Buscar trabajo, ya sea para dar un salto en la carrera o para conseguir esos ansiados ingresos en dólares, requiere tiempo y energía. Por eso, cuando de la nada llega un mensaje a la cuenta de LinkedIn o al mail con una propuesta laboral que parece hecha a medida, la emoción se dispara.
El problema es que los ciberdelincuentes saben exactamente cómo jugar con esa emoción. Hoy en día, el phishing laboral, es decir, estafas a través de ofertas de trabajo falsas, se volvió mucho más sofisticado.
Empieza con un contacto inesperado. Los estafadores aplican lo que en ciberseguridad se llama “ingeniería social”: antes de contactar a la persona, estudian su perfil de LinkedIn, miran su portfolio o leen su currículum on-line. Luego le escriben a la persona en cuestión, confirman datos y ofrecen un sueldo supercompetitivo, trabajo remoto y flexibilidad. Y es aquí donde la emoción afloja las defensas.
En la siguiente etapa y antes de la entrevista formal, el supuesto reclutador dice que debe hacer una prueba técnica. Envía un enlace para descargar un archivo comprimido (.zip o .rar), un documento de Word, o piden clonar un repositorio de código si el puesto es para desarrollador.
Pero ese archivo no es un documento inofensivo. Es un malware, un programa espía que empieza a rastrear la computadora buscando tesoros digitales como las contraseñas guardadas en el navegador, las cookies de sesión o el acceso a home banking.
Ante lo malo, hay buenas noticias.
Se trata de cinco reglas de oro para no caer. En primer lugar, dudar de la urgencia. Si el supuesto reclutador presiona para que se descargue algo “ya mismo” porque la vacante se cierra, es una bandera roja gigante.
En segundo lugar, se recomienda verificar la fuente. Es decir, chequear que la dirección de correo electrónico del remitente termine en el dominio oficial de la empresa y no en un @gmail.com, @yahoo.com o en un dominio que tenga letras cambiadas, por ejemplo @emp-presa.com.
En tercer lugar, nunca ejecutar archivos .exe, .scr, .bat o archivos comprimidos .zip/.rar que lleguen por sorpresa de personas desconocidas.
En cuarto lugar, activar el doble factor de autenticación en todas las cuentas importantes como bancos, billeteras y correo personal. Así, aunque roben la contraseña, no van a poder entrar sin el código que llega al celular.
Por último, no guardar las contraseñas bancarias en el navegador. Es mejor usar la memoria o invertir en un gestor de contraseñas seguro e independiente.
Y como la seguridad es una prioridad, siempre es bueno recordar que Naranja X jamás pedirá la instalación de programas de terceros ni compartir claves ni códigos de validación. Ante cualquier duda, es mejor comunicarse con el Centro de Seguridad: [email protected] o llamar al 0810 333 6272.
