En pleno auge del trabajo remoto y los procesos de contratación digital, una nueva amenaza está creciendo silenciosamente: currículums cargados con malware distribuidos desde portales de empleo legítimos. Una táctica precisa, discreta y peligrosa que ya está afectando a empresas en Norteamérica —y que podría llegar a México más pronto de lo que parece.
UNA TÁCTICA DE ATAQUE QUE APROVECHA LO “NORMAL”
De acuerdo con un análisis reciente de Sophos, un grupo de cibercriminales ha dejado atrás el phishing tradicional para enfocarse en infiltrar organizaciones por medio de currículums manipulados.
Estas cargas maliciosas se distribuyen a través de plataformas totalmente legítimas como Indeed, JazzHR y ADP WorkforceNow, lo que les da credibilidad inmediata.
Entre febrero de 2024 y agosto de 2025 se investigaron casi 40 ciberataques ligados a esta campaña, lo que la convierte en una estrategia clara y no en un incidente aislado.
¿CÓMO OPERAN LOS ATAQUES?
La mecánica del ataque es simple pero efectiva:
- El atacante sube un currículum alterado a una plataforma de empleo.
- El área de Recursos Humanos lo descarga y abre sin sospechas.
- El archivo ejecuta código malicioso, que puede:
- Dar acceso remoto a la red corporativa
- Robar contraseñas
- Extraer información sensible
- Instalar malware avanzado
- Desencadenar ransomware
Esto convierte a RR. HH. en un punto débil perfecto: reciben decenas o cientos de archivos al día, y la presión por revisarlos rápido puede jugar en contra.
RIESGO PARA EMPRESAS MEXICANAS
Aunque los incidentes detectados hasta ahora se concentran en Estados Unidos y Canadá, el riesgo para México es real.
Las razones:
- Los mismos portales son ampliamente usados por empresas mexicanas
- Muchas organizaciones contratan talento remoto internacional
- La frontera digital no existe: el malware viaja igual a través de archivos
Pequeñas y medianas empresas —que suelen tener protecciones limitadas— son especialmente vulnerables.
¿QUÉ DEBEN HACER LAS EMPRESAS EN MÉXICO?
Los especialistas de Sophos recomiendan una serie de medidas clave:
- Revisar todos los archivos adjuntos en CVs antes de abrirlos, mediante herramientas de seguridad.
- Limitar privilegios en equipos de RR. HH. para reducir el impacto en caso de infección.
- Segmentar la red interna, separando áreas críticas de las zonas más expuestas.
- Implementar autenticación multifactor en correos, plataformas de reclutamiento y paneles administrativos.
- Mantener respaldos actualizados y aislados para recuperación en caso de ransomware.
- Capacitar al personal administrativo para detectar archivos sospechosos y señales de ataque.
No es posible eliminar el riesgo al 100%, pero sí reducirlo sustancialmente.
UNA NUEVA EVOLUCIÓN DEL CIBERCRIMEN
Este tipo de ataque refleja una transición clara: los cibercriminales están dejando las campañas masivas para enfocarse en puertas naturales de las empresas.
Los currículums enviados por correo, los portales de empleo e incluso LinkedIn se están convirtiendo en puntos de entrada ideales.
La lección es contundente: ninguna actividad cotidiana está libre de riesgos, y menos en un contexto digital hiperconectado. El proceso más inocente —revisar un CV— puede convertirse en un incidente grave si no se toman medidas preventivas. Las empresas mexicanas deben adelantarse, reforzar sus prácticas y entender que la ciberseguridad empieza en los detalles.
