El auge de las falsas ofertas laborales como estrategia de phishing para el robo de datos en Latinoamérica

ESPACIO PREMIUM
728 x 90 px
ESPACIO PREMIUM
728 x 90 px

La búsqueda de oportunidades profesionales en el entorno digital se ha transformado en un escenario ideal para el despliegue de amenazas informáticas complejas. El equipo de investigación de ESET ha detectado una campaña masiva de correos electrónicos fraudulentos en América Latina que utiliza de forma ilícita el nombre y la reputación de corporaciones globales como Coca-Cola, Red Bull, L’Oréal y Adidas para robar información confidencial.

Esta modalidad de fraude no es nueva en la región; se registran antecedentes de tácticas similares que suplantaban a gigantes tecnológicos como Meta. Sin embargo, la sofisticación actual radica en el nivel de personalización de los mensajes y en el uso de plataformas de redes profesionales para dar una apariencia legítima al engaño, convirtiendo la necesidad laboral de los usuarios en una vulnerabilidad crítica de seguridad digital.

Anatomía del engaño: la recopilación de datos y el uso de LinkedIn

La campaña de ingeniería social comienza con el envío de un correo electrónico diseñado para imitar las comunicaciones estándar de un departamento de recursos humanos o de agencias de contratación externas. El mensaje se dirige de forma personalizada al destinatario y le ofrece la posibilidad de postularse a una vacante laboral altamente atractiva. Para avanzar en el supuesto proceso de selección, se insta al candidato a interactuar con un enlace adjunto.

GOOGLE ADS
(Automático aquí)

Los ciberdelincuentes aprovechan el reconocimiento de marcas consolidadas para mitigar la desconfianza natural del usuario. Los investigadores de ESET identificaron que, en casos específicos como la suplantación de la firma Adidas, los atacantes configuran el remitente utilizando el nombre de empleados reales de la organización. Para lograr este nivel de precisión, los delincuentes realizan labores de reconocimiento pasivo en redes profesionales como LinkedIn, extrayendo datos públicos sobre la estructura interna, los roles vigentes y las identidades de los reclutadores de las compañías, logrando que el correo electrónico supere las auditorías visuales superficiales de las víctimas.

Formularios de captación y la falsa verificación de cuentas de Google

Al interactuar con el hipervínculo suministrado en el correo, la víctima es redirigida a una página web externa que aloja un formulario digital. La interfaz gráfica de este sitio web emula los sistemas de gestión de candidatos (ATS) utilizados legítimamente en el sector de la contratación, lo que induce al usuario a diligenciar campos con información personal y profesional sensible, tales como:

  • Nombres y apellidos completos.
  • Direcciones de correo electrónico personales.
  • Números de contacto telefónico.
  • Historial detallado de experiencia laboral.

Una vez recolectados estos datos, la plataforma fraudulenta ejecuta la fase crítica del ataque: redirige al usuario a una interfaz que calca con precisión el diseño visual del inicio de sesión único (SSO) de Google. Bajo el argumento de que es estrictamente obligatorio verificar la cuenta de correo para continuar con el proceso de selección de personal, la página solicita la introducción de la contraseña de acceso. La solicitud previa del correo no es aleatoria; sirve para inyectar el dato automáticamente en la casilla correspondiente y simular un flujo técnico auténtico.

El impacto técnico del compromiso de una cuenta de correo

El robo de las credenciales de acceso al correo electrónico representa uno de los incidentes de seguridad con mayor potencial de daño para un usuario. Al tomar el control de la bandeja de entrada principal, los atacantes adquieren la capacidad de expandir el impacto del ataque de forma exponencial a través de diversas acciones tácticas.

Mario Micucci, Investigador de Ciberseguridad de ESET Latinoamérica, advierte que el acceso ilegítimo a la cuenta permite a los ciberdelincuentes iniciar solicitudes de restablecimiento de contraseñas en todos los servicios vinculados a esa dirección, incluyendo plataformas de banca en línea, perfiles de redes sociales y portales corporativos. Asimismo, la bandeja de entrada suele contener datos contractuales, documentos de identidad y comunicaciones internas que facilitan fraudes secundarios, extorsiones o el uso de la propia cuenta comprometida para emitir nuevas oleadas de correos maliciosos hacia la red de contactos de la víctima.

Recomendaciones operativas para la prevención de fraudes laborales

Para mitigar el riesgo de compromiso ante estas campañas dinámicas de phishing, la firma de seguridad ESET recomienda la adopción estricta de las siguientes directrices de control:

  • Escepticismo ante solicitudes de contraseñas: Ninguna organización legítima solicitará la contraseña del correo electrónico personal o corporativo como requisito para participar en una postulación o fase de contratación.
  • Auditoría estricta de dominios: Verificar minuciosamente la dirección del remitente en el encabezado del correo y comprobar que la URL en la barra de navegación del navegador corresponda exactamente al sitio oficial de la entidad, prestando atención a sutiles alteraciones tipográficas.
  • Validación por canales oficiales: Ante la recepción de una oferta sospechosa, ingresar de forma independiente al portal de empleo oficial de la empresa o a sus canales de comunicación verificados para confirmar la existencia real de la vacante.
  • Implementación de autenticación multifactor (MFA): Activar de forma obligatoria el segundo factor de autenticación en todas las cuentas de correo y servicios digitales, lo que impide el acceso del atacante incluso si la contraseña ha sido filtrada.
  • Restricción de credenciales en formularios: Bajo ninguna circunstancia se deben introducir datos de autenticación (usuario y clave) en formularios web abiertos o campos incrustados en correos electrónicos.

Las compañías legítimas están facultadas para solicitar currículos y hojas de vida durante sus procesos de reclutamiento. Sin embargo, la solicitud de credenciales de acceso a servicios de terceros es un indicador inequívoco de una actividad criminal en marcha.

Indicadores de compromiso de la campaña de suplantación de identidad

Para efectos de registro técnico, categorización de incidentes y documentación de eventos de seguridad dentro de bitácoras administradas en entornos WordPress, a continuación se resumen las variables operativas de la amenaza detectada:

  • Tipo de amenaza informática: Campaña de ingeniería social y robo de identidad mediante técnicas de Phishing y recolección de credenciales.
  • Grandes marcas utilizadas como anzuelo: Suplantación ilícita de la identidad corporativa e imagen de L’Oréal, Coca-Cola, Red Bull, Adidas y Meta.
  • Fuentes de información para la personalización: Extracción de datos públicos de empleados y estructuras organizacionales desde perfiles de la plataforma LinkedIn.
  • Vector de ataque principal: Correos electrónicos con remitentes modificados o dominios no oficiales que simulan áreas de recursos humanos.
  • Infraestructura de destino fraudulenta: Formularios web que imitan sistemas legítimos de reclutamiento conectados a páginas falsas de autenticación de cuentas de Google.
  • Objetivo final del actor malicioso: Obtención de contraseñas de correos electrónicos para realizar movimientos laterales, fraudes financieros y despliegue de nuevas redes de ataque.
GOOGLE ADS
(Automático aquí)

Gustavo Torres

Amante de la tecnología con 7 años de experiencia en el cubrimiento informativo de este sector en temas como telecomunicaciones, tecnología de consumo, dispositivos móviles y plataformas en Colombia.

Mi opinión sobre tecnología ha sido tomada por medios como La República o AS. Soy especialista productos de consumo masivo y reviews de hardware. Soy director de tecnogus.com.co

Comparte...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *