Las empresas de ciberseguridad alertan el aumento de estafas digitales que están siendo impulsadas por las aplicaciones de IA basadas en LLMs, como ChatGPT. Estas herramientas de inteligencia artificial permiten a los estafadores y a los hackers de otros países elaborar discursos convincentes en perfecto español, lo que les sirve para lanzar sus estafas en las redes sociales y en muchas otras plataformas online.
Entre las plataformas web que están siendo empleadas por los hackers para estafar a los usuarios destacan los portales de búsqueda de trabajo. Se trata de plataformas donde cualquier empresa puede publicar un sinfín de ofertas de trabajo, que pueden o no derivar en contrataciones, y que no están supervisadas por las plataformas web en sí mismas. Esto es el cóctel perfecto para que un ciberatacante pueda hacer su agosto con casi total impunidad.
¿Cómo roban el dinero de las víctimas?
A través de una oferta falsa de empleo, un hacker puede ingeniárselas para robar el dinero de un buen número de postulantes utilizando un discurso convincente que, además, ahora se ve reforzado por la elocuencia de la inteligencia artificial. Las ofertas falsas son más creíbles que nunca, lo que atrae a un mayor número de candidatos y candidatas al supuesto puesto de trabajo, y amplía de forma considerable el radio de acción del hacker.
Para poder robar el dinero de sus víctimas, los ciberatacantes pueden utilizar distintos argumentos. Algunos de los más habituales son estos:
- La víctima debe pagar por su formación. Una de las excusas más utilizadas por los estafadores argumenta que la víctima debe pagar por adelantado su capacitación para un puesto de trabajo especializado, por ejemplo en una plataforma petrolífera, en una central ‘offshore’, en un campo de golf, o en un crucero de lujo.
- El pago cubrirá los gastos de un visado. Los estafadores también argumentan que el trabajo requiere de la obtención de un visado, sobre todo en el caso de las ofertas falsas en supuestos cruceros o en plataformas ‘offshore’. En otros casos, el visado sería para trabajar de forma permanente en países con un mayor nivel económico.
- El pago permite filtrar a los aplicantes no interesados. En lugar de pedir pagos grandes de varios cientos de euros, los estafadores pueden pedir simples pagos de uno o dos euros con la excusa de filtrar a los aplicantes no interesados o a las cuentas 'bot'. En este caso, el hacker busca robar la información de la tarjeta de crédito.
- El pago ‘verifica’ la residencia legal de la víctima. Con el mismo objetivo, el estafador puede argumentar que se hace necesario hacer un pequeño pago con tarjeta para verificar que la víctima dispone de una cuenta bancaria española. Tras recibir el pago, el hacker roba la información de la tarjeta y la usa en su beneficio.
La empresa de ciberseguridad ExpressVPN nos alerta de estas estafas y nos recuerda que nunca debemos hacer ningún pago para optar a un puesto de trabajo. Todo lo que tenemos que hacer consiste simplemente en postularnos al puesto y, en caso de ser preseleccionados, pasar una entrevista. Si todo está en orden y deciden contratarnos, solo tendrán que pedirnos documentos como el DNI o el número de seguridad social: nunca un pago de ningún tipo.
La información privada del currículum también está en riesgo
Además de estas estafas directas, los ciberdelincuentes también aprovechan las publicaciones gratuitas en los portales de búsqueda de empleo para recopilar un gran número de currículums y hacer uso de la información personal proporcionada en ellos. Datos como el nombre completo de una persona, su dirección de correo electrónico o su número de teléfono tienen un gran valor para los hackers, y pueden causar grandes daños a las personas afectadas.
Los currículums robados de esta manera permiten a los ciberatacantes elaborar completas bases de datos con información de los postulantes: una información que luego pueden vender en la dark web o utilizar para sus propios fines. Estos datos se pueden emplear en el hackeo de cuentas online como las de Netflix, Spotify, Amazon o Aliexpress, que tienen vinculados los datos bancarios de las víctimas, y que pueden ser usadas en beneficio del hacker.
Particularmente preocupante es el robo de identidad que puede ocurrir a partir de la usurpación y legítima de un currículum. La información que proporcionamos en estos documentos es muy detallada, y permite a los ciberatacantes crear perfiles en redes sociales bajo nuestro nombre. Estos perfiles pueden usarse para tratar de estafar a otros usuarios, o pueden venderse a terceros interesados en diseminar información falsa.
Los daños causados por este tipo de cuentas fraudulentas a la imagen personal de las víctimas pueden ser irreparables, sobre todo si consideramos lo difícil que resulta eliminar de internet la información que puede afectarnos de un modo u otro. Además, el hackeo de un correo electrónico puede imposibilitar la recuperación de las cuentas robadas. Por eso la prevención es la mejor manera de limitar al máximo los riesgos de sufrir un ciberataque de este tipo.