Phishing laboral: así funciona la estafa con falsos despidos para robar datos

Es cada vez más común que los ciberdelincuentes utilicen atractivas ofertas de empleo temporal o remoto para estafar a quienes están en la búsqueda de una oportunidad laboral. Sin embargo, compañías de seguridad advierten que quienes tienen un empleo activo también pueden ser víctimas de robo de información personal y financiera.

Según ESET, compañía de software de ciberseguridad, los ciberdelincuentes están aplicando una nueva modalidad de engaño: la estafa por despido. En este caso, se utiliza la amenaza de perder el empleo, para captar la atención de la posible víctima.

“Las estafas de despido son un tipo de ataque de phishing diseñado para que sus víctimas compartan su información personal y financiera, o alentarlas a hacer clic mediante un enlace malicioso que podría desencadenar en la descarga de malware. Las tácticas de ingeniería social utilizadas en el phishing pretenden crear una sensación de urgencia en la víctima, para que actúe sin pensárselo antes, y la excusa puntual es un aviso de despedido”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Este tipo de engaño puede aparecer en la bandeja de entrada como un supuesto correo electrónico de recursos humanos o de una tercera parte ajena a la empresa. En estos casos, los ciberdelincuentes pueden mencionar que los servicios del trabajador ya no son necesarios.

Todas estas estrategias tienen como objetivo final persuadir a la víctima para que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.

Sin embargo, una vez la persona haga clic o abra el archivo adjunto, es posible que se active una instalación encubierta de malware o le solicitan datos de acceso en una página de phishing falsa. Con los datos de acceso al trabajo, los cibercriminales podrían secuestrar el correo electrónico u otras cuentas para acceder a datos y redes corporativos confidenciales con fines de robo y extorsión.

“Las estafas de cancelación son eficaces porque explotan la credulidad de las personas, creando una sensación de miedo en la víctima e inculcándole la necesidad urgente de actuar. Sería difícil encontrar a un empleado que no quisiera saber más sobre su propio despido, o detalles potencialmente artificiales de una supuesta mala conducta”, añade Gutierrez Amaya.

Según la compañía de ciberseguridad, son varias las señales de advertencia que deberían llamar la atención, en caso de recibir un correo de despido. Estos son algunos de los aspectos que debería tener en cuenta:

• Un saludo genérico (por ejemplo, “estimado empleado/usuario”), que no es el tono de una carta de despido.
• Enlaces incrustados en el correo electrónico o archivos adjuntos pueden ser un signo revelador de un intento de phishing.
• Enlaces o archivos adjuntos que no se abren inmediatamente, pero que piden que se introduzcan datos de acceso.
• Lenguaje urgente, pues los mensajes de phishing suelen intentar precipitar quien lo recibe.
• Errores ortográficos, gramaticales o de otro tipo en la carta.