La trampa del CV: Phishing con archivos adjuntos en búsquedas de empleo

 

En la búsqueda de empleo, la esperanza y la necesidad pueden hacernos vulnerables. Los ciberdelincuentes lo saben y explotan estas emociones a través de una táctica cada vez más común: el phishing mediante archivos adjuntos que simulan ser currículums vitae. Si estás buscando trabajo activamente, es crucial que conozcas esta amenaza para protegerte.

¿Qué es el "phishing de CV"?

Imagina que eres un reclutador o un gerente de contratación. Recibes cientos de currículums y, naturalmente, abres aquellos que parecen relevantes. Los atacantes aprovechan esta dinámica enviando correos electrónicos que aparentan ser solicitudes de empleo legítimas, pero que en realidad contienen archivos adjuntos maliciosos.

Estos archivos pueden tener nombres atractivos como "CV_JuanPerez_Ingeniero.zip", "Solicitud_de_empleo_MariaLopez.rar" o incluso documentos de Office (.doc, .docx) que prometen ser un CV o una carta de presentación. La intención es que, al abrirlos, se ejecute un software malicioso (malware) en tu sistema.

¿Cómo funciona la trampa?

1. El correo electrónico: Recibes un email que parece provenir de un candidato. El asunto y el cuerpo del mensaje suelen ser genéricos pero convincentes, haciendo referencia a una supuesta vacante o expresando interés en trabajar para tu empresa.

2. El archivo adjunto: El "CV" está adjunto. Puede ser un archivo comprimido (ZIP, RAR) que, al descomprimirlo, revela un ejecutable (.exe, .scr) disfrazado de documento, o un documento de Office que contiene macros maliciosas.

3. La ejecución del malware: Al abrir el archivo (ya sea el ejecutable o el documento con macros habilitadas), el malware se instala en tu computadora. Este software puede ser de muchos tipos:

   • Ransomware: Cifra tus archivos y exige un rescate para liberarlos.

   • Spyware: Espía tu actividad, robando contraseñas, información bancaria y otros datos sensibles.

   • Keyloggers: Registra cada pulsación de teclado, obteniendo tus credenciales de acceso.

   • Troyanos de acceso remoto (RATs): Permite a los atacantes tomar el control de tu computadora.

¿Quiénes son las víctimas?

No solo los reclutadores son el objetivo. Cualquier persona que tenga un email profesional visible y que pueda ser percibida como un "punto de entrada" en una empresa es vulnerable. Incluso si no contratas personal directamente, tu correo podría ser usado para propagar el ataque internamente una vez que tu equipo esté comprometido.

Cómo protegerte: ¡La seguridad es clave!

1. Desconfía de los remitentes desconocidos: Si el correo no tiene un nombre de remitente claro o parece sospechoso, sé cauteloso. Busca indicios de un correo electrónico falso (dominios extraños, errores ortográficos).

2. Verifica las extensiones de los archivos: Un CV tradicional es un PDF o un Word (.docx). Sospecha de archivos con extensiones inusuales como .exe, .scr, .js, .vbs, .lnk, o incluso archivos comprimidos (.zip, .rar) si el remitente es desconocido.

3. No habilites macros: Si abres un documento de Office y te pide habilitar macros, ¡no lo hagas! Las macros son una vía común para la ejecución de código malicioso.

4. Usa soluciones de seguridad: Mantén tu antivirus y antimalware actualizados. Estos programas pueden detectar y bloquear muchas de estas amenazas antes de que causen daño.

5. Educación y concienciación: Comparte esta información con tus colegas. La mejor defensa es un equipo bien informado.

6. Alternativas seguras para recibir CVs: Considera usar plataformas de empleo dedicadas (LinkedIn, InfoJobs) que manejan la recepción de CVs de forma más segura o formularios en tu propio sitio web.

7. Actualiza tu sistema operativo y software: Mantener todo actualizado corrige vulnerabilidades de seguridad que los atacantes podrían explotar.

La búsqueda de talento no debe convertirse en un riesgo para la seguridad de tu empresa. Con un poco de precaución y las herramientas adecuadas, puedes evitar caer en la trampa del CV. Mantente alerta y protege tu información.