Filtraciones de datos en recursos humanos, ¿tu plantilla está a salvo?
La empresa de gestión de pagos y beneficios Sequoia sufrió un hackeo hace unos meses que permitió la filtración de los datos de seguridad social e información relativa a la Covid-19 de sus clientes. Estos datos involucraron información confidencial de miles de empleados de distintas compañías que utilizaban los servicios de la firma para su gestión de personal. Y lo peor es que no es el único hackeo de este tipo que se ha producido recientemente.
A comienzos del año, un nuevo ataque dejó en evidencia la seguridad de Gen Digital, la compañía de ciberseguridad a cargo de antivirus como Avast, AVG, Norton y Avira. En lo que supuso un duro golpe para la credibilidad de la empresa, los hackers a cargo del ataque fueron capaces de hacerse con información crítica de los empleados de la compañía. En este caso, el hackeo se produjo a través de la herramienta MOVEit para la transferencia de archivos.

De un modo u otro, diversos grupos de hackers están apuntando cada vez más a los departamentos de recursos humanos de las empresas, ya que contienen información muy valiosa sobre el personal. Además de nombres completos y números de la seguridad social, los hackers también pueden hacerse con la información bancaria para los pagos de las nóminas y el número de teléfono personal de cada empleado, lo que resulta especialmente peligroso.
Con esta combinación de datos, a los hackers les resulta bastante sencillo hacerse pasar por los empleados cuya información ha sido vulnerada, y hacerse con el control de sus cuentas en multitud de plataformas. Muchas empresas almacenan además documentos escaneados como el DNI de cada miembro de su plantilla, lo que agrava la situación, porque luego estos mismos documentos pueden usarse para solicitar un duplicado de la tarjeta SIM del teléfono.
Las tarjetas SIM se utilizan todavía en algunos bancos españoles como EVO o CaixaBank para verificar las transacciones realizadas desde la app de banca online. De este modo, los hackers pueden vulnerar las cuentas de las personas afectadas y confirmar las transferencias recibiendo un SMS en una tarjeta SIM duplicada, de modo que el hackeo podría derivar en cuantiosas pérdidas económicas para los empleados y empleadas que no refuercen su ciberseguridad.
Este problema se ve agravado debido a la pasividad de los bancos españoles a la hora de adoptar sistemas de doble verificación que no impliquen el uso de SMS. Apps como Google Authenticator o Microsoft Authenticator son más seguras que los SMS porque no pueden duplicarse de forma remota. La no adopción de estas medidas de ciberseguridad aumenta el interés de los hackers por hacerse con las bases de datos de RH.
Es indudable que hackeos de este tipo suponen un severo golpe para la imagen de las empresas, y, además, puede acarrearles cuantiosas pérdidas económicas. Los hackers pueden explotar de manera individual los datos robados de cada empleado de la compañía, pero les resulta mucho más fácil encriptarlos y solicitar a la empresa un rescate en forma de ransomware. Si la empresa paga, el hacker libera los archivos, o los destruye sin más.
De más está decir que todas las empresas de España deben reforzar al máximo la ciberseguridad de sus sistemas para prevenir este tipo de hackeos. Utilizar contraseñas complejas y únicas, utilizar sistemas de almacenamiento en frío –es decir, desconectados de la red– y establecer protocolos de actuación digital precisos para todo el personal son medidas esenciales que no pueden pasarse por alto frente al aumento de ciberataques.
En demasiados casos, los hackeos a empresas o instituciones públicas se producen porque buena parte de los sistemas están protegidos por contraseñas endebles o claves por defecto. La combinación de nombre de usuario ‘Administrador’ y contraseña ‘Administrador’ es insólitamente habitual a pesar del peligro que supone, y sigue siendo frecuente encontrar ordenadores con los puertos USB al alcance de cualquiera, incluso en comisarías de policía.
Asimismo, es recomendable mantener siempre una copia de seguridad de los datos de la compañía en sistemas que no estén al alcance de los hackers. De este modo, es posible restablecer los sistemas sin necesidad de pagar un rescate para restaurar los datos, algo que, además, no ofrece ninguna garantía para los empresarios. Muchas formas de ransomware no permiten la desencriptación de los archivos una vez que han sido cifrados.
El pago del rescate solicitado por los hackers también está desaconsejado por la policía debido a que les permite financiar sus operaciones, y dispara todavía más la cantidad de hackeos realizados contra las empresas del país. Por eso, la policía tiende a preferir que no se abone ni un euro a los ciberatacantes, aunque en ocasiones –por ejemplo en los hackeos a ministerios o a hospitales– seguramente sea inevitable ceder a las exigencias de los hackers.
La imagen de una pantalla de ordenador con un mensaje de ransomware solicitando dinero a cambio de liberar los archivos es algo que nadie quiere ver en sus equipos. Y lo peor de todo es que, cuando aparece, ya es demasiado tarde. Por eso, la mejor medida que pueden adoptar las empresas pasa siempre por la prevención, ya que, de otro modo, los daños pueden ser millonarios, o, sencillamente, irreparables.
Artículos relacionados

Alicante, epicentro tecnológico con el Global Power Platform Bootcamp 2025

Consultia nombra a Ignacio González nuevo director general de la compañía

Wayco convoca la quinta edición de su beca para mujeres emprendedoras