Las ciberestafas son cada vez más sofisticadas y están mejor pensadas. El conocido fraude del CEO, mediante el que un cibercriminal suplanta la identidad del jefe de una empresa para timar a sus trabajadores, está mutando al ‘fraude del cliente’. Se trata de una vuelta de tuerca en la ingeniería social para robar a autónomos y freelancers. En este post te contamos un caso real entre los centenares de esta ciberestafa que ocurre a diario.
Pablo empieza, como cada día, su jornada laboral a las 8 am. Es autónomo. Se dedica al marketing digital. Y se debe gestionar muy bien su tiempo para poder realizar todas sus tareas con cada uno de los diez clientes que tiene. Pero hoy no será un día como el resto. Recibe un sorprendente mensaje de WhatsApp a las 10 am. de un número que no tiene guardado.
“Hola Pablo, soy Albert, CEO de la empresa Gasto X”.
Todo puede parecer normal hasta que Pablo se da cuenta de que es una de las empresas para las que trabaja como freelancer. Sorprendido, corre a verificarlo a LinkedIn para ver si ese tal Alberto es realmente el CEO de la empresa Gasto X.
Efectivamente. Lo es. De hecho, y para ser honestos, Pablo ya sabía que el CEO se llamaba así. Pero le sorprende (y mucho) que le escriba a su número personal, habiéndose saltado todos los cauces de comunicación habituales. Sin ir más lejos, sin haber hablado previamente con María, que es la persona con la que Pablo tiene el contacto directo de Gasto X. Además, encaja su foto de perfil de WhatsApp.
Sin más dilación, Pablo se apresura a contestar: “Hola Albert, ¿cómo estás?, ¿Te puedo ayudar en algo?”. De repente, Albert cambia el idioma y le contesta en inglés (algo que puede resultar lógico hasta cierto punto teniendo en cuenta que Gasto X es una empresa que opera en todo el mundo y Albert es políglota).
“I need to know if you are available right now, because I am in a meeting and I want you to do something quick for me” comenta Albert.
Pablo se queda aún más extrañado y, aunque le genera cierta desconfianza, no quiere ser descortés con el jefe de su cliente.
“Okey, I think it is possible but I have a meeting in 10 minutos too”.
Y Albert suelta el resto de ‘artillería’.
“OK, I want you to go to a near by store and get me steam card or Apple ITunes cards. I need the cards back code for presentation. How soon can you get me the cards? I have tried to buy those cards online, but I was told that IT will take time before the card can be activated, that’s why I ask you to get me the cards at any physical store nearby” concluye Alberto.
Contrariado y muy sorprendido, Pablo decide llamar a María para comprobar que esto no fuera una estafa y finalmente ambos concluyen que efectivamente se trata de un intento de ciberestafa. Eso sí, aún no consumada. Es más, María le revela a Pablo que Albert ya ha sufrido varias suplantaciones de identidad en el último año. Una de ellas verdaderamente sorprendente: un trabajador de la empresa fue llamado por el supuesto Albert para pedirle un favor mediante la suplantación de voz con IA.
Pablo, precavido, nunca sabrá qué quería realmente el ciberdelincuente. Pero de lo que está seguro es que el intento de ciberestafa tenía su lógica para alguien que hubiera sido más confiado o con menor conocimiento digital. Y para más inri, después de bloquear y denunciar la ciberestafa, varios días después se da cuenta que la foto de perfil ya no es la misma.
“Los ciberdelincuentes cada vez tienen más herramientas, están mejor formados, y perpetran mejor sus planes para resultar más convincentes” argumenta Hervé Lambert Global Consumer Operations Manager de Panda Security, a WatchGuard brand.
El problema más importante de esta nueva forma de ingeniería social es que los ciberdelincuentes se están convirtiendo en verdaderos expertos en aprovechar la Inteligencia artificial de una manera extremadamente profesional. Sus ataques con IA generativa y con IA sintética requieren de un esfuerzo titánico por parte de las empresas que velamos por la ciberseguridad para dar formación innovadora a todos los profesionales. Pero eso no es todo, es imprescindible que la regulación incluya medidas robustas de ciberseguridad,
Afortunadamente, la UE está trabajando para lograr un acuerdo europeo para regular la inteligencia artificial. Sin embargo, no es algo fácil de alcanzar, ya que la IA va a cambiarlo todo, en especial el mercado laboral. Sin ir más lejos, el último Observatorio Hostinger sobre la Transformación Digital revela que el 89% de los españoles espera que la IA transforme el mercado laboral en todos sus aspectos. Y que el 70% de los españoles cree que aparecerán nuevos puestos de trabajo y oportunidades.
Un aumento que va a más en España
En 2023, España experimentó un aumento significativo en el número de ciberestafas. Según datos oficiales, se registraron más de 470.000 denuncias por estafas relacionadas con fraudes digitales y cibercrimen. Lo que supone un incremento del 70% en comparación con años anteriores.
“Este aumento está vinculado al crecimiento del comercio electrónico, la digitalización y la sofisticación de las técnicas de los estafadores, que utilizan métodos como el phishing, el robo de identidad y las estafas en plataformas de compra-venta online. El incremento en las estafas digitales ha generado preocupación tanto entre las autoridades como entre los usuarios, es por ello que necesitamos mejorar las medidas de ciberseguridad y la educación digital en el país.” comenta Lambert.
Desde “el buen jefe” hasta las ofertas de trabajo falsas
Las estafas laborales en España han crecido de manera preocupante, especialmente con el aumento del trabajo remoto y la digitalización de los procesos de contratación. Estas estafas suelen adoptar diversas formas, incluyendo ofertas de trabajo falsas, jefes que actúan de manera extraña, empresas fraudulentas que buscan obtener datos personales o financieros, y trabajos donde se solicita un pago inicial o compra de materiales como condición para la contratación.
- Ofertas de trabajo falsas. Los estafadores publican anuncios atractivos en portales de empleo o redes sociales. Tras atraer a los candidatos, solicitan dinero por adelantado para trámites como formación, materiales o uniformes, o piden información personal confidencial.
- Falsas entrevistas y procesos de selección. Algunos estafadores organizan entrevistas falsas, donde recopilan información personal o incluso piden a los candidatos que realicen pagos para supuestas verificaciones de antecedentes o gestiones administrativas.
- Trabajo desde casa. Con la creciente popularidad del trabajo remoto, algunas ofertas de “trabajo desde casa” son simplemente un gancho para estafas piramidales o esquemas Ponzi. Donde el objetivo principal es reclutar a más personas que inviertan dinero en lugar de ofrecer un trabajo real.
- Empresas fantasma. A veces, las estafas provienen de empresas que parecen legítimas pero no existen. Utilizan identidades corporativas falsas para engañar a los solicitantes, quienes a menudo descubren la farsa demasiado tarde.
- Phishing laboral. Los estafadores envían correos electrónicos que aparentan ser de empresas legítimas solicitando datos personales bajo la excusa de una oferta de trabajo o proceso de selección.
Consejos para que tu vida laboral no resulte ser un infierno
Desde Panda Security queremos recordarte que toda precaución es siempre poca. Es por ello que te recomendamos lo siguiente respecto de este tema:
- Verificar la empresa. Antes de aceptar una oferta o realizar cualquier pago, investigar la empresa en internet y en redes sociales. Buscar opiniones de empleados y revisar si la empresa está registrada oficialmente.
- Sospechar de ofertas demasiado buenas. Las ofertas de trabajo que prometen salarios desproporcionadamente altos para trabajos poco calificados suelen ser una señal de alerta.
- No pagar jamás nada por adelantado. Nunca enviar dinero para asegurar un puesto de trabajo o para cubrir supuestos gastos iniciales.
- Mantener la privacidad de datos personales. Tener cuidado con la información personal que se comparte y evitar enviar documentos como DNI o pasaporte hasta estar seguro de la legitimidad del empleador.
“Las autoridades y organizaciones como la Oficina de Seguridad del Internauta (OSI) en España están lanzando campañas de concienciación para educar al público sobre cómo reconocer y evitar estas estafas laborales de este calado” finaliza Hervé Lambert.
Y es que, según el Instituto Nacional de Ciberseguridad (INCIBE), ha habido un aumento considerable en los casos de phishing laboral en los últimos años, especialmente durante la pandemia de COVID-19, cuando muchas personas estaban en busca de empleo.