Phishing laboral: ¿Qué es y cómo se utiliza para robar datos?

La prevención es la base de la salud y no sólo a nivel físico y mental sino también en otros entornos. En especial dentro del ambiente digital es fundamental contar las suficientes medidas para evitar ser víctima de casos como el phishing laboral. Para evitar que te ocurra un incidente de este tipo te compartimos todo lo que debes conocer.

Las estafas de empleo y trabajo remoto son muy populares entre los ciberdelincuentes, quienes suelen ofrecer increíbles oportunidades laborales para atrapar a sus víctimas. Al final lo único que les interesa es obtener la información personal y financiera de los demás.

Hacker provoca la primera muerte de la historia por ransomware: Esto ocurrió

¿Qué es el phishing laboral?

El phishing laboral consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima como bancos u hospitales con el objetivo de robarle información privada, realizarle un cargo económico o infectar su dispositivo.

“Las estafas de despido son un tipo de ataque de phishing diseñado para que sus víctimas compartan su información personal y financiera, o alentarlas a hacer clic mediante un enlace malicioso que podría desencadenar en la descarga de malware”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El engaño puede llegar en forma de correo electrónico de Recursos Humanos o de una tercera parte autorizada ajena a la empresa. El correo puede mencionar que sus servicios ya no son necesarios o pretender incluir detalles sobre colegas que son difíciles de resistirse a leer.

El objetivo final es persuadir a la víctima a que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.

Una vez que haga clic o abra el archivo adjunto es posible descubrir que se activa una instalación encubierta de malware o se pide que se introduzcan datos de acceso en una página de phishing falsa.

Con los datos de acceso al trabajo los cibercriminales podrían secuestrar el correo electrónico u otras cuentas para acceder a datos y redes corporativas confidenciales con fines de robo y extorsión.

En el caso que se reutilicen esos nombres de usuario en distintas cuentas, podrían incluso llevar a cabo campañas de relleno de credenciales para desbloquear también otros accesos.

Consejos para identificar casos de phishing laboral

Como ocurre con cualquier ataque de phishing, hay algunas señales de advertencia que deberían llamar la atención si se recibe este tipo de correos en la bandeja de entrada.

Una dirección de remitente inusual que no coincide con el remitente declarado. Pasar el por encima de la dirección del remitente para ver qué aparece. Puede ser algo completamente diferente o podría ser un intento de imitar el dominio de la empresa suplantada, utilizando errores tipográficos y otros caracteres (por ejemplo, m1crosoft.com, @microsfot.com)
Un saludo genérico (por ejemplo, “estimado empleado/usuario”), que no es el tono que adoptaría una carta de despido legítima.
Enlaces incrustados en el correo electrónico o archivos adjuntos para abrir. Suelen ser un signo revelador de un intento de phishing. Si se pasa el pulsor por encima del enlace y no parece correcto, razón de más para no hacer clic.
Enlaces o archivos adjuntos que no se abren inmediatamente, pero que piden que se introduzcan datos de acceso. Nunca responder a un mensaje de este tipo que no haya sido solicitado.
Lenguaje urgente. Los mensajes de phishing suelen intentar precipitar quien lo recibe para que tome una decisión precipitada.
Errores ortográficos, gramaticales o de otro tipo en la carta. Cada vez son menos frecuentes a medida que los ciberdelincuentes adoptan herramientas de IA generativa para redactar sus mensajes de phishing, pero aun así vale la pena prestarles atención.
En el futuro, mantenerse alerta ante los esquemas asistidos por IA en los que los estafadores podrían utilizar imitaciones de audio y vídeo de personas reales (como un jefe, por ejemplo) para engañar y conseguir que facilite información corporativa confidencial.

¿Cuáles son las contraseñas más usadas por los médicos hispanos?

¿Cómo evitar ser víctima del phishing laboral?

Utilizar contraseñas seguras y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas
Asegurarse de activar la autenticación de dos factores (2FA) para una capa adicional de seguridad en el acceso
Asegurarse de que todos los dispositivos personales y de trabajo estén actualizados y parcheados con regularidad
Si el departamento informático se lo ofrece, participar en ejercicios periódicos de simulación de phishing para saber a qué se debe prestar atención
Si se recibe un mensaje sospechoso, nunca hacer clic en los enlaces incrustados ni abrir el archivo adjunto
Si se está preocupado, ponerse en contacto con el remitente a través de otros canales, pero no respondiendo al correo electrónico ni utilizando los datos de contacto que aparecen en él
Informar al departamento informático de la empresa de cualquier mensaje sospechoso
Comprobar si algún compañero ha recibido el mismo mensaje.

Activa las novedades de Saludiario en Google News.

Suscríbete al Boletín de Saludiario

Buscar contenido

Lilly en México: Busca traer 2 nuevos medicamentos por año y aumentar su investigación clínica

OMS publica la nueva versión de la CIE-11: ¿Qué cambios incluye?

AstraZeneca publica sus resultados financieros del 2024: ¿Cuántos nuevos medicamentos prepara?

Hospitales MAC se expande y abre su primera unidad en Tijuana

Las 10 mejores farmacéuticas mexicanas que hay en 2025 según ChatGPT