Se multiplican las estafas en los portales de empleo mexicanos

En los últimos meses está aumentando la cantidad de ofertas de empleo falsas que se publican en los portales de búsqueda de trabajo en México. Se trata de un problema que se está generalizando en muchos otros países del mundo y del que ya nos alertaban desde ExpressVPN, la compañía de seguridad digital. Este tipo de ofertas falsas pueden enmascarar intentos de estafa directos a sus aplicantes, o pueden tener otros fines maliciosos.

Las ofertas de empleo que se publican en cualquier portal web pueden atraer el interés de miles de postulantes, que seguidamente proceden a enviar sus currículums o a completar los formularios de registro en la oferta. Ambos métodos implican la cesión de una gran cantidad de datos personales que pueden ser empleados por hackers para vulnerar las cuentas online de los postulantes, entre otras cosas.

Más rudimentarios suelen ser los intentos de estafa donde se solicita a los postulantes el pago de una cierta cantidad de dinero a cambio de la obtención del puesto de trabajo ofertado. En estos casos, el supuesto trabajo casi siempre tiene asociado un salario altísimo y unas condiciones laborales de ensueño. Ante la posibilidad de conseguir un trabajo así, muchos mexicanos y mexicanas acceden al pago y, por supuesto, pierden el dinero.

A las empresas de ciberseguridad les preocupa el robo de datos

Cuando las ofertas de empleo falsas tienen por objetivo robar la información personal de los aplicantes, resultan mucho más difíciles de detectar. A grandes rasgos se puede establecer una regla donde cualquier oferta de empleo que solicita dinero a los aplicantes es una oferta falsa. Sin embargo, no hay una regla similar para identificar las ofertas fraudulentas cuando esa petición de dinero no se produce en ninguna instancia.

Son cada vez más los ciberatacantes que publican este tipo de ofertas una y otra vez para recopilar currículums y una gran cantidad de información personal asociada. Estos documentos les permiten crear bases de datos donde se registran el nombre y apellidos de las víctimas, su dirección postal, su número de teléfono, las cuentas de sus redes sociales, su recorrido académico, su historia laboral y su NSS, entre otros datos relevantes.

Luego, esta información se puede utilizar con diversos fines maliciosos. En muchos casos, la información robada se vende al mejor postor en la dark web, mientras que en otras ocasiones son los propios ciberatacantes quienes intentan usarla para hacerse pasar por la víctima y obtener el control de sus cuentas. Puede tratarse de sus perfiles en las redes sociales, sus suscripciones de Netflix, o, peor todavía, sus cuentas bancarias.

Los hackers pueden aprovechar la IA para el robo de identidad

En particular preocupa la facilidad con que los hackers pueden hacerse pasar por alguien a partir de la información de su currículum gracias a las nuevas herramientas de IA. Resulta especialmente problemático cuando la víctima adjunta una copia escaneada de su pasaporte o su licencia de conducir. Si el hacker conoce su número de teléfono, puede solicitar un duplicado de su tarjeta SIM haciéndose pasar por la víctima.

El hacker ni siquiera necesita estar en México o hablar bien el español. Las herramientas de IA permiten reproducir voces masculinas o femeninas con acento mexicano en cuestión de segundos, con lo que los ciberatacantes lo tienen todo a su favor para robar el acceso a su línea telefónica. A partir de acá, cualquier cuenta que esté asociada a ese número de teléfono pasa a estar bajo el control del hacker, incluyendo –por desgracia– las cuentas bancarias.

Un problema difícil de prevenir

La cuestión es que resulta muy difícil adoptar medidas de prevención ante este tipo de ciberataques. Las ofertas de trabajo falsas son cada vez más elaboradas, y pueden publicarse sin apenas esfuerzo gracias a los grandes modelos de lenguaje como ChatGPT. Además, cuando no media una estafa directa como en las ofertas de empleo falsas tradicionales, resulta casi imposible distinguir una oferta fraudulenta de una oferta real.

Ni los portales de empleo, las autoridades o las víctimas cuentan con medios de identificar este tipo de ofertas falsas, y, cuando se produce el hackeo, ya es demasiado tarde. Por eso, empresas de seguridad digital como ExpressVPN insisten en la importancia de mantener nuestros datos privados a buen recaudo, limitando la información que compartimos en el currículum, y asegurándonos de que esos datos no estén vinculados a nuestro banco.

La mejor manera de prevenir este tipo de hackeos consiste en adjuntar en el currículum datos exclusivos para nuestras aplicaciones laborales, por ejemplo un correo electrónico y un número de teléfono que no estén asociados a nuestras cuentas personales. De este modo, incluso si el hacker duplica la tarjeta SIM, no podrá acceder a nuestra cuenta bancaria. No tenemos medio de saber si la oferta que nos interesa es real o no, ¡así que lo mejor es prevenir!