Fraude en ofertas de empleo a través de internet.

Identificando fraudes en ofertas laborales

Por todo el planeta

Aunque recientemente se hayan detectado casos inicialmente en América Latina, las técnicas descritas como es el uso de marcas globales, investigación previa en redes profesionales y páginas de phishing que imitan servicios populares, son aplicables también en Europa, Norteamérica, Asia y África. Ciertas plataformas facilitan a los atacantes recopilar información pública sobre empleados y roles, lo que les permite personalizar su suplantación y aumentar la eficacia del fraude en cualquier región.

Cómo operan los atacantes

  1. Contacto inicial convincente. Un correo que aparenta proceder de RR. HH. o de un reclutador con una vacante atractiva.
  2. Redirección a un formulario falso. El enlace lleva a un formulario que recopila datos personales y profesionales.
  3. Solicitud de credenciales mediante una falsa verificación. Tras el formulario, la víctima ve una pantalla que simula el inicio de sesión de un proveedor legítimo (p. ej., Google) para “verificar” la cuenta.
  4. Explotación de la cuenta comprometida. Con acceso al correo, los atacantes pueden restablecer contraseñas, acceder a servicios vinculados y propagar más el fraude.

Señales de alerta y verificación rápida

SeñalQué revisarRiesgo
Remitente desconocido o dominio extrañoComparar dominio con el sitio oficial de la empresaAlto
Enlaces que piden credencialesPasar el cursor y verificar dominio en la barra de direccionesAlto
Petición de contraseña del correo como requisitoLas empresas legítimas no piden contraseñas por formularioCrítico
Mensajes muy personalizados basados en LinkedInConfirmar la oferta en la web oficial o RR. HH.Medio
Formularios que imitan servicios popularesVerificar certificado SSL y dominio realAlto

Recomendaciones prácticas y aplicables globalmente

  • Nunca introducir contraseñas en formularios recibidos por correo. Las empresas legítimas no solicitan la contraseña del correo como parte del proceso de selección.
  • Verificar remitentes y dominios. Comprobando que el correo provenga de un dominio oficial y los enlaces apunten a sitios corporativos reconocibles y fiables.
  • Confirmar las vacantes en canales oficiales. Buscando la oferta en la web de la empresa o contactando directamente con el departamento de RR. HH. por los canales publicados oficialmente, si fuese posible.
  • Activar la autenticación multifactor (MFA). La autenticación en dos pasos, reduce drásticamente el impacto de credenciales comprometidas.
  • Revisar toda actividad sospechosa tras realizar un clic. Si consideramos que pudimos haber entregado datos, cambiar contraseñas, activar la autenticación en dos pasos, revisar accesos y reglas de reenvío en nuestro correo.
La desconfianza ante ofertas demasiado atractivas, es el primer escudo para nuestra seguridad.
Desconfiar ante aquellas ofertas de empleo que resultan demasiado atractivas, es el primer paso para proteger nuestra información personal. Comprobar la veracidad de las ofertas por otros canales, es una garantía.

Consejos para empresas y equipos de RR. HH.

  • Educar a candidatos y empleados. Publicar en las páginas de empleo y redes sociales advertencias sobre procesos legítimos y qué nunca pedirán (por ejemplo, contraseñas).
  • Publicar canales de verificación. Indicar claramente en la web oficial cómo verificar ofertas y contactos de RR. HH.
  • Monitorización y respuesta. Implementar la detección de phishing y procedimientos para revocar accesos y notificar a afectados rápidamente.

Las ofertas laborales falsas son una amenaza global que explota la confianza en marcas y procesos de selección, perjudicando tanto a los candidatos como a las empresas legítimas. Estas estafas no solo afectan a quienes buscan trabajo, sino que también dañan la reputación de las organizaciones engañadas.

La combinación de verificación básica, como controlar los dominios y los remitentes de los correos electrónicos, junto con buenas prácticas personales, como la autenticación multifactor (MFA) y no compartir contraseñas, crea un primer escudo de defensa. Además, implementar medidas organizativas sólidas, que incluyan utilizar canales oficiales de comunicación y proporcionar formación continua sobre cómo identificar fraudes, reduce significativamente el riesgo de caer en estas trampas.

Es vital que tanto las personas en búsqueda de empleo, como las empresas, fortalezcan su conocimiento sobre este fenómeno para protegerse y fomentar un entorno de contratación más seguro y confiable.

Reacciones en fediverso

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.