Consejos HC

¿No te llega la nómina? ¡Ojo, te pueden haber hecho un ‘email spoofing’!

¿Trabajas para una empresa y estás en nómina… o estás al otro lado, trabajando para el departamento de Recursos Humanos, encargándote del pago mensual a los empleados? En ambos casos, ten cuidado con estos correos que se están poniendo muy de moda…

Imagen de una persona consultando su correo electrónico en el trabajo
Foto: Rawpixel en Pixabay.

Comentan desde el servicio de respuesta a incidentes de INCIBE-CERT que se está produciendo, en los últimos meses, un aumento en el número de casos de timos en los cuales, un ciberdelincuente suplanta la identidad de los trabajadores de una empresa para ponerse en contacto con el departamento de RRHH; ¿con qué objetivo?

Solicitar el cambio de los datos bancarios en los que se ingresa la nómina. Se facilita un número que pertenezca a una cuenta propiedad de los estafadores, de tal manera que ellos comenzarán a recibir el ingreso mensual que correspondiese al empleado.

Esta técnica es conocida como email spoofing y se basa en la suplantación de identidad del remitente. Para lograrlo, o bien los delincuentes logran tener acceso a la cuenta de correo de uno de los trabajadores -es decir, comprometen la seguridad de dicha cuenta- o bien emulan el dominio legítimo del remitente mediante técnicas de cybersquating -es decir, crear una cuenta de correo que es falsa… pero que por apariencia, diseño o contenido ‘da el pego’, como puedes ver en la imagen inferior-.

EJemplo de correo falso que busca suplantar la identidad

Por ejemplo, si las direcciones de correo de la empresa son del tipo nombreempleado.apellido@miempresa.es los delincuentes podrían utilizar una dirección como nombreempleado.apellido@mimpresa.es. El receptor del correo podría no percatarse de la diferencia en el dominio debido a su parecido -si lo analizas tranquilamente, verás que tan sólo ha cambiado una letra en la dirección-.

¿Cómo se puede luchar contra esto?

Como habrás comprobado, los ciberdelincuentes cada vez se toman más molestias y recurren a técnicas más depuradas, lo cual hace que sea más difícil distinguir entre un correo legítimo y uno falso. Recurre a tecnologías de ingeniería social o de las infecciones por malware espía para obtener información de la empresa, como por ejemplo los correos electrónicos de la plantilla, pasando desapercibidos y así poder llevar a cabo estafas de este tipo.

Como suele ser habitual en estos casos, es importante que ante la mínima duda analices al detalle el correo que te ha llegado y aprendas a identificarlo. Asimismo, para que nadie se pueda colar en tu correo electrónico -y, de esta forma, poder minimizar los efectos de una posible ‘infección’- desde el INCIBE te recomiendan que tengas el sistema operativo y todas las aplicaciones al día para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados.

También es muy interesante instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware. Tampoco te olvides de desactivar la vista de correos en HTML en las cuentas críticas.

Por otro lado, no publiques indiscriminadamente información sobre las cuentas de correo internas -y cuando hagas un reenvío a varias personas, utiliza siempre la casilla de copia oculta-. En resumen, no olvides concienciar a tus empleados o compañeros para evitar que sus cuentas sean comprometidas.

FUENTE: INCIBE

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.