¿Están los datos de tu nómina protegidos de ciberataques?

El crecimiento del ecommerce y de las transacciones online, así como nuestro estilo de vida cada vez más digital, nos conducen a una sociedad constantemente expuesta al cibercrimen. Según datos del Ministerio de Interior, en 2020 los ciberdelitos aumentaron un 32% y este escenario se ha agravado con el conflicto armado en Ucrania, que ha generado una guerra cibernética sin precedentes. Tanto es así que tras la invasión, el Centro Criptológico Nacional solicitó a todo el funcionariado y personal de embajadas y consulados de España modificar su contraseña, así como apagar equipos prescindibles durante el fin de semana por indicios de ciberataques masivos de Rusia.

También en el procesamiento de salarios, la información disponible es sensible y confidencial, y si los sistemas no son seguros y están protegidos, podrían entrar en riesgo. A nivel práctico, existen casos de “robos de identidad” a través de las nóminas, mediante el acceso a datos personales de sesiones iniciadas de forma no segura. Este “robo” de datos de la nómina puede permitir, por ejemplo, que un hacker solicite un préstamo personal a tu nombre, mostrando un recibo de otra persona como garantía de poder pagarlo. 

Seresco, empresa especializada en tratamiento de nóminas, que procesa unos 3 millones de nóminas al año, establece cuatro normas básicas de ciberseguridad en la gestión de nóminas para que las empresas, hoy más que nunca, se protejan a sí mismas y a sus empleados de cualquier ciberamenaza.

1. Políticas de protección y gobierno de datos: Es extremadamente importante contar con una buena política de protección frente a los ciberataques. Las plataformas de gestión de las nóminas deben contemplar sistemas de gobierno de datos con jerarquías de acceso a la información muy definidas, que protejan el acceso a la información, así como la identidad de los usuarios, a ser posible con doble factor de autenticación. Este doble factor de autenticación (también llamado validación en dos pasos), es una medida de seguridad cada vez más utilizada por multitud de servicios online como banca, ecommerce, áreas de cliente, etc. Consiste en solicitar al usuario al menos dos o más pruebas para que demuestre su identidad.
2. Software actualizado. Es fundamental mantener actualizados los sistemas de software, ya que en las actualizaciones se resuelven brechas de seguridad que puede ser utilizadas por los ciberdelincuentes. Además, es importante realizar escaneos para identificar nuevas vulnerabilidades y fallas.
3. Encriptación de datos. Cada vez que se traslada una nómina o datos relacionados, tanto a nivel interno como externo, es imprescindible hacerlo con sistemas de cifrado. Cualquier intercambio de archivos debe contar con un sistema de encriptación. La contraseña o proceso necesario para decodificar el archivo y acceder a los datos debe notificarse al usuario a través de otra vía.
4. Prevención, alerta y error humano. Nunca se es demasiado prudente. Los hackers no necesariamente son programadores de altísimo nivel. La mayoría son solo más persistentes y se suelen aprovechar de descuidos o imprudencias que en la mayoría de las ocasiones, suceden por errores humanos. 

Por ello, empresas y personas debemos estar alerta para identificar situaciones potencialmente peligrosas, así como protegernos de este tipo de intrusiones, que pueden causar grandes problemas económicos y reputacionales. Medidas como estas y otras aún más básicas, como el cambio habitual de contraseñas, deberíamos interiorizarlas con la misma naturalidad con la que nos ponemos el casco o el cinturón de seguridad al subir a una moto o coche.