Estafas comunes en LinkedIn: cuidado con las falsas ofertas de empleo

ESET, compañía de seguridad informática, advierte que los estafadores también utilizan LinkedIn para robar información sensible de los usuarios o incluso dinero.

Buenos Aires, Argentina – Buscar empleo es una tarea ardua que requiere concentración y paciencia para ir de una oferta de trabajo a otra y completar formularios interminables. Las plataformas como LinkedIn buscan aliviar esta tarea, facilitando que quienes buscan trabajo se mantengan al tanto de nuevas ofertas y a los reclutadores les facilita la tarea de encontrar a los mejores candidatos. ESET, compañía líder en detección proactiva de amenazas, advierte que al ser un proceso inmersivo, especialmente para los desempleados, muchas personas pueden ser víctimas de estafas mientras buscan trabajo.

Si bien todas las plataformas de redes sociales pueden ser un vehículo para el fraude, una cosa que hace a LinkedIn algo especial es su percepción pública como un lugar seguro, un entorno profesional. En este sentido, los engaños en los que suplantan la identidad de LinkedIn continúan prosperando y, de hecho, se han disparado en los últimos meses. Si bien algunos estafadores pueden tener mucho éxito con trucos muy simples y antiguos, como solicitar sus datos bancarios o pagos por adelantado a cambio de una entrevista de trabajo aparentemente legítima, otros pueden ser muy sofisticados.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET comparte algunos ejemplos de algunas de las estafas más comunes que aprovechan de LinkedIn:

Notificaciones falsas: Los correos con notificaciones se han convertido en una presencia habitual en las bandejas de entrada. Las plataformas sociales son muy conscientes del impacto de estas notificaciones y utilizan líneas atractivas en los asuntos, como “Apareciste en 3 búsquedas esta semana” y “Felicita a Juan por su nuevo trabajo”, para generar curiosidad y el deseo de iniciar sesión en las cuentas y pasar más tiempo en la plataforma. Sin embargo, los ciberdelincuentes también se han dado cuenta y utilizan una redacción y estética similar para generar correos electrónicos de phishing muy parecidos que llegan a las bandejas de entrada y que, en última instancia, están diseñados para robar las credenciales de inicio de sesión de LinkedIn o descargar malware en los dispositivos.

ESET 20220525 ima01Pie de foto: Ejemplo de correo de phishing que se hace pasar por una notificación de LinkedIn.

Una vez que se hace clic en el enlace incluido en uno de estos correos falsos, se es redirigido a una página que solicita ingresar las credenciales de inicio de sesión. Segundos después, sin notarlo, se habrá entregado el nombre de usuario y contraseña de LinkedIn al atacante, y en algunos casos incluso también a otros servicios en caso que se reutilicen las mismas credenciales en más de un servicio.

Ofertas de trabajo falsas: Otra forma en la que roban credenciales de inicio de sesión es mediante supuestas “ofertas de trabajo” bien remuneradas que para postularse solo es necesario responder un mensaje directo. Al llegar de manera inesperada, puede ser tentador solicitar más información. Esto llevará al falso reclutador a responder con un mensaje en el cual puede solicitar el pago de una tarifa por adelantado, posiblemente para capacitación, o bien que solicite al interesado que envíe su información personal a través de, por ejemplo, un Formulario de Google. Aunque la oferta suene un poco extraña, la víctima puede pensar que no hay nada que perder. Estas ofertas a menudo solicitan información personal adicional en el primer contacto, como su nombre, edad, residencia y detalles de contacto.

“Ante estas situaciones recomendamos siempre confirmar que la empresa a la que se postula realmente existe y realizar una búsqueda rápida en Google para comprobarlo. Y al igual que ponemos mucho esfuerzo en elaborar y enviar un buen currículum, los empleadores tienden a prestar atención a la descripción de anuncios de trabajo que lanzan, así que, si se observan errores gramaticales o cualquier información contradictoria en las comunicaciones de estas ofertas, puede que se esté ante un engaño. Además, recuerda que ninguna empresa te va a ofrecer dinero ni te va a pedir tus datos bancarios en el primer contacto.”, agrega el especialista de ESET.

El alcance de una oferta de trabajo falsa puede ir más allá de robar dinero o credenciales de la víctima. Hay grupos de espionaje sofisticados que para comprometer a una organización utilizaron ofertas de trabajo falsas en LinkedIn, para engañar al personal interno, y finalmente convencerlos para que descarguen un archivo infectado con malware.

ESET 20220525 ima02

Pie de foto: Ejemplo de campaña de ingeniería social a través de LinkedIn utilizando falsas ofertas de empleo como excusa para comprometer con malware a la víctima.

Estafas piramidales: Las estafas piramidales también encontraron un lugar en LinkedIn y pueden manifestarse de diversas maneras. Por ejemplo, un caso conocido es el de un asesor financiero aparentemente bien educado y legítimo que se contacta vía mensaje directo ofreciendo un programa de inversión atractivo que promete dinero fácil, algo de interés para cualquier persona en apuros económicos o para aquellos que confían en que se harán ricos en el campo de las criptomonedas. Propuestas como estas suelen ser “demasiado buenas para ser verdad”, y generalmente el mensaje directo que se envía a través de LinkedIn viene acompañado con un enlace a una página bien elaborada que respalda la propuesta e incluye muchas reseñas de nuevos millonarios que cuentan su historia. Para unirse, solo se necesitan unos pocos clics y una inversión inicial, explican los estafadores. Y para que parezca seguro y confiable, todas las transacciones se realizan dentro del mismo sitio web. Pero una vez hecha la transferencia, el dinero se pierde.

“Cualquiera de nosotros puede ser víctima de una estafa, independientemente de la cantidad de información a la que tengamos acceso. Ser consciente de esto es, de hecho, el primer paso para mantenerse a salvo de los estafadores, ya sea en LinkedIn o en cualquier otro lugar.”, asegura Gutiérrez Amaya de ESET.

ESET comparte algunas reglas importantes a seguir para evitar ser víctima de estafas en LinkedIn:

  • Ser cauteloso en LinkedIn, al igual que lo sería en cualquier otra plataforma de redes sociales.
  • Si se recibe un correo electrónico que parece ser de LinkedIn, pero no se está seguro de si es legítimo o no, no hacer clic en ningún enlace. En su lugar, iniciar sesión en LinkedIn desde la página oficial y revisar las notificaciones.
  • Ser precavido con las solicitudes para establecer contacto que llegan de personas que no se conocen. Si un desconocido se pone en contacto, no hacer clic en ningún enlace. En lugar de esto primero realizar una búsqueda en Google para obtener más información del empleador y qué tan confiable es esa conexión. Preguntarse “¿cómo me encontró esta persona? ¿Por qué me contactan?”.
  • Asegurarse de que la configuración de privacidad de la cuenta de LinkedIn solo muestre la información necesaria a personas que no forman parte de los contactos. Por ejemplo, es posible que se quiera que otros vean la experiencia laboral y educación, pero no necesariamente el número de teléfono.
  • Usar una contraseña o frase de contraseña fuerte y única.
  • Activar la verificación en dos pasos, también conocida como doble factor de autenticación o 2FA. Esto será de utilidad en caso de que alguien obtenga las credenciales de inicio de sesión, ya que le resultará mucho más difícil al atacante acceder a la cuenta por más que esa información.
  • Nunca proporcionar información personal como el número de documento de identidad o tarjetas de crédito. Los posibles empleadores no solicitan los datos bancarios ni depositarán el salario utilizando las credenciales de inicio de sesión.
  • Tener en cuenta que las ofertas de trabajo reales cumplen con las leyes fiscales y del país. El dinero fácil tiende a ser una estafa.
  • Cuidado con las ofertas no solicitadas de servicios financieros o inversiones a través de conexiones que no se conoce. Hoy en día, prácticamente cualquiera puede configurar un sitio web que se vea atractivo y confiable.
  • Siempre denunciar una estafa a LinkedIn.
  • En pocas palabras, si algo es demasiado bueno para ser verdad, lo más probable es que lo sea (una estafa).

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/05/17/estafas-comunes-linkedin/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw