Los ciberdelincuentes están reutilizando una táctica clásica como son las ofertas de empleo falsas y la están perfeccionando para engañar a candidatos por todo el mundo. En campañas encontradas recientemente, los atacantes suplantaron a marcas reconocidas para así atraer a víctimas y redirigirlas a formularios que imitan procesos de selección legítimos; después solicitan el inicio de sesión en servicios de correo (por ejemplo, una pantalla que reproduce la selección de cuenta de Google), con el objetivo de robar las credenciales de acceso u otra información personal.
Por todo el planeta
Aunque recientemente se hayan detectado casos inicialmente en América Latina, las técnicas descritas como es el uso de marcas globales, investigación previa en redes profesionales y páginas de phishing que imitan servicios populares, son aplicables también en Europa, Norteamérica, Asia y África. Ciertas plataformas facilitan a los atacantes recopilar información pública sobre empleados y roles, lo que les permite personalizar su suplantación y aumentar la eficacia del fraude en cualquier región.
Cómo operan los atacantes
- Contacto inicial convincente. Un correo que aparenta proceder de RR. HH. o de un reclutador con una vacante atractiva.
- Redirección a un formulario falso. El enlace lleva a un formulario que recopila datos personales y profesionales.
- Solicitud de credenciales mediante una falsa verificación. Tras el formulario, la víctima ve una pantalla que simula el inicio de sesión de un proveedor legítimo (p. ej., Google) para “verificar” la cuenta.
- Explotación de la cuenta comprometida. Con acceso al correo, los atacantes pueden restablecer contraseñas, acceder a servicios vinculados y propagar más el fraude.
Señales de alerta y verificación rápida
| Señal | Qué revisar | Riesgo |
|---|---|---|
| Remitente desconocido o dominio extraño | Comparar dominio con el sitio oficial de la empresa | Alto |
| Enlaces que piden credenciales | Pasar el cursor y verificar dominio en la barra de direcciones | Alto |
| Petición de contraseña del correo como requisito | Las empresas legítimas no piden contraseñas por formulario | Crítico |
| Mensajes muy personalizados basados en LinkedIn | Confirmar la oferta en la web oficial o RR. HH. | Medio |
| Formularios que imitan servicios populares | Verificar certificado SSL y dominio real | Alto |
Recomendaciones prácticas y aplicables globalmente
- Nunca introducir contraseñas en formularios recibidos por correo. Las empresas legítimas no solicitan la contraseña del correo como parte del proceso de selección.
- Verificar remitentes y dominios. Comprobando que el correo provenga de un dominio oficial y los enlaces apunten a sitios corporativos reconocibles y fiables.
- Confirmar las vacantes en canales oficiales. Buscando la oferta en la web de la empresa o contactando directamente con el departamento de RR. HH. por los canales publicados oficialmente, si fuese posible.
- Activar la autenticación multifactor (MFA). La autenticación en dos pasos, reduce drásticamente el impacto de credenciales comprometidas.
- Revisar toda actividad sospechosa tras realizar un clic. Si consideramos que pudimos haber entregado datos, cambiar contraseñas, activar la autenticación en dos pasos, revisar accesos y reglas de reenvío en nuestro correo.

Consejos para empresas y equipos de RR. HH.
- Educar a candidatos y empleados. Publicar en las páginas de empleo y redes sociales advertencias sobre procesos legítimos y qué nunca pedirán (por ejemplo, contraseñas).
- Publicar canales de verificación. Indicar claramente en la web oficial cómo verificar ofertas y contactos de RR. HH.
- Monitorización y respuesta. Implementar la detección de phishing y procedimientos para revocar accesos y notificar a afectados rápidamente.
Las ofertas laborales falsas son una amenaza global que explota la confianza en marcas y procesos de selección, perjudicando tanto a los candidatos como a las empresas legítimas. Estas estafas no solo afectan a quienes buscan trabajo, sino que también dañan la reputación de las organizaciones engañadas.
La combinación de verificación básica, como controlar los dominios y los remitentes de los correos electrónicos, junto con buenas prácticas personales, como la autenticación multifactor (MFA) y no compartir contraseñas, crea un primer escudo de defensa. Además, implementar medidas organizativas sólidas, que incluyan utilizar canales oficiales de comunicación y proporcionar formación continua sobre cómo identificar fraudes, reduce significativamente el riesgo de caer en estas trampas.
Es vital que tanto las personas en búsqueda de empleo, como las empresas, fortalezcan su conocimiento sobre este fenómeno para protegerse y fomentar un entorno de contratación más seguro y confiable.


Deja un comentario