Seguridad del correo electrónico y de las nóminas en RR. HH.: buenas prácticas para equipos internacionales

El correo electrónico de RR. HH. se ha convertido en un componente fundamental de las operaciones empresariales modernas, abarcando la contratación, la nómina y los recursos humanos en equipos internacionales. Un responsable de nóminas verifica los datos bancarios de un nuevo empleado, un responsable de RR. HH. comunica una actualización de la política a alguien a quien quizá nunca conozca en persona, y un responsable de selección envía una carta de oferta a través de tres husos horarios.

Esta rapidez resulta útil, pero también aumenta el riesgo de fraude, suplantación de identidad y filtración de datos. Antes de que nadie se dé cuenta de que una solicitud era fraudulenta, un atacante puede robar documentos de identidad, desviar nóminas o socavar la confianza en tu dominio, todo ello mediante un único correo electrónico convincente enviado en el momento oportuno.

Por qué el correo electrónico de RR. HH. es un objetivo muy codiciado por los atacantes

Los equipos de contratación, nóminas y recursos humanos no se limitan a intercambiar mensajes: también transmiten documentos confidenciales, aprueban cambios y se coordinan con proveedores externos. Los atacantes saben que estos departamentos tienen acceso tanto a datos personales como a dinero. Por eso, cada remitente no verificado, cada aprobación apresurada y cada dominio mal autenticado se convierten en un posible punto de fallo.

El correo electrónico de RR. HH. va más allá de las tareas administrativas rutinarias

Los correos electrónicos de RR. HH. suelen parecer corrientes a simple vista, pero contienen parte de la información más valiosa de una empresa. Los currículos de los candidatos, las copias de los pasaportes, los formularios fiscales, los contratos de trabajo, los detalles sobre la remuneración y los documentos relativos a las prestaciones pasan todos por flujos de trabajo que implican a las personas.

Una vez que esa información se filtra, las consecuencias pueden afectar a los candidatos y a los empleados mucho tiempo después del incidente original. La aplicación de prácticas seguras en el uso del correo electrónico te ayuda a reducir ese riesgo antes de que la comunicación habitual por correo electrónico de RR. HH. se convierta en un problema de privacidad.

La seguridad en la gestión de nóminas empieza por reconocer la urgencia como una señal de alarma

Puede que un empleado tenga que cambiar sus datos bancarios antes del próximo pago de nóminas, que un alto directivo quiera que se procese una transferencia urgente o que un proveedor afirme que sus datos de pago han cambiado. Las operaciones a nivel mundial hacen que estas situaciones sean más difíciles de verificar, ya que los formatos bancarios, los días festivos y las normas de aprobación varían según la región. Considerar la urgencia como una señal de alerta —en lugar de como una razón para actuar con rapidez— es el primer paso para proteger la seguridad de la gestión de nóminas.

Seguridad en la gestión de nóminas a nivel internacional: los errores que cometen los equipos globales

La comunicación en materia de nóminas y recursos humanos requiere algo más que cortesía y rapidez: exige una autoridad contrastada. Estos equipos se encargan de la remuneración, las prestaciones, los datos de identidad, la situación laboral, los registros de bajas y los cambios relacionados con los accesos.

En las operaciones a nivel mundial, esos flujos de trabajo pueden involucrar a asesores fiscales locales, responsables regionales de nóminas, socios especializados en derecho laboral, equipos financieros y directivos internos. Una seguridad sólida en la gestión de nóminas permite que esas relaciones sigan siendo útiles sin que cada correo electrónico se convierta en una instrucción fiable.

Separar las solicitudes de nómina de la aprobación de la nómina

Una solicitud relacionada con la nómina no debe considerarse válida por el mero hecho de que esté redactada con claridad y se haya enviado desde una dirección que parezca familiar. Los cambios en la cuenta bancaria, las correcciones salariales y las solicitudes de cambio de destino del pago deben confirmarse a través de un flujo de trabajo seguro del sistema de información de recursos humanos (HRIS), el portal de empleados o un canal secundario conocido.

La norma debería ser fácil de cumplir para todas las regiones: el departamento de RR. HH. puede enviar notificaciones por correo electrónico, pero no puede dar su aprobación. Esto protege a los empleados frente a la pérdida de salarios y a la empresa frente a pérdidas económicas evitables.

Verificar a los proveedores, las empresas de gestión de recursos (EOR) y los socios regionales

Los equipos internacionales suelen recurrir a proveedores externos para la gestión de la contratación, la nómina, el cumplimiento normativo, las prestaciones y el apoyo en materia de empleo a nivel local. Aunque se utilice un servicio de EOR fiable, un proveedor de nóminas o una plataforma de RR. HH., sigue siendo necesario disponer de un registro de los dominios, sistemas y contactos autorizados para comunicarse con tu equipo.

Cada vez que se produzca un cambio en una relación comercial, se deben verificar, registrar y revisar los dominios de los proveedores. Si aparece de repente una orden de pago procedente de un dominio recién registrado o de una dirección no autorizada, tu equipo debe detenerse y verificarla antes de actuar.

Proteger la privacidad sin generar problemas en todos los ámbitos

No todos los correos electrónicos de RR. HH. requieren el mismo nivel de protección, y tratar todos los mensajes como si fueran igualmente confidenciales puede generar cansancio. Por lo general, un recordatorio sobre una política no se envía de la misma forma que un historial médico, un documento disciplinario o un formulario fiscal.

Clasifica las comunicaciones de RR. HH. según su nivel de riesgo y, a continuación, determina si requieren cifrado, portales seguros, reenvío restringido o un periodo de conservación más estricto. Esto mejora la experiencia de los empleados al tiempo que se mantienen medidas de seguridad más sólidas para los datos que, de divulgarse, podrían causar un perjuicio real.

Autenticación del correo electrónico: la base de la seguridad del correo electrónico en RR. HH.

Una autenticación precisa del correo electrónico ayuda a los servidores de correo receptores a determinar si un mensaje que afirma proceder de tu dominio está realmente autorizado para ello. Esto es importante cuando tu ecosistema de RR. HH. incluye sistemas de seguimiento de candidatos, plataformas de nóminas, herramientas de prestaciones, proveedores regionales y servicios de notificación automatizados.

• Sin una política de autenticación rigurosa, los mensajes legítimos pueden no llegar a su destino, mientras que los mensajes fraudulentos se aprovechan de la reputación de tu marca.

El SPF define quién puede enviar mensajes en tu nombre

El SPF (Sender Policy Framework) te permite especificar qué servidores de correo están autorizados a enviar mensajes en nombre de tu dominio. En el caso de las operaciones globales de RR. HH., esa lista puede crecer rápidamente a medida que se van incorporando programas de selección de personal, herramientas de nóminas, sistemas de incorporación de nuevos empleados y proveedores de servicios locales.

El riesgo no es solo olvidarse de añadir un remitente legítimo, sino también dejar remitentes antiguos en el sistema una vez finalizado el contrato. Un registro SPF limpio y actualizado te permite tener una visión más clara de quién está autorizado a enviar correos electrónicos de RR. HH. en tu nombre.

DKIM ayuda a demostrar que el mensaje no ha sido modificado

DKIM (DomainKeys Identified Mail) añade una firma digital a los correos electrónicos salientes, lo que permite a los sistemas receptores confirmar que el mensaje ha llegado sin alteraciones. Esto es especialmente importante en el caso de los correos electrónicos de RR. HH. que contienen información sobre la que se espera que los empleados actúen: cartas de oferta, enlaces a contratos, actualizaciones sobre prestaciones o cambios en las políticas.

DMARC convierte la autenticación en un control de seguridad de la nómina

DMARC vincula DKIM y SPF a una política que indica a los destinatarios qué deben hacer cuando un mensaje no supera la autenticación. Además, genera informes en los que se enumeran todos los servicios que envían mensajes en tu nombre, incluidas aquellas herramientas que tu equipo central de TI o de seguridad pueda haber pasado por alto.

Una vez identificados todos los remitentes válidos y resueltos los problemas de alineación, la aplicación de DMARC puede impedir que las comunicaciones falsas relacionadas con RR. HH. y nóminas lleguen a las bandejas de entrada de los empleados.

Prácticas seguras de correo electrónico en RR. HH. para la contratación y la selección de personal

Los candidatos esperan recibir correos electrónicos de los responsables de contratación, de las empresas que realizan comprobaciones de antecedentes, de las herramientas de gestión de citas, de las plataformas de evaluación y de los reclutadores. Esta variedad dificulta la detección de archivos adjuntos fraudulentos en los currículos, cartas de oferta falsas y enlaces de entrevistas que forman parte de ataques de phishing.

El objetivo no es ralentizar el proceso de contratación, sino conseguir que los correos electrónicos legítimos de RR. HH. sean lo suficientemente reconocibles como para que los mensajes sospechosos destaquen.

Utiliza dominios coherentes para la comunicación con los candidatos

Los candidatos no deberían tener que adivinar si un mensaje procede realmente de su empresa. Las comunicaciones relacionadas con la selección de personal deben proceder de dominios verificados que estén claramente vinculados a su organización, y no de cuentas personales ni de direcciones de terceros que puedan generar confusión.

Muchas empresas utilizan un subdominio específico para la contratación con el fin de gestionar de forma independiente el tráfico relacionado con la selección de personal, al tiempo que mantienen un alto nivel de autenticación y supervisión. Cuanto más coherente sea la identidad de envío de los correos electrónicos de RR. HH., menos margen tendrán los atacantes para suplantarla.

Mover los archivos de candidatos sensibles fuera de los hilos de la bandeja de entrada

Los archivos adjuntos en los correos electrónicos parecen una opción práctica hasta que el pasaporte, el permiso de trabajo o el contrato firmado de un candidato acaban en un hilo de correo reenviado que no deja de propagarse. Un método más seguro consiste en recopilar los documentos confidenciales a través de una pasarela segura que cuente con registros de auditoría, directrices de conservación y restricciones de acceso.

Las notificaciones, los recordatorios y las actualizaciones de estado pueden seguir enviándose por correo electrónico de RR. HH., pero los archivos correspondientes deben almacenarse en un sistema diseñado para datos confidenciales. Esto también facilita considerablemente la gestión de las auditorías, las solicitudes de eliminación y las revisiones de acceso.

Formar a los responsables de selección de personal para que reconozcan los ataques reales

Dado que los responsables de selección de personal interactúan a diario con remitentes desconocidos, son objetivos prioritarios. Los documentos maliciosos camuflados como currículos, los enlaces falsos a portfolios y los correos electrónicos que parecen proceder de directivos que presionan para realizar una contratación urgente son vectores de ataque habituales. Los atacantes también utilizan tácticas de spear phishing para elaborar mensajes muy personalizados que resultan más difíciles de detectar.

La formación debe centrarse en señales reales: dominios que no coinciden, tipos de archivo inusuales, solicitudes inesperadas y presión para salir de los canales autorizados. Cuando los responsables de selección conocen el patrón habitual de los correos electrónicos legítimos de RR. HH., pueden cuestionar las excepciones sin sentir que están obstaculizando el funcionamiento de la empresa.

Seguridad continua de las nóminas: por qué una única solución nunca es suficiente

La seguridad del correo electrónico no termina cuando se publica el registro DNS, finaliza la sesión de formación o se sube un documento de políticas. Las herramientas cambian, los proveedores van rotando, las regiones incorporan nuevos sistemas y los atacantes adaptan su estrategia cuando las viejas tácticas dejan de funcionar. Los controles de seguridad de tu sistema de nóminas deben adaptarse al funcionamiento real de tu organización.

• La supervisión continua convierte la seguridad del correo electrónico de un proyecto técnico puntual en un hábito operativo.

Utiliza los informes DMARC para detectar remitentes ocultos

Los informes DMARC pueden revelar herramientas olvidadas, plataformas mal configuradas y remitentes no autorizados que utilizan o intentan utilizar tu dominio. Esto es importante porque los departamentos de RR. HH. suelen incorporar sistemas por motivos legítimos, sobre todo durante una fase de rápida expansión.

Una herramienta de selección de personal regional o un proveedor de prestaciones puede ser fundamental para el negocio, pero aun así debe autenticarse correctamente. Saber interpretar los informes DMARC te proporciona las pruebas necesarias para distinguir los sistemas útiles de los que suponen un riesgo.

Actuar con cautela a la hora de hacer cumplir la ley

Una vez identificadas y alineadas las fuentes de envío legítimas, tu dominio debería avanzar hacia políticas DMARC más estrictas que pongan en cuarentena y, en última instancia, rechacen el correo no autenticado. El momento en que se haga es importante: una aplicación demasiado agresiva puede interferir en los correos electrónicos reales de RR. HH. si tu configuración no está completa.

• Una implantación gradual te ofrece una mayor seguridad en la gestión de nóminas y una mejor protección del correo electrónico de RR. HH. sin que ello suponga una sorpresa para los responsables de selección de personal, los equipos de nóminas, los empleados o los candidatos.

Palabras finales

Los equipos internacionales que se encargan de la contratación, la nómina y los recursos humanos se basan en la confianza, pero la confianza requiere apoyo técnico. Un correo electrónico convincente puede contener una carta de oferta falsa, desviar el pago de un salario, revelar datos de los empleados o suplantar la identidad de un socio del que depende tu equipo.

Al autenticar tus dominios, establecer políticas claras sobre el correo electrónico de RR. HH., supervisar tu entorno de envío y validar las solicitudes confidenciales fuera de la bandeja de entrada, dificultas considerablemente que los mensajes falsos lleguen a su destino y facilitas que se confíe en los legítimos. A medida que crezca tu plantilla internacional, no consideres la seguridad de las nóminas y la integridad del correo electrónico de RR. HH. como proyectos puntuales, sino como normas operativas permanentes.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Seguridad del correo electrónico y de las nóminas en RR. HH.: buenas prácticas para equipos internacionales - 22 de junio de 2026
• Cómo bloquear agentes de IA de alto riesgo en Microsoft Entra - 15 de junio de 2026
• Política antiphishing de Office 365: cómo configurarla - 3 de junio de 2026