La transformación digital de los procesos de selección de personal ha abierto nuevas oportunidades para las organizaciones, pero también ha creado vectores de riesgo que hasta hace poco pasaban desapercibidos: los CV con malware.
Los portales de empleo y los sistemas de gestión de candidatos se han consolidado como canales habituales de interacción entre empresas y postulantes, convirtiéndose en un objetivo atractivo para actores maliciosos que buscan acceso inicial a redes corporativas.
En este contexto, especialistas en ciberseguridad advierten sobre un cambio relevante en las tácticas de ataque. Las campañas masivas de correos fraudulentos han cedido terreno frente a estrategias más discretas y creíbles, basadas en el envío de currículums aparentemente legítimos.
Esta modalidad aprovecha la confianza implícita que existe en los procesos de reclutamiento y la presión operativa de los departamentos de Recursos Humanos.
CV con malware al alza
Investigaciones recientes de firmas especializadas han identificado un incremento sostenido de incidentes vinculados con archivos de candidatura alterados.
Un análisis elaborado por Sophos revela que, entre febrero de 2024 y agosto de 2025, se analizaron cerca de 40 ataques directamente relacionados con esta práctica, todos ellos dirigidos a empresas que utilizaban plataformas de reclutamiento reconocidas a nivel internacional.
Los atacantes cargaron documentos manipulados en servicios como Indeed, JazzHR o ADP WorkforceNow, evitando así los filtros tradicionales asociados al correo electrónico.
Este volumen de casos, aunque no masivo en términos absolutos, resulta significativo por su nivel de sofisticación. Los expertos coinciden en que no se trata de campañas oportunistas, sino de operaciones cuidadosamente planificadas que buscan persistencia y acceso prolongado.
La credibilidad del canal es uno de los factores clave que explican su efectividad, ya que los equipos internos tienden a asumir que los archivos recibidos desde portales legítimos son seguros.
Cómo operan los currículums maliciosos
El funcionamiento técnico de estos ataques se basa en la inserción de código dañino dentro de archivos que simulan ser documentos PDF o formatos habituales de CV.
Al ser abiertos, aprovechan vulnerabilidades del sistema o del software lector para ejecutar malware sin levantar alertas inmediatas. En algunos casos, el código se descarga de forma progresiva desde servidores externos, lo que dificulta su detección por soluciones tradicionales.
Una vez comprometido el equipo, los atacantes pueden moverse lateralmente dentro de la red corporativa. Este acceso inicial facilita la captura de credenciales, la recopilación de información sensible y la preparación de ataques posteriores.
Los reportes analizados indican que, en varios incidentes, el objetivo final fue la instalación de ransomware o el espionaje corporativo, con impactos operativos y financieros considerables para las víctimas.
Riesgos específicos para desde América a Europa
Aunque los casos documentados se concentran principalmente en Estados Unidos y Canadá, la naturaleza global de los portales de empleo amplía el alcance de la amenaza a Europa. Y es que, la contratación de personal remoto y la recepción de candidaturas desde otros países incrementan la superficie de exposición.
Además, muchas organizaciones locales cuentan con recursos limitados en materia de seguridad informática. Esto puede traducirse en configuraciones por defecto, privilegios excesivos en los equipos de Recursos Humanos y una menor cultura de prevención.
El impacto potencial no se limita al área de selección, ya que un solo equipo comprometido puede convertirse en la puerta de entrada a sistemas críticos de toda la empresa.
Medidas de prevención a seguir para la reducción de impacto
Los especialistas subrayan que la mitigación de este riesgo requiere un enfoque integral. La revisión técnica de los archivos adjuntos antes de su apertura, mediante herramientas de análisis automatizado, reduce de forma significativa la probabilidad de infección. Asimismo, la restricción de privilegios en los equipos que gestionan candidaturas limita el alcance de un posible compromiso.
La segmentación de la red interna y el uso generalizado de autenticación multifactorial añaden capas adicionales de protección. Estas prácticas dificultan el movimiento lateral de los atacantes y protegen las cuentas corporativas incluso cuando una contraseña ha sido comprometida.
A ello se suma la importancia de contar con respaldos actualizados y aislados, capaces de garantizar la continuidad operativa ante un incidente grave.
Aunque ninguna medida elimina por completo la amenaza, la combinación de controles técnicos y concienciación interna disminuye de forma sustancial la probabilidad de que un currículum malicioso derive en una crisis de seguridad.
