CVs maliciosos: así están usando los cibercriminales los portales de empleo para entrar a las empresas

Los equipos de Recursos Humanos se han convertido en una nueva puerta de entrada para el cibercrimen. Según un análisis reciente de Sophos, un grupo de atacantes abandonó los correos de phishing tradicionales para concentrarse en distribuir currículums maliciosos a través de portales de empleo legítimos como Indeed, JazzHR o ADP WorkforceNow. Entre febrero de 2024 y agosto de 2025 se investigaron cerca de 40 ciberataques ligados a esta campaña, lo que indica que no se trata de un experimento aislado, sino de una evolución estratégica en la forma de atacar a las organizaciones.

Aunque la mayoría de los incidentes identificados se han registrado en Estados Unidos y Canadá, los portales utilizados son globales y también muy populares en México. Para empresas que contratan talento remoto o reciben candidaturas internacionales, este vector debería considerarse ya una amenaza real.

Cómo funciona el ataque: del CV al ransomware

El método descrito por Sophos es directo: los atacantes cargan CVs manipulados en plataformas de reclutamiento. A simple vista, se trata de documentos legítimos enviados por candidatos; sin embargo, al abrirlos, ejecutan código malicioso que puede incluir desde macros hasta malware más sofisticado.

Una vez que el documento es abierto en una computadora corporativa —típicamente en el equipo de RR. HH.— los atacantes pueden:

• obtener acceso inicial a la red interna,
• robar contraseñas almacenadas en el equipo o en el navegador,
• extraer información sensible (datos de empleados, candidatos, finanzas),
• y, en algunos casos, desplegar ransomware sobre sistemas críticos.

El movimiento es sutil pero lógico: los portales de empleo y las bandejas de entrada de RR. HH. son “puertas naturales” de cualquier empresa. Nadie se extraña de recibir decenas o cientos de CVs en un proceso; eso hace que la vigilancia tienda a relajarse y que la urgencia por cubrir vacantes se imponga sobre las buenas prácticas de seguridad.

Por qué esto debería preocupar especialmente a las empresas mexicanas

En México, muchas organizaciones —en particular Pymes— han acelerado el uso de plataformas de reclutamiento y entrevistas remotas. El talento se busca ya más allá de la ciudad o del país, y los portales globales son el canal por defecto para publicar vacantes y recibir CVs.

Este contexto genera tres vulnerabilidades:

• Superficie de ataque ampliada. Cuantos más portales y canales se usan para reclutar, más vectores potenciales se abren para recibir archivos maliciosos.
• Equipos de RR. HH. sin enfoque de seguridad. El personal responsable de filtrar currículums suele estar entrenado en aspectos legales, culturales y de talento, pero no en análisis de riesgo digital.
• Infraestructuras modestas. Muchas Pymes no cuentan con segmentación de red ni controles de privilegios avanzados; si un equipo de RR. HH. se compromete, es más fácil que el atacante se mueva lateralmente hacia sistemas críticos.

Que los incidentes documentados por Sophos se hayan concentrado hasta ahora en Norteamérica no debería tranquilizar a nadie en la región: los portales son los mismos y las tácticas suelen replicarse rápidamente allí donde encuentran vulnerabilidades parecidas.

Lo que enseña el caso Sophos: el phishing se sofistica

El análisis de Sophos muestra una transición clara: de campañas masivas de phishing dirigidas a cualquier empleado, a ataques más quirúrgicos que se apoyan en flujos de negocio legítimos. En lugar de enviar correos genéricos con enlaces sospechosos, los atacantes se insertan en procesos reales de reclutamiento.

Este cambio tiene varias implicaciones para los líderes de negocio:

• La primera línea de defensa ya no es solo el correo corporativo, sino cualquier canal donde la empresa reciba archivos de terceros (clientes, proveedores, candidatos).
• RR. HH., compras, atención al cliente y áreas administrativas se convierten en objetivos prioritarios, por la cantidad de documentos que abren cada día.
• El discurso de “cuidado con los correos raros” es insuficiente: hoy, los documentos peligrosos pueden venir vestidos de CV impecable.

La lección de fondo es que la ciberseguridad debe anclarse en procesos y roles, no solo en tecnología.

De la teoría a la práctica: qué deben hacer RR. HH. y TI

Sophos propone varias medidas de mitigación que, llevadas al terreno de la gestión, pueden estructurarse en tres capas: controles técnicos, procesos y personas.

1. Controles técnicos mínimos

• Escaneo de adjuntos antes de abrir. Configurar filtros y herramientas de seguridad para analizar todos los archivos recibidos a través de portales de empleo o correo, idealmente en un entorno aislado.
• Privilegios limitados en equipos de RR. HH. Los usuarios de reclutamiento no deberían operar con permisos de administrador ni tener acceso directo a sistemas críticos.
• Segmentación de red. Separar la red de equipos expuestos a descargas y correos (RR. HH., administración) de las zonas que alojan aplicaciones sensibles (finanzas, ERP, nómina).
• Autenticación multifactor. Activar MFA en cuentas corporativas clave, especialmente correo, VPN y plataformas de reclutamiento.
• Respaldos actualizados y aislados. Mantener copias de seguridad que no estén accesibles desde las mismas credenciales que podrían comprometerse en un ataque, para facilitar recuperación en caso de ransomware.

2. Procesos y políticas

• Definir un flujo claro para la recepción y manejo de CVs: qué herramientas se usan, quién abre los archivos, en qué orden se revisan.
• Establecer una política explícita sobre qué tipos de archivos se aceptan (por ejemplo, preferir PDF planos sobre documentos ejecutables o formatos que permitan macros).
• Documentar qué hacer ante señales de alerta: archivo que genera error al abrir, comportamiento extraño del equipo, solicitudes inusuales de credenciales.

3. Personas y cultura

• Capacitar de manera específica al personal de RR. HH. y administración sobre riesgos asociados a CVs y documentos adjuntos, con ejemplos concretos.
• Incluir a RR. HH. en las simulaciones o ejercicios de respuesta a incidentes, no solo a áreas técnicas.
• Reforzar la idea de que abrir un CV no es un acto inocuo: es una operación de riesgo que debe realizarse bajo controles y buenas prácticas.

RR. HH. como actor clave en la estrategia de ciberseguridad

El caso de los CVs maliciosos ilustra un giro más amplio: la ciberseguridad dejó de ser un problema exclusivo de TI. La gestión de talento es, hoy, un componente central de la superficie de ataque de cualquier organización.

Para la audiencia de Neurona —directores generales, de tecnología, de talento y de operaciones—, esto sugiere varias decisiones concretas:

• Incluir a RR. HH. en el mapa de riesgos. Los procesos de reclutamiento deben aparecer en cualquier análisis serio de exposición y continuidad de negocio.
• Diseñar protocolos conjuntos TI–RR. HH. Las áreas técnicas y de talento deben codiseñar flujos seguros para la recepción y manejo de CVs, pruebas y documentación adicional.
• Medir el progreso. No basta con una sesión de capacitación puntual. Es necesario seguir indicadores: número de incidentes detectados a tiempo, cumplimiento de procedimientos, resultados de simulaciones.

Los cibercriminales seguirán buscando las puertas más naturales y menos vigiladas de las organizaciones. En 2025 y 2026, los portales de empleo y los currículums parecen haber entrado en esa lista. Blindar esta vía no exige inversiones desproporcionadas, pero sí un cambio de mentalidad: entender que, en la economía del talento digital, cada CV es también un posible vector de riesgo.