Hojas de vida usadas para hackear empresas: la nueva táctica que alarma a expertos

Cibercriminales están subiendo hojas de vida maliciosas a portales de empleo: así opera la nueva

táctica de GOLD BLADE

Bogotá, diciembre de 2025 — Un reclutador abre una hoja de vida que llegó desde un portal de
empleo y, sin saberlo, activa una cadena de infección que permitirá robar datos, tomar control del
sistema y lanzar un ataque de ransomware. Ese es el escenario que plantea la nueva investigación
de Sophos, líder global en soluciones innovadoras de ciberseguridad para combatir ciberataques,
sobre GOLD BLADE, un grupo criminal que ha evolucionado de manera acelerada y que ahora
utiliza métodos más silenciosos y difíciles de detectar para infiltrarse en organizaciones.
En su análisis, Sophos detalla cómo este actor de amenazas avanzadas ha perfeccionado su
operación mediante una combinación de espionaje, robo de información y ataques de
ransomware con un cifrador propio. Pero lo que más llama la atención es la forma en que están
iniciando sus campañas: subiendo currículums infectados directamente a plataformas de
reclutamiento de gran uso en el mundo corporativo.
Una evolución estratégica que preocupa
Según la empresa de ciberseguridad, GOLD BLADE ha pasado de tácticas tradicionales basadas en
phishing a una estrategia mucho más afinada y tecnológica. El grupo mantiene en paralelo tres
grandes objetivos:
1. Robar datos con un alto valor comercial o estratégico,
2. Ejecutar maniobras de espionaje con persistencia extendida, y
3. Desplegar ransomware propio para extorsionar, usando un “locker” exclusivo llamado
QWCrypt, que no se relaciona con ninguna familia de ransomware conocida.
El hallazgo más llamativo del reporte es la nueva táctica del grupo: la carga de documentos
maliciosos directamente a portales de empleo como parte de supuestas aplicaciones laborales.
Este método es especialmente peligroso porque rompe un patrón que las empresas creen tener
controlado. Durante años, la mayoría de las amenazas se enviaban por correo electrónico, lo cual
permitía aplicar filtros, sistemas de protección y protocolos de verificación. Pero cuando un
reclutador descarga un documento directamente desde un portal confiable, la percepción de
riesgo es mínima. Justamente ese es el punto que explota GOLD BLADE.
Una vez que la víctima abre el archivo, inicia una cadena de ejecución que puede incluir descarga
de payloads, creación de backdoors, ejecución de herramientas del sistema operativo para evadir
detección y, en últimas, el movimiento lateral dentro de la red.

Sophos indica en su análisis que la actividad más reciente, aproximadamente el 80% de los
ataques de GOLD BLADE se dirigieron a organizaciones en Canadá y otros a compañías de Estados
Unidos. Y aunque América Latina no aparece en los registros de ataques actuales, el modo de
operación del grupo, basado en la explotación de infraestructura digital ampliamente utilizada,
hace que cualquier región pueda convertirse en su próximo objetivo.
La advertencia es clara: el enemigo ya no envía un correo sospechoso. Se postula como
candidato a un puesto de trabajo. Y mientras las organizaciones sigan descargando documentos
sin mecanismos de análisis previo, los atacantes tendrán un camino abierto para evolucionar sus
campañas.

Acerca de Sophos
Sophos es líder en ciberseguridad y protege a 600,000 organizaciones en todo el mundo mediante una plataforma
impulsada por inteligencia artificial y servicios liderados por expertos. Sophos acompaña a las organizaciones en
cualquier etapa de madurez en ciberseguridad y evoluciona con ellas para enfrentar ciberataques. Sus soluciones
combinan aprendizaje automático, automatización e inteligencia de amenazas en tiempo real con la experiencia del
equipo Sophos X-Ops, para ofrecer monitoreo, detección y respuesta avanzadas 24/7. Sophos ofrece servicios líderes en
Managed Detection and Response (MDR), junto con un portafolio integral de tecnologías de ciberseguridad que incluyen
seguridad en endpoints, redes, correo electrónico y nube, detección y respuesta extendida (XDR), detección y respuesta
ante amenazas a identidades (ITDR) y SIEM de nueva generación. En conjunto con servicios de asesoría especializados,
estas capacidades ayudan a las organizaciones a reducir riesgos de forma proactiva y responder con mayor rapidez, con
la visibilidad y escalabilidad necesarias para anticiparse a amenazas emergentes. Sophos comercializa sus soluciones a
través de un ecosistema global de socios, incluyendo Managed Service Providers (MSPs), Managed Security Service
Providers (MSSPs), revendedores, integraciones de marketplace y aliados en gestión de riesgos, lo que permite a las
organizaciones elegir relaciones de confianza para proteger su negocio. Sophos tiene su sede en Oxford, Reino Unido.
Más información en: www.sophos.com.