En el entorno corporativo actual, la comunicación entre empleados y gestión sobre aspiraciones y habilidades suele ser limitada, a menudo relegada a una evaluación anual de desempeño, así lo reveló la firma de seguridad informática Kasperksy en su blog corporativo.
Los ciberdelincuentes están explotando esta situación con campañas de phishing que se disfrazan de invitaciones a autoevaluaciones por parte del departamento de Recursos Humanos, prometiendo un “diálogo sincero” y ofreciendo reflexiones sobre fortalezas y objetivos profesionales.
Estos correos engañosos pueden parecer convincentes pero suelen tener señales de alerta, como un dominio de remitente sospechoso o una urgencia inusual para completar encuestas obligatorias.
Lee también: Cifras de ransomware en 2023 e impacto en Colombia
Un mensaje de phishing camuflado como convocatoria oficial
De acuerdo con Kaspersky, la operación fraudulenta se inicia cuando el destinatario recibe un mensaje electrónico que aparenta originarse en el departamento de Recursos Humanos. El mensaje incluye una explicación exhaustiva sobre un supuesto proceso de autoevaluación organizacional, el cual se promociona como un vehículo para fomentar una comunicación transparente y constructiva entre los miembros del personal y la dirección.
El contenido sugiere que este ejercicio es una herramienta para el autodescubrimiento profesional, enfatizando en la identificación de competencias y áreas para el crecimiento profesional. A primera vista, el correo puede parecer una comunicación empresarial legítima y meticulosamente elaborada.
Sin embargo, este mensaje de correo electrónico presenta indicadores de compromiso claves que deben alertar al usuario sobre su naturaleza maliciosa. Un indicativo primordial es la discrepancia entre el dominio del remitente y la identidad corporativa de la entidad empleadora.
Aunque podría argumentarse que recursos humanos ha externalizado a un tercero desconocido, es improbable que los servicios sean proporcionados por una entidad denominada “Family Eldercare”, cuya nomenclatura no se alinea con las operaciones comerciales estándar. Además, el mensaje impone una prisa indebida para completar la encuesta, una táctica común en los intentos de phishing para precipitar a los destinatarios hacia una acción imprudente sin la debida verificación con las fuentes internas auténticas.
“Los empleados deben tener cuidado al recibir correos electrónicos, especialmente aquellos que parecen provenir del Departamento de Recursos Humanos. Para mantener los datos a salvo, es crucial verificar la autenticidad de las solicitudes de autoevaluación que no hayan sido informadas por el propio departamento de RRHH previamente”, explica Roman Dedenok, experto en seguridad de Kaspersky.
El formulario de autoevaluación engañoso
Los usuarios que desatienden los indicadores de alerta y proceden a interactuar con el enlace del formulario son dirigidos hacia un conjunto de ítems que superficialmente parecen evaluar su desempeño laboral. Sin embargo, el verdadero propósito del agente de amenazas se manifiesta en el tramo final del formulario: se exige al usuario que proporcione su dirección de correo corporativo y su contraseña de acceso, necesitando incluso una segunda entrada para su confirmación.
Este método de ingeniería social es particularmente refinado. A diferencia de tácticas de phishing más directas, que redirigen desde el correo electrónico a una página fraudulenta para el ingreso de credenciales, esta técnica integra las peticiones de datos sensibles dentro del flujo natural del formulario, posponiendo su solicitud hasta el final y desactivando así el sentido crítico del receptor.
Es más, se observa una manipulación en la escritura de términos sensibles como “contraseña” (password en inglés), donde se reemplazan caracteres con símbolos para eludir filtros de seguridad automatizados que detectan dichas palabras clave.
Phishing ha aumentado 29 % en 2023
El phishing es un problema prevalente que ha crecido significativamente; un informe de Trend Micro de 2023 mostró un aumento del 29 % en las detecciones de phishing, convirtiéndolo en un factor de riesgo cibernético principal.
Las organizaciones a menudo luchan por diferenciar entre correos electrónicos legítimos y de phishing, y los atacantes continúan evolucionando sus tácticas, como usar inteligencia artificial para redactar mensajes persuasivos, explotar nombres de dominio nuevos e incluso incrustar códigos QR en correos electrónicos para eludir herramientas de seguridad. Es crucial que las empresas tengan prácticas de seguridad de correo electrónico multicapa para reducir el riesgo de tales ataques y cumplir con los estándares de seguros cibernéticos.
Para combatir el phishing, ESET enfatiza la necesidad de vigilancia y el desarrollo de una cultura de seguridad donde los empleados estén entrenados para reconocer intentos de phishing.
Según CSO Online, más del 80% de los incidentes de seguridad reportados fueron ataques de phishing, con el objetivo principal de robar credenciales de usuario y datos sensibles. De forma alarmante, Security Boulevard señaló que el 85 % de las organizaciones han sido afectadas por un ataque de phishing y el 97 % de los usuarios no pudieron identificar un correo electrónico de phishing sofisticado.
ESET sugiere que, más allá de simplemente distribuir materiales educativos, las empresas deberían llevar a cabo simulaciones de phishing que proporcionen a los empleados experiencia práctica en identificar y manejar correos electrónicos de phishing, reforzando así la capacitación y ayudando a establecer un firewall humano.
Estos conocimientos sugieren que, mientras las revisiones de desempeño anuales son una práctica común, donde los empleados pueden expresar sus aspiraciones profesionales, hay una oportunidad perdida para un diálogo continuo entre empleados y administración sobre el desarrollo profesional. El ataque de phishing descrito aprovecha esto al disfrazarse como una oportunidad de autoevaluación de RR.HH., jugando con el deseo de los empleados de un compromiso más frecuente con sus supervisores. La sofisticación del ataque radica en su uso de un lenguaje convincente y la acumulación gradual de la solicitud de información sensible, lo que baja la guardia de la víctima y hace que el intento de phishing sea más exitoso.
