Buscar trabajo puede ser bastante difícil, ya que muchas empresas están congelando la contratación o no contratan tanto como antes. Además, con los numerosos despidos recientes, hay más solicitantes de empleo en el mercado que antes.

Aun así, esto no significa que las empresas dejen de anunciar ofertas de empleo por completo: los puestos de trabajo congelados pueden permanecer como ofertas de “empleo fantasma”, a pesar de que una empresa no busque a nadie en particular.

Sin embargo, el problema es que a estos puestos se suman otros falsos que dicen ser ofertas de empresas legítimas y que saturan los portales de empleo. Es más, estos anuncios pueden parecer muy auténticos, ya que los estafadores llegan a construir la personalidad y la vida profesional de un reclutador o una persona de Recursos Humanos robando datos reales.

¿Por qué? Como siempre, el objetivo final de estas estafas es utilizar los datos recopilados para conseguir algún tipo de beneficio monetario o de otro tipo. Y aunque los estafadores pueden ser astutos, no es imposible descubrirlos.

Creación de identidades falsas

Tal y como se explicaba en una entrada anterior de WeLiveSecurity escrito por Daniel Cunha Barbosa, la gente suele revelar demasiada información sobre sí misma en Internet, especialmente en sitios como LinkedIn, que sirve tanto de servicio de redes sociales profesionales como de portal de empleo. Esto puede facilitar a los delincuentes la obtención de datos, ya sea comprando credenciales de cuentas filtradas o haciendo un poco de web scraping.

Por ejemplo, las herramientas de inteligencia de código abierto (OSINT) pueden ayudar fácilmente a recopilar datos de los perfiles y actividades en línea de las personas. Programas como Maltego ayudan a descubrir información sobre personas o empresas en línea, permitiendo a cualquiera conectar y trazar relaciones entre sitios web, cuentas, correos electrónicos, ubicaciones y mucho más.

Maltego profile and data spectrum

Información que Maltego puede trazar. Vea lo amplias que pueden ser las conexiones con una sola persona. (Fuente: Sol González/WeLiveSecurity)

Como resultado, la construcción de perfiles destinados engañar con trabajos falsos para una mayor recopilación de datos con el fin de cometer más delitos, como el compromiso del correo electrónico empresarial o diversos ataques de ingeniería social, se vuelve más fácil que nunca.

Por otro lado, con las herramientas OSINT, las personas pueden comprobar lo expuestas que están en línea, por lo que también tienen una aplicación positiva, especialmente para los profesionales de la seguridad, que pueden utilizarlas para descubrir información sobre amenazas potenciales que pueden alterar las posturas de seguridad de aquellos a quienes protegen.

Cómo detectar una oferta de empleo falsa

¿Qué aspecto tiene un anuncio de empleo fraudulento? Depende, ya que los falsos reclutadores pueden enviar un mensaje directo a los solicitantes de empleo e incluir un enlace malicioso o un archivo adjunto en el mensaje o correo electrónico. A estos mensajes se suman también las ofertas de empleo falsas en los portales de contratación, lo que hace que los puestos parezcan más reales.

Además, al principio del proceso de solicitud, los falsos pueden llegar a pedir información sobre cuentas bancarias o números de la seguridad social, lo que debería hacer saltar las alarmas.

Así que, para confirmar si está a punto de interactuar con una oferta auténtica, lo mejor es comprobar:

  • Si la empresa y la persona existen: razón social, dirección, registro, presencia en Internet y posibles noticias.
  • Los perfiles en las redes sociales de la empresa/el reclutador, y busca errores gramaticales, fechas de corte extrañas en sus publicaciones y falta de actividad constante en línea (los perfiles falsos podrían no tener una presencia regular en línea a largo plazo).
  • Si tienen reacciones de personas reales, recomendaciones de empleadores y colegas anteriores, certificaciones, reacciones propias genuinas a las publicaciones de otros, etc. Cuantos más mensajes tengan en otros foros, más probabilidades habrá de que sean reales.

Los pequeños errores también pueden marcar la diferencia. Los estafadores suelen recrear las páginas de trabajo de las empresas para parecer más auténticos, pero estas páginas también pueden tener algunas cualidades discernibles:

  • Seguridad del sitio web: Las páginas web falsas pueden carecer del certificado HTTPS, lo que puede ser señal de un sitio inseguro y malicioso.
  • Enlaces: Pueden tener muchos signos reveladores, como faltas de ortografía. Además, los enlaces no tienen por qué llevarle a la misma ubicación especificada, por lo que, antes de hacer clic, pase el ratón por encima del enlace y compruebe la ubicación prevista en el tooltip de la parte inferior izquierda de la ventana del navegador, como se ve en la imagen siguiente.
Hovering over a link
Al pasar el ratón por encima de un enlace se mostrará la ubicación prevista en la parte inferior izquierda.
  • Preguntas sospechosas: Ninguna empresa le pedirá su número de cuenta bancaria, número de la seguridad social, DNI o similar durante una entrevista de trabajo. A menos que ya seas empleado (y te hayas reunido con representantes de Recursos Humanos verificados), no debes facilitar esa información.
  • Errores tipográficos: Los sitios web falsos pueden tener muchas erratas o errores gramaticales, problemas de estilo o cambios deliberados de caracteres que pueden pasar desapercibidos al principio (usar “0racle” en lugar de “Oracle”, por ejemplo).
  • Reputación: Cuando sea posible, realiza una comprobación rápida del dominio en un sitio como who.is o ScamAdviser.com, que te proporcionará información útil sobre el registro del sitio, su antigüedad y mucho más.
ScamAdviser site description
ScamAdviser muestra un desglose breve y detallado de por qué se debe confiar en un sitio

Consejos de seguridad básicos

Cualquier debate sobre la protección contra las estafas laborales debe abarcar más de una arista.

En primer lugar, para no ser víctima de una suplantación de identidad, restringe tu configuración de privacidad en los portales de empleo (o en las redes sociales en general) si puedes, y nunca presentes voluntariamente información personal identificable en línea, lo que incluye cualquier cuenta con visibilidad pública. Como ya se ha mencionado, si lo haces, será mucho más fácil construir un perfil sobre ti utilizando herramientas OSINT y de web scraping.

En LinkedIn, por ejemplo, puedes configurar si quieres que tu perfil sea público o privado (sólo visible para otros usuarios de LI), así como quién puede ver tu apellido completo y otra información. Puedes encontrar más información al respecto en un artículo de André Lameiras.

En segundo lugar, nunca des tus datos sin verificar a tu posible empleador. Es muy fácil caer en una falsa oferta de empleo, pero una señal reveladora puede ser tan simple como un anuncio de trabajo escueto o una presencia en línea irregular.

En tercer lugar, desconfía de correos electrónicos o mensajes aleatorios con ofertas de trabajo procedentes de cuentas no verificadas o de aspecto poco fiable.

Por último, si una oferta parece demasiado tentadora (por ejemplo, si ofrece un salario por encima de la media, pero no exige tener la experiencia necesaria), es probable que se trate de una estafa.

En definitiva, la probabilidad de que alguien se encuentre con una oferta de empleo falsa es alta, así que presta atención e intenta mantenerte ciberseguro el mayor tiempo posible.