Encuéntrenos en ProcureCon, CWS Europe y otros eventos en todo el mundo. Consulte el programa completo.

Consulte el programa completo.

Aspectos básicos de seguridad que toda agencia de empleo y contratación debe tener en cuenta

Última actualización:

Índice

Una guía práctica para los organismos que desean proteger a su personal, sus pagos y sus socios.

Por Scott Wilson, Vicepresidente Senior y Director Global de Seguridad y Privacidad | Editado por Jeremiah Akin, Director de Marca Global y Marketing de Contenidos

Las agencias de empleo y contratación se basan en la confianza. Manejan datos confidenciales, gestionan grandes volúmenes de transacciones financieras y mantienen relaciones constantes con docenas, a veces cientos, de proveedores y socios. Esto les convierte en un objetivo.

Los ciberdelincuentes lo saben. No sólo persiguen a las grandes empresas con departamentos informáticos especializados. Las empresas con menos de 100 empleados reciben un 350% más de ataques de ingeniería social que las grandes organizaciones, y aproximadamente la mitad de las pequeñas empresas carecen de un plan de ciberseguridad. Si su organismo ha estado funcionando sin una base de seguridad clara, no es el único. Merece la pena cambiar eso ahora.

Este artículo trata de los controles básicos que toda agencia de selección y contratación de personal debería tener. No se requieren conocimientos técnicos avanzados.

Por qué las agencias son un objetivo

Las mismas cosas que hacen que las agencias de empleo y contratación sean buenas en su trabajo también las hacen atractivas para los defraudadores: comunicación frecuente con nuevos contactos, transferencias periódicas y pagos a proveedores, y equipos ágiles que se mueven con rapidez.

El correo electrónico comercial comprometido (BEC) es una de las formas de fraude más dañinas que afectan a las agencias en la actualidad. Funciona así: un delincuente utiliza una cuenta de correo electrónico falsa o comprometida para redirigir un pago legítimo a una cuenta fraudulenta. El FBI informó de 2.770 millones de dólares en pérdidas relacionadas con BEC sólo en 2024, y esa cifra sólo refleja lo que se informó. Según la Encuesta de Fraude y Control de Pagos de AFP de 2026, el 76% de las organizaciones estadounidenses experimentaron intentos o fraudes de pagos reales en 2025, y el 74% experimentaron específicamente BEC.

Las tácticas también han cambiado. Los delincuentes ya no confían en los correos electrónicos mal escritos que son fáciles de detectar. Utilizan la inteligencia artificial para imitar el estilo de escritura de personas en las que ya confías, falsifican direcciones de correo electrónico que parecen casi idénticas a las legítimas y fabrican mensajes urgentes para que actúes antes de pensar.

La inteligencia de amenazas de Hoxhunt registró un aumento de 14 veces en los ataques de phishing generados por IA durante la temporada navideña de 2025, con ataques asistidos por IA que representan alrededor del 40% de todos los phishing reportados a principios de 2026. No se trata de las estafas obvias de hace cinco años.

Los no negociables

Estos son los controles que toda agencia debería tener en marcha antes que cualquier otra cosa. No son complicados, pero marcan una enorme diferencia.

Activar la autenticación multifactor (MFA)

MFA requiere una segunda forma de verificación cuando alguien se conecta a una cuenta: un código de una aplicación, un mensaje de texto o una llave hardware. Incluso si un delincuente tiene tu contraseña, MFA le impide entrar.

Los estudios citados por Microsoft demuestran que la MFA bloquea el 99% de las cuentas comprometidas por phishing. A pesar de ello, sólo el 27% de las pequeñas empresas con menos de 25 empleados tienen activada la AMF. Actívala en todas las cuentas que la ofrezcan: correo electrónico, plataformas financieras, tu ATS, todo.

Ejecute un software antivirus de confianza y manténgalo actualizado

El software antivirus no se instala una sola vez. Debe estar en funcionamiento, actualizado y supervisado activamente. Entre las opciones más conocidas se encuentran Malwarebytes, Bitdefender y ESET. Si su equipo trabaja con varios dispositivos, asegúrese de que todos ellos están cubiertos, no sólo los ordenadores de la oficina.

Configurar todo para que se actualice automáticamente

Las actualizaciones de software parchean las vulnerabilidades de seguridad. Cuando su sistema operativo, navegador o aplicaciones no están actualizados, esas vulnerabilidades permanecen abiertas. Establezca actualizaciones automáticas en todos los dispositivos que utilice su equipo. Esta es una de las cosas más sencillas y eficaces que puede hacer.

Utilice un gestor de contraseñas

Las contraseñas débiles o reutilizadas son una de las formas más comunes de que las cuentas se vean comprometidas. Un gestor de contraseñas genera contraseñas fuertes y únicas para cada cuenta y las almacena de forma segura. Desactiva el autocompletado del navegador para sitios sensibles y no guardes contraseñas en el navegador.

Proteger sus pagos

Los controles financieros es donde los defraudadores concentran la mayor parte de su energía. Estas medidas dificultan considerablemente su éxito.

Verificar los cambios de pago fuera de banda

Si recibe un correo electrónico en el que se le pide que actualice los datos bancarios de un proveedor, no actúe en consecuencia hasta que haya llamado directamente a ese proveedor utilizando un número que ya tenga registrado. No utilice nunca un número de teléfono proporcionado en el propio correo electrónico. Este único paso detiene la mayoría de los intentos de BEC.

Exigir doble autorización para las transferencias bancarias

Exija que al menos dos personas aprueben cualquier transferencia o pago electrónico por encima de un umbral establecido. Esto se conoce a veces como el «principio de los cuatro ojos», y es una de las medidas disuasorias más eficaces que existen. Incluso si una persona es engañada, un segundo aprobador le proporciona un punto de control.

Concilie sus cuentas diariamente

Cuanto antes detecte una transferencia fraudulenta, más posibilidades tendrá de recuperar los fondos. La mayoría de los bancos tienen un plazo limitado para retirar una transferencia. Merece la pena incluir en su rutina un proceso de conciliación diario que compare los pagos salientes con las solicitudes aprobadas y señale las cuentas de beneficiarios desconocidas.

Asegurar el envío de información bancaria por parte de los proveedores

Evite aceptar datos bancarios de proveedores por correo electrónico. En su lugar, utilice un portal seguro o un proceso de admisión verificado. Esto elimina uno de los puntos de entrada más comunes para el fraude en los pagos.

Protección de su dominio de correo electrónico

Esto es técnico, pero tu contacto informático o proveedor de correo electrónico puede encargarse de ello. Tres protocolos, SPF, DKIM y DMARC, trabajan juntos para evitar que los delincuentes envíen correos electrónicos falsos que parezcan proceder de su dominio. Si no están configurados, alguien podría suplantar la dirección de correo electrónico de su agencia y utilizarla para estafar a sus socios o clientes.

Pida a su soporte informático que confirme que los tres están configurados correctamente. Es una configuración única que protege su reputación y la de sus socios.

Crear una cultura de información

El Informe de Verizon sobre investigaciones de filtraciones de datos de 2025 reveló que aproximadamente el 60% de las filtraciones están relacionadas con acciones humanas. Esto no es motivo para culpar a los empleados. Es una razón para invertir en ellos.

El informe de referencia sobre phishing de KnowBe4 de 2025 reveló que uno de cada tres empleados es susceptible de sufrir phishing en un primer momento. Las organizaciones que imparten formación periódica sobre concienciación en materia de seguridad ven cómo esa cifra desciende más de un 40% en 90 días y hasta un 86% en un año.

Algunos hábitos que merece la pena incorporar a la cultura de su equipo:

Fomentar la notificación temprana. Si algo parece raro, un correo electrónico extraño, una solicitud inesperada, un enlace que parece incorrecto, su equipo debe sentirse seguro y señalarlo inmediatamente sin temor a ser juzgado. La denuncia temprana salva a las organizaciones. El silencio es lo que permite el éxito del fraude.

Realice simulaciones de phishing. Las pruebas periódicas de phishing seguro mantienen la concienciación sobre la seguridad en mente y le ayudan a identificar dónde sería útil una formación adicional. Muchas plataformas de seguridad ofrecen esta función integrada.

Comparte lo que ves. Si su agencia recibe un correo electrónico sospechoso o detecta un nuevo patrón de estafa, compártalo con sus socios. La prevención del fraude funciona mejor como esfuerzo colectivo.

Lista de referencia rápida

Utilícelo para evaluar la situación actual de su agencia.

Seguridad individual y de los dispositivos

  • MFA está activado en todas las cuentas (correo electrónico, plataformas financieras, ATS, sistemas de RRHH)
  • Todos los dispositivos tienen instalados y actualizados programas antivirus fiables.
  • Los sistemas operativos, navegadores y aplicaciones se actualizan automáticamente.
  • El equipo utiliza un gestor de contraseñas; el autocompletado del navegador está desactivado para los sitios sensibles.

Controles financieros

  • Todas las transferencias y pagos electrónicos que superen un umbral determinado requieren una doble autorización
  • Las solicitudes de modificación de pago de los proveedores se verifican por teléfono antes de emprender cualquier acción.
  • Las cuentas se concilian diariamente, con un proceso para señalar y escalar las transacciones no reconocidas.
  • La información bancaria de los proveedores se recopila a través de un proceso seguro, no por correo electrónico

Seguridad del correo electrónico y de los dominios

  • SPF, DKIM y DMARC están configurados en su dominio de correo electrónico.
  • El personal sabe cómo identificar a un remitente sospechoso (comprobando la dirección de correo electrónico completa, no sólo el nombre).

Cultura y sensibilización

  • El personal se siente cómodo informando de correos electrónicos o solicitudes sospechosas sin dudarlo
  • La formación sobre concienciación en materia de seguridad forma parte de su proceso de incorporación y revisión anual
  • Los simulacros de phishing se realizan periódicamente

Su agencia merece un socio fuerte

Proteger a su agencia del fraude es una pieza de un panorama más amplio. Las agencias de empleo y contratación también deben hacer frente a complejos requisitos de cumplimiento de la normativa laboral, riesgos de clasificación de contratistas y obligaciones laborales transfronterizas. Ahí es donde entra People2.0.

People2.0 ofrece servicios de EOR y AOR a agencias de empleo y contratación de más de 130 países, ayudándole a colocar trabajadores con confianza, a cumplir la normativa y a reducir el riesgo en cada fase de la contratación. Si está preparado para conocer más de cerca cómo ayudamos a agencias como la suya, nos encantaría hablar con usted.

Comience hoy
Ver más entradas del blog

¿Está preparado para racionalizar sus soluciones de personal?

Póngase en contacto con nuestros expertos para saber cómo los servicios EOR y AOR de People2.0 pueden optimizar sus operaciones y garantizar el cumplimiento en cualquier mercado.

Suscríbase a

Artículos relacionados

Aspectos básicos de seguridad que toda agencia de empleo y contratación debe tener en cuenta

El phishing y el fraude en los pagos están en el punto de mira de las agencias. Estos son los principios básicos de seguridad que toda empresa de selección y contratación de personal debería tener implantados.

Cuánto le está costando realmente su programa de personal eventual

Su programa de personal eventual puede costar más de lo que cree. He aquí dónde aparecen los gastos ocultos y las lagunas de cumplimiento, y cómo subsanarlos.

Actualización legislativa: El nuevo límite de 2.000 £ para los salarios nacionales reducirá el ahorro en el sacrificio salarial de los contratistas paraguas.

El Gobierno británico planea limitar las pensiones de sacrificio salarial a partir de abril de 2029. Descubra lo que puede perder y por qué debe actuar ahora.