A la tarea de buscar trabajo se le agregó una nueva dificultad, ya que a los puestos en oferta se suman otros falsos que dicen ser de empresas legítimas y que saturan los portales de empleo. Es más, estos anuncios pueden parecer muy auténticos, ya que los estafadores llegan a construir la personalidad y la vida profesional de un reclutador o una persona de Recursos Humanos robando datos reales. ESET, compañía líder en detección proactiva de amenazas, analiza estos engaños y advierte a qué prestar atención para detectarlos y evitar ser víctima del robo de información.
“Los usuarios suelen revelar mucha información personal en Internet, especialmente en sitios como LinkedIn, que sirve tanto de servicio de redes sociales profesionales como de portal de empleo. Esto puede facilitar a los delincuentes la obtención de datos, ya sea comprando credenciales de cuentas filtradas o haciendo web scraping. La construcción de perfiles destinados a engañar para recopilar datos y cometer delitos más graves, como el compromiso del correo electrónico empresarial o diversos ataques de ingeniería social, se vuelve más fácil que nunca”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Las herramientas de inteligencia de código abierto (OSINT) pueden ayudar fácilmente a recopilar datos de los perfiles y actividades en línea de las personas. Programas como Maltego ayudan a descubrir información sobre personas o empresas en línea, permitiendo a cualquiera conectar y trazar relaciones entre sitios web, cuentas, correos electrónicos, ubicaciones y mucho más.
ESET advierte que la manera de detectar una oferta de empleo falsa depende de varios motivos. Los falsos reclutadores pueden enviar un mensaje directo a los solicitantes de empleo e incluir un enlace malicioso o un archivo adjunto en el mensaje o correo electrónico. A estos mensajes se suman también las ofertas de empleo falsas en los portales de contratación, lo que hace que los puestos parezcan más reales. Además, al principio del proceso de solicitud, los falsos pueden llegar a pedir información sobre cuentas bancarias o números de la seguridad social, lo que debería llamar la atención de quien se está postulando. Para confirmar si una oferta es auténtica, lo mejor es comprobar:
Si la empresa y la persona existen: razón social, dirección, registro, presencia en Internet y posibles noticias.
Los perfiles en las redes sociales de la empresa/el reclutador, y buscar errores gramaticales, fechas de extrañas en sus publicaciones y falta de actividad constante en línea (los perfiles falsos podrían no tener una presencia regular en línea a largo plazo).
Si tienen reacciones de personas reales, recomendaciones de empleadores y colegas anteriores, certificaciones, reacciones propias genuinas a las publicaciones de otros, etc. Cuantos más mensajes tengan en otros foros, más probabilidades habrá de que sean reales.
Los estafadores suelen recrear las páginas de trabajo de empresas reconocidos para generar confianza, pero estas páginas también pueden tener algunos detalles que den indicio de falsificación:
Seguridad del sitio web: Las páginas web falsas pueden carecer del certificado HTTPS, lo que puede ser señal de un sitio inseguro y malicioso.
Enlaces: Pueden tener muchos signos reveladores, como faltas de ortografía. Además, los enlaces pueden no llevar a la ubicación especificada, por lo que, antes de hacer clic, pasar el pulsor por encima del enlace y comprobar la ubicación prevista en la parte inferior izquierda de la ventana del navegador, así corroborar que sea la dirección correcta.
Preguntas sospechosas: Las empresas no pedirán el número de cuenta bancaria, número de seguridad social, DNI o similar durante una entrevista de trabajo. A menos que ya sea un empleado (y se haya reunido con el equipo de Recursos Humanos verificado), no se debe facilitar esa información.
Errores tipográficos: Los sitios web falsos pueden tener muchas errores gramaticales, problemas de estilo o cambios deliberados de caracteres que pueden pasar desapercibidos (usar “0racle” en lugar de “Oracle”, por ejemplo).
Reputación: Realizar una comprobación del dominio en un sitio como who.is o ScamAdviser.com, que proporciona información útil sobre el registro del sitio, su antigüedad y mucho más.
Para no ser víctima de una suplantación de identidad, ESET recomienda restringir la configuración de privacidad en los portales de empleo (o en las redes sociales en general), y no presentar voluntariamente información personal identificable en línea, lo que incluye cualquier cuenta con visibilidad pública. De esta manera es mucho más fácil construir un perfil falso utilizando herramientas OSINT y de web scraping. En LinkedIn, por ejemplo, se puede configurar el perfil como público o privado (sólo visible para otros usuarios de LI), así como quién puede ver un apellido completo y otra información.
Además, nunca dar los datos sin verificar al posible empleador. Es muy fácil caer en una falsa oferta de empleo, pero una señal reveladora puede ser tan simple como un anuncio de trabajo escueto o una presencia en línea irregular. También, desconfiar de correos electrónicos o mensajes aleatorios con ofertas de trabajo procedentes de cuentas no verificadas o de aspecto poco fiable.
Por último, si una oferta parece demasiado tentadora (por ejemplo, si ofrece un salario por encima de la media, pero no exige tener la experiencia necesaria), es probable que se trate de una estafa. En definitiva, desde ESET advierten que la probabilidad de que alguien se encuentre con una oferta de empleo falsa es alta, así que la clave es prestar atención e intentar mantenerse ciberseguro.
Comments