La búsqueda de una nueva oportunidad profesional puede ser un momento de expectativa y entusiasmo. Sin embargo, los ciberdelincuentes aprovechan este contexto para llevar adelante estafas cada vez más sofisticadas. Recientemente, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de correos electrónicos falsos que usan el nombre de reconocidas empresas como L’Oréal, Coca-Cola y Red Bull, que ofrecen supuestas oportunidades de empleo como anzuelo para captar datos personales.
Es importante señalar que las empresas afectadas son también víctimas de los ciberdelincuentes ya que son utilizadas como parte de la estafa. Los atacantes aprovechan el reconocimiento de estas marcas para intentar legitimar el engaño y mediante el uso de su imagen aumentar la probabilidad de éxito del fraude.
“Esta estafa no es nueva, y varios usuarios llevan advirtiendo sobre este mismo fraude desde al menos 2025. En algunos casos, los delincuentes también usaron el nombre de otras empresas, como Meta, y otras compañías para dar credibilidad al esquema.”, advierte Mario Micucci, Investigador de ESET Latinoamérica.
Correos falsos que suplantan grandes marcas
La estrategia comienza de forma relativamente sencilla: los delincuentes envían correos electrónicos que parecen haber sido enviados desde alguna oficina de recursos humanos de las empresas suplantadas o por supuestos reclutadores, con una oferta concreta, dirigida a nombre del remitente, para ofrecerle participar en un proceso de selección de personal.
El mensaje suele presentar una vacante atractiva e incluye un enlace para que la parte interesada avance en las siguientes fases de la solicitud.
Pie de imagen: Correo electrónico falso suplantando a L´Oreal
Pie de imagen: Correos electrónicos de phishing enviado por ciberdelincuentes suplantando a Red Bull y a Coca-Cola.
En uno de los casos analizados, podemos observar que el mensaje inicial ya tiene señales de alerta que anuncian que se trata de una comunicación falsa: el nombre mostrado es el de un supuesto reclutador de L’Oréal, la dirección de correo electrónico utilizada no tiene relación con los dominios oficiales de la empresa.
Pie de imagen: Remitente falso en misma campaña detectada en usuario de Brasil.
En algunos casos, como el que detectó ESET que simula ser de Adidas, el remitente es una persona real, que posiblemente los delincuentes investigaron que pertenece a la empresa.
En este punto, plataformas profesionales como LinkedIn pueden jugar un rol clave: los atacantes pueden recopilar información pública sobre empleados, roles y estructuras internas para hacer más creíble la suplantación de identidad. Lo que les permite personalizar los ataques y aumentar significativamente la tasa de éxito.
Pie de imagen: Correo electrónico falso que suplanta a Adidas. Y advertencia en LinkedIn de la persona suplantada en la empresa sobre la estafa a su nombre.
Al hacer clic en el enlace, en los distintos correos que se distribuyeron suplantando a las empresas, el usuario accede a una página que imita un formulario legítimo, similar a los servicios ampliamente utilizados por las empresas para el reclutamiento. La apariencia profesional del sitio contribuye a transmitir una falsa sensación de confianza y legitimidad.
Pie de imagen: Tras hacer clic en el enlace del mensaje, la víctima es redirigida a un formulario.
Este tipo de inconsistencia es una de las principales señales de phishing y debería servir de advertencia para los candidatos.
Una vez en el sitio, se anima al candidato a entregar información personal y profesional, como nombre, número de teléfono, experiencia profesional y dirección de correo electrónico. Hasta ahora, el proceso parece compatible con una candidatura legítima.
Falsa verificación de cuenta
Tras completar el formulario, la víctima es redirigida a una pantalla que imita el proceso de inicio de sesión de Google, con el objetivo de robar credenciales. A simple vista, la interfaz resulta familiar y «profesional», ya que reproduce el diseño típico de selección de cuenta de Google. Sin embargo, al observar con atención, es posible detectar inconsistencias clave, como el dominio del sitio web —que no corresponde a Google—, lo que evidencia que se trata de una página fraudulenta.
“Un aspecto clave para identificar este tipo de engaños es verificar el dominio en la barra de direcciones: aunque la interfaz imite servicios legítimos como Google, las credenciales solo deben ingresarse en sitios oficiales.”, señala el investigador de ESET.
En este punto se revela el verdadero propósito del engaño: lograr que la víctima, bajo engaño, entregue voluntariamente sus credenciales a los ciberdelincuentes. La página solicitará el acceso al correo electrónico, con la excusa de que se trata de un paso necesario para continuar con el proceso de selección.
La solicitud previa del correo electrónico no ocurre por casualidad. Al recopilar esta información con antelación, los atacantes pueden personalizar la siguiente fase del engaño y aumentar su credibilidad.
Pie de imagen: Solicita la contraseña para acceder a la cuenta de correo electrónico de la víctima.
El uso de interfaces conocidas y visualmente legítimas es una táctica habitual en campañas de phishing, ya que reduce la desconfianza del usuario y aumenta la probabilidad de que entregue sus credenciales.
“Con acceso a la cuenta de correo electrónico de la víctima, los delincuentes pueden restablecer contraseñas de otros servicios vinculados al correo comprometido; acceder a información personal y profesional almacenada en la bandeja de entrada; enviar mensajes falsos en nombre de la víctima a sus contactos e, incluso, usar la cuenta para difundir nuevas campañas de phishing. Dependiendo de los servicios asociados al correo electrónico, el compromiso también puede resultar en un acceso indebido a cuentas bancarias, redes sociales, plataformas corporativas y otros sistemas sensibles, amplificando significativamente el impacto del ataque.”, agrega Micucci.
Para reducir el riesgo de caer en este tipo de fraude, desde ESET señalan que es importante adoptar algunas medidas de seguridad:
- Desconfiar de cualquier proceso de selección que pida la contraseña del correo electrónico.
- Comprobar cuidadosamente la dirección del remitente y el dominio de los enlaces recibidos.
- Confirmar la existencia de la vacante directamente en los canales oficiales de la empresa.
- Activar la autenticación de dos pasos (MFA) en las cuentas.
- Nunca compartir credenciales de acceso a través de formularios online mensajes recibidos por correo electrónico.
“Aunque las campañas de phishing que involucran oportunidades de empleo falsas no son nada nuevo, los delincuentes siguen perfeccionando sus técnicas para hacerlas más convincentes. Por lo tanto, ante cualquier proceso de selección que solicite credenciales de acceso o presente inconsistencias en las direcciones de correo electrónico y enlaces utilizados, la recomendación es detener inmediatamente la interacción y verificar la autenticidad de la vacante a través de los canales oficiales de la empresa.”, concluye el investigador de ESET.
Además, desde ESET adviertes que si bien las empresas legítimas pueden solicitar currículums, información de contacto y datos profesionales durante el proceso de reclutamiento. Sin embargo, nunca pedirán la contraseña de una cuenta de correo electrónico como requisito para participar en un proceso de selección. Ante cualquier solicitud de este tipo, detener inmediatamente la interacción y confirmar la autenticidad de la vacante a través de los canales oficiales de la organización.
