Los curriculum vitae u hojas de vida son uno de los documentos que pueden revelar más información personal (para mi privada) de todos, en este documento se cuenta desde en que colegio se ha estudiado, pasando por universidad, cursos, maestrías etc. También se cuenta nuestra experiencia laboral de manera detallada, en los nuevos modelos se dice cuales fueron nuestras funciones en esa empresa, cuales han sido nuestros logros, además de la información anterior, en el país en el que yo vivo también se debe incluir dirección de residencia, fecha de nacimiento (completa) y el número de teléfono móvil.
Para muchas personas publicar esta información no es ningún problema o eso parece, porque muchos curriculum vitae están publicados en internet (existe una red social donde se publica esa información) pero para un atacante esto proporciona muchos vectores de ataque.
Por ejemplo, si un atacante quiere penetrar una empresa que esta muy protegida, lo más fácil seria buscar un empleado de la empresa y atacarlo en un ambiente no tan seguro como su casa, penetrando su teléfono móvil para hacer pivoting o robar sus credenciales. Otro método seria si se tiene el teléfono móvil del objetivo, ejecutar un ataque vía telefónica (vishing) para obtener el objetivo deseado. Con toda esta información, también seria muy posible ser victima de un ataque de suplantación de identidad con todo lo que esto implica.
Otro problema con este tipo de documento, es la manera como muchas empresas manejan esta documentación, sin darle la mayor importancia ni cuidar la privacidad de los datos allí escritos. En la siguiente imagen, se puede ver como se ha dejado olvidada una hoja de vida sobre una mesa como si fuera basura.
Algo más que me gustaría decir, por si alguno de los lectores tiene que manejar este tipo de datos; por favor, recuerden que esta información debe ser privada y confidencial, así que si alguien les proporciona este tipo de información trátenla como tal, trátenla como si fuera propia y no la comparta con personas que no se debería.
Digo lo anterior por que hace un tiempo, quería cambiar de trabajo, mientras estaba en mi trabajo, vi la propuesta de otra empresa y envié mi curriculum, para mi sorpresa, 20 minutos después de enviarla, uno de los jefes de la empresa en la que trabajaba ya sabia que estaba aplicando para un nuevo trabajo; este jefe me llamo a parte y me mostro una conversación entre uno de los empleados de la otra empresa y el, en la conversación se veía mi curriculum y preguntaba por mi desempeño y que si me conocía, mi jefe me pregunto porque me quería ir y pues al final me quede en esta empresa sin ningún problema; Después de esto me puse a pensar, por qué un investigador de seguridad de tal renombre no habrá pensado que pasaría al hablar con mi empleador acerca de que me queria ir de su empresa, La verdad no encontré respuesta a esto, pero para mí, esta persona casi me deja en el aire.
Ahora como nos defendemos ante este problema?
Si estamos del lado de la persona que hace el curriculum vitae, la solución es no poner información tan especifica por ejemplo, ponga solo el año en que nació, en el caso de su dirección actual, ponga solo la ciudad en donde vive, si le piden un número telefónico, no ponga su numero personal, trate de tener otro teléfono o diga que solo responde por e-mail. Trate de ser un poco general, al final, si la empresa esta interesado en usted cuando ya decidan contratarlo, ahí sí podría pensar en poner la información de manera más específica (YO NO LE SUGIERO QUE LLENE SU APLICACION CON INFORMACION FALSA, simplemente sea general o no proporcione sierta informacion).
Si esta del lado de la persona que recibe el curriculum vitae, por favor, trátelo como si fuera su información, si descarta uno de esos curriculums, disponga de el de manera correcta, como si fuera información clasificada de la empresa y también trátelo como tal.
Hasta aquí el articulo de hoy, espero que les sirva y si tienen alguna duda simplemente contáctenme a través del formulario de contacto.
InfoSec from the wall 