañado de una necesidad urgente y confidencial, muy probablemente se trate de un intento de fraude y se debe poner en alerta a los empleados.
Revisar la ortografía y expresión
Muchas veces, los correos fraudulentos contienen faltas de ortografía o expresiones muy inusuales. Esto se debe a que muchos mensajes son compuestos por traductores automáticos. Aunque se debe decir que los ciberdelincuentes son cada vez más sofisticados y cometen menos errores.
Analizar la estética del correo
Por lo común, las comunicaciones empresariales contienen distintivos específicos de la compañía: logotipo, sellos, información legal, etc. Cuando el correo no incluye ninguno de estos elementos, o alguno difiere de los habituales, posiblemente sea un síntoma de que se trata de un mensaje fraudulento.
Implantar una solución de ciberseguridad
¿Sabías que en España se producen de media unos 40.000 ciberataques al día? Aunque muchas empresas aún consideran que no es necesario tomar medidas para evitar esta situación, lo cierto es que sufrir un ataque puede provocar consecuencias graves en tu negocio: pérdida de dinero, paralización del trabajo, pérdida de la confianza de los clientes, etc.
En este sentido, tanto si trabajas de forma local como si cuentas con aplicaciones en la nube, en Aitana contamos con soluciones de seguridad que permiten la prevención de fraudes, así como – en el caso de que se diera el ataque – su análisis y protección. Microsoft Defender for Endpoint es una plataforma de seguridad para los puestos de trabajo en cualquier empresa. Por otra parte, Microsoft Defender Cloud Apps es un agente de seguridad de acceso a la nube (CASB). Ambas soluciones proporcionan protección los datos de extremo a extremo y se encargan de detectar, analizar y reaccionar ante los posibles ciberataques que pueda sufrir la compañía.
El fraude de RR.HH., junto a otro tipo de ataques, son una amenaza cada vez más latente para la empresas de todo el mundo. No contar con las herramientas y la formación necesarias para identificar estos ciberataques puede traer consecuencias graves a tu negocio. ¿Vas a dejar que esto ocurra? ¡Rellena el formulario y solicita información sin ningún compromiso!