Por Scott Wilson, Vicepresidente Senior y Director Global de Seguridad y Privacidad | Editado por <\/em>Jeremiah Akin, Director de Marca Global y Marketing de Contenidos<\/em><\/a><\/p>\n\n <\/a><\/a>Las agencias de empleo y contrataci\u00f3n se basan en la confianza. Manejan datos confidenciales, gestionan grandes vol\u00famenes de transacciones financieras y mantienen relaciones constantes con docenas, a veces cientos, de proveedores y socios. Esto les convierte en un objetivo. <\/p>\n\n Los ciberdelincuentes lo saben. No s\u00f3lo persiguen a las grandes empresas con departamentos inform\u00e1ticos especializados. Las empresas con menos de 100 empleados reciben un 350% m\u00e1s de ataques de ingenier\u00eda social que las grandes organizaciones<\/a>, y aproximadamente la mitad de las peque\u00f1as empresas carecen de un plan de ciberseguridad. Si su organismo ha estado funcionando sin una base de seguridad clara, no es el \u00fanico. Merece la pena cambiar eso ahora. <\/p>\n\n Este art\u00edculo trata de los controles b\u00e1sicos que toda agencia de selecci\u00f3n y contrataci\u00f3n de personal deber\u00eda tener. No se requieren conocimientos t\u00e9cnicos avanzados. <\/p>\n\n Las mismas cosas que hacen que las agencias de empleo y contrataci\u00f3n sean buenas en su trabajo tambi\u00e9n las hacen atractivas para los defraudadores: comunicaci\u00f3n frecuente con nuevos contactos, transferencias peri\u00f3dicas y pagos a proveedores, y equipos \u00e1giles que se mueven con rapidez.<\/p>\n\n El correo electr\u00f3nico comercial comprometido (BEC)<\/a> es una de las formas de fraude m\u00e1s da\u00f1inas que afectan a las agencias en la actualidad. Funciona as\u00ed: un delincuente utiliza una cuenta de correo electr\u00f3nico falsa o comprometida para redirigir un pago leg\u00edtimo a una cuenta fraudulenta. El FBI inform\u00f3 de 2.770 millones de d\u00f3lares en p\u00e9rdidas relacionadas con BEC s\u00f3lo en 2024, y esa cifra s\u00f3lo refleja lo que se inform\u00f3. Seg\u00fan la Encuesta de Fraude y Control de Pagos de AFP de 2026<\/a>, el 76% de las organizaciones estadounidenses experimentaron intentos o fraudes de pagos reales en 2025, y el 74% experimentaron espec\u00edficamente BEC. <\/p>\n\n Las t\u00e1cticas tambi\u00e9n han cambiado. Los delincuentes ya no conf\u00edan en los correos electr\u00f3nicos mal escritos que son f\u00e1ciles de detectar. Utilizan la inteligencia artificial para imitar el estilo de escritura de personas en las que ya conf\u00edas, falsifican direcciones de correo electr\u00f3nico que parecen casi id\u00e9nticas a las leg\u00edtimas y fabrican mensajes urgentes para que act\u00faes antes de pensar. <\/p>\n\n La inteligencia de amenazas de Hoxhunt<\/a> registr\u00f3 un aumento de 14 veces en los ataques de phishing generados por IA durante la temporada navide\u00f1a de 2025, con ataques asistidos por IA que representan alrededor del 40% de todos los phishing reportados a principios de 2026. No se trata de las estafas obvias de hace cinco a\u00f1os. <\/p>\n\n Estos son los controles que toda agencia deber\u00eda tener en marcha antes que cualquier otra cosa. No son complicados, pero marcan una enorme diferencia. <\/p>\n\n MFA requiere una segunda forma de verificaci\u00f3n cuando alguien se conecta a una cuenta: un c\u00f3digo de una aplicaci\u00f3n, un mensaje de texto o una llave hardware. Incluso si un delincuente tiene tu contrase\u00f1a, MFA le impide entrar. <\/p>\n\n Los estudios citados por Microsoft<\/a> demuestran que la MFA bloquea el 99% de las cuentas comprometidas por phishing. A pesar de ello, s\u00f3lo el 27% de las peque\u00f1as empresas con menos de 25 empleados tienen activada la AMF. Act\u00edvala en todas las cuentas que la ofrezcan: correo electr\u00f3nico, plataformas financieras, tu ATS, todo. <\/p>\n\n El software antivirus no se instala una sola vez. Debe estar en funcionamiento, actualizado y supervisado activamente. Entre las opciones m\u00e1s conocidas se encuentran Malwarebytes, Bitdefender y ESET. Si su equipo trabaja con varios dispositivos, aseg\u00farese de que todos ellos est\u00e1n cubiertos, no s\u00f3lo los ordenadores de la oficina. <\/p>\n\n Las actualizaciones de software parchean las vulnerabilidades de seguridad. Cuando su sistema operativo, navegador o aplicaciones no est\u00e1n actualizados, esas vulnerabilidades permanecen abiertas. Establezca actualizaciones autom\u00e1ticas en todos los dispositivos que utilice su equipo. Esta es una de las cosas m\u00e1s sencillas y eficaces que puede hacer. <\/p>\n\n Las contrase\u00f1as d\u00e9biles o reutilizadas son una de las formas m\u00e1s comunes de que las cuentas se vean comprometidas. Un gestor de contrase\u00f1as genera contrase\u00f1as fuertes y \u00fanicas para cada cuenta y las almacena de forma segura. Desactiva el autocompletado del navegador para sitios sensibles y no guardes contrase\u00f1as en el navegador. <\/p>\n\n Los controles financieros es donde los defraudadores concentran la mayor parte de su energ\u00eda. Estas medidas dificultan considerablemente su \u00e9xito. <\/p>\n\n Si recibe un correo electr\u00f3nico en el que se le pide que actualice los datos bancarios de un proveedor, no act\u00fae en consecuencia hasta que haya llamado directamente a ese proveedor utilizando un n\u00famero que ya tenga registrado. No utilice nunca un n\u00famero de tel\u00e9fono proporcionado en el propio correo electr\u00f3nico. Este \u00fanico paso detiene la mayor\u00eda de los intentos de BEC. <\/p>\n\n Exija que al menos dos personas aprueben cualquier transferencia o pago electr\u00f3nico por encima de un umbral establecido. Esto se conoce a veces como el \u00abprincipio de los cuatro ojos\u00bb, y es una de las medidas disuasorias m\u00e1s eficaces que existen. Incluso si una persona es enga\u00f1ada, un segundo aprobador le proporciona un punto de control. <\/p>\n\n Cuanto antes detecte una transferencia fraudulenta, m\u00e1s posibilidades tendr\u00e1 de recuperar los fondos. La mayor\u00eda de los bancos tienen un plazo limitado para retirar una transferencia. Merece la pena incluir en su rutina un proceso de conciliaci\u00f3n diario que compare los pagos salientes con las solicitudes aprobadas y se\u00f1ale las cuentas de beneficiarios desconocidas. <\/p>\n\n Evite aceptar datos bancarios de proveedores por correo electr\u00f3nico. En su lugar, utilice un portal seguro o un proceso de admisi\u00f3n verificado. Esto elimina uno de los puntos de entrada m\u00e1s comunes para el fraude en los pagos. <\/p>\n\n Esto es t\u00e9cnico, pero tu contacto inform\u00e1tico o proveedor de correo electr\u00f3nico puede encargarse de ello. Tres protocolos, SPF, DKIM y DMARC, trabajan juntos para evitar que los delincuentes env\u00eden correos electr\u00f3nicos falsos que parezcan proceder de su dominio. Si no est\u00e1n configurados, alguien podr\u00eda suplantar la direcci\u00f3n de correo electr\u00f3nico de su agencia y utilizarla para estafar a sus socios o clientes. <\/p>\n\n Pida a su soporte inform\u00e1tico que confirme que los tres est\u00e1n configurados correctamente. Es una configuraci\u00f3n \u00fanica que protege su reputaci\u00f3n y la de sus socios. <\/p>\n\n
\n\nPor qu\u00e9 las agencias son un objetivo<\/h3>\n\n
Los no negociables<\/h3>\n\n
Activar la autenticaci\u00f3n multifactor (MFA)<\/em><\/h4>\n\n
Ejecute un software antivirus de confianza y mant\u00e9ngalo actualizado<\/em><\/h4>\n\n
Configurar todo para que se actualice autom\u00e1ticamente<\/em><\/h4>\n\n
Utilice un gestor de contrase\u00f1as<\/em><\/h4>\n\n
Proteger sus pagos<\/h3>\n\n
Verificar los cambios de pago fuera de banda<\/em><\/h4>\n\n
Exigir doble autorizaci\u00f3n para las transferencias bancarias<\/em><\/h4>\n\n
Concilie sus cuentas diariamente<\/em><\/h4>\n\n
Asegurar el env\u00edo de informaci\u00f3n bancaria por parte de los proveedores<\/em><\/h4>\n\n
Protecci\u00f3n de su dominio de correo electr\u00f3nico<\/h3>\n\n
Crear una cultura de informaci\u00f3n<\/h3>\n\n