Estafas Comunes en LinkedIn

Los estafadores también utilizan LinkedIn para robar información sensible de los usuarios o incluso su dinero.

Buscar empleo es una tarea dura, es una especie de trabajo de tiempo completo en sí mismo. Se requiere concentración y paciencia para ir de una oferta de trabajo a otra y completar formularios interminables, quizás hasta el punto de causar angustia emocional, y aún sin una oferta de trabajo real a la vista.

Las plataformas como LinkedIn buscan aliviar esta tarea más onerosas, facilitando que quienes buscan trabajo se mantengan se mantengan al tanto de nuevas ofertas y acercando a algunos de ellos a poner un pie en la puerta de la empresa de sus sueños. Por su parte, a los reclutadores les resulta más fácil encontrar a los mejores candidatos, entre otros beneficios.

Pero en parte porque este es un proceso tan inmersivo, especialmente para los desempleados, muchas personas también pueden ser víctimas de estafas. Sin duda, todas las plataformas de redes sociales son caldo de cultivo para el fraude. Sin embargo, una cosa que hace a LinkedIn algo especial es su percepción pública como un lugar seguro, un entorno profesional donde podemos bajar la guardia.

Lamentablemente, la realidad no es tan favorable, y mucho menos en estos tiempos en los cuales se observan fenómenos como el que se denominó la Gran Renuncia. Los engaños en los que suplantan la identidad de LinkedIn continúan prosperando y, de hecho, se han disparado en los últimos meses. Si bien algunos estafadores pueden tener mucho éxito con trucos muy simples y antiguos, como solicitar sus datos bancarios o pagos por adelantado a cambio de una entrevista de trabajo aparentemente legítima, otros pueden ser muy sofisticados.

Veamos algunos ejemplos de algunas de las estafas más comunes que aprovechan LinkedIn.

Notificaciones falsas

Los correos con notificaciones se han convertido en una presencia habitual en nuestras bandejas de entrada, llegando a una carpeta donde suelen quedarse para siempre, o al menos hasta que se eliminan. Las plataformas sociales son muy conscientes del impacto de estas notificaciones y utilizan líneas cada vez más atractivas en los asuntos, como “Apareciste en 3 búsquedas esta semana” y “Felicita a Juan por su nuevo trabajo”, todo para generarnos curiosidad y el deseo de iniciar sesión en nuestras cuentas y pasar más tiempo en la plataforma.

Sin embargo, los ciberdelincuentes también se han dado cuenta y utilizan una redacción y estética similar para intentar generarnos curiosidad a través de correos electrónicos de phishing muy parecidos que llegan a nuestras bandejas de entrada y que, en última instancia, están diseñados para robar las credenciales de inicio de sesión de LinkedIn o descargar malware en nuestros dispositivos.

Ejemplo de corre de phishing que se hace pasar por una notificación de LinkedIn

Una vez que hacemos clic en el enlace incluido en uno de estos correos falsos, somo redirigidos a una página que solicita ingresar nuestras credenciales de inicio de sesión. Segundos después, sin darnos cuenta, habremos entregado nuestro nombre de usuario y contraseña de LinkedIn al atacante, y en algunos casos incluso también a otros servicios si cometimos el error de reutilizar las mismas credenciales en más de un servicio.

Ofertas de trabajo falsas

Otra forma de robar credenciales de inicio de sesión es mediante supuestas “ofertas de trabajo” bien remuneradas que para postularse solo es necesario responder un mensaje directo. Al llegar de manera inesperada, puede que nos veamos tentados a solicitar más información. Esto llevará al falso reclutador a responder con un mensaje en el cual puede solicitar el pago de una tarifa por adelantado, posiblemente para capacitación, o bien que solicite al interesado que envíe su información personal a través de, por ejemplo, un Formulario de Google. Aunque la oferta suene un poco extraña, la víctima puede pensar que no hay nada que perder, pero se equivoca.

Estas ofertas a menudo solicitan información personal adicional en el primer contacto, incluso si esta información se proporcionó en su perfil y currículum de LinkedIn, como su nombre, edad de residencia y detalles de contacto. Ante estas situaciones recomendamos siempre confirmar que la empresa a la que se postula realmente existe y realizar una búsqueda rápida en Google para comprobarlo. Y al igual que ponemos mucho esfuerzo en elaborar y enviar un buen currículum, los empleadores tienden a prestar atención a la descripción de anuncios de trabajo que lanzan, así que, si observas errores gramaticales o cualquier información contradictoria en las comunicaciones de estas ofertas, puede que estés ante un engaño. Además, recuerda que ninguna empresa te va a ofrecer dinero ni te va a pedir tus datos bancarios en el primer contacto.

Vale la pena mencionar que el alcance de una oferta de trabajo falsa ir más allá de robar dinero o credenciales de la víctima. Hemos visto ejemplos de grupos de espionaje sofisticados que para lograr el compromiso inicial a una organización utilizaron ofertas de trabajo falsas en LinkedIn para engañar al personal interno y finalmente convencerlos para que descarguen un archivo infectado con malware.

Ejemplo de campaña de ingeniería social a través de LinkedIn utilizando falsas ofertas de empleo como excusa para comprometer con malware a la víctima.

Lectura recomendada: Intento de ciberataque a Redbanc en Chile comenzó por una oferta laboral publicada en LinkedIn

Estafas piramidales

Las estafas piramidales también encontraron un lugar en LinkedIn y pueden manifestarse de diversas maneras. Por ejemplo, como explica este usuario un caso donde un asesor financiero aparentemente bien educado y legítimo se contactó vía mensaje directo ofreciendo un programa de inversión atractivo que promete dinero fácil, algo atractivo para cualquier persona en apuros económicos o para aquellos que confían en que se harán ricos en el campo de las criptomonedas.

Propuestas como estas suelen ser “demasiado buenas para ser verdad”, y generalmente el mensaje directo que nos envían a través de LinkedIn viene acompañado con un enlace a una página bien elaborada que respalda la propuesta e incluye muchas reseñas de nuevos millonarios que cuentan su historia. Para unirse a este programa, solo se necesitan unos pocos clics y una inversión inicial, explican los estafadores. Y para que parezca seguro y confiable, todas las transacciones se realizan dentro de ese hermoso sitio web.

Pero una vez hecha la transferencia, el dinero se pierde.

Pero como decíamos, las estafas piramidales a través de LinkedIn también pueden comenzar con ofertas de trabajo falsas y atractivas:

Qué podemos hacer para estar seguros en LinkedIn

Cualquiera de nosotros puede ser víctima de una estafa, independientemente de la cantidad de información a la que tengamos acceso. Ser consciente de esto es, de hecho, el primer paso para mantenerse a salvo de los estafadores, ya sea en LinkedIn o en cualquier otro lugar.

Hay algunas reglas importantes a seguir:

  • Ser cauteloso en LinkedIn, al igual que lo sería en cualquier otra plataforma de redes sociales.
  • Si recibe un correo electrónico que parece ser de LinkedIn, pero no está seguro de si es legítimo o no, no haga clic en ningún enlace. En su lugar, inicia sesión en LinkedIn desde la página oficial y revisa las notificaciones.
  • Ser precavido con las solicitudes para establecer contacto que llegan de personas que no conoce. Si un desconocido se pone en contacto contigo, no hagas clic en ningún enlace. En lugar de esto primero realiza una búsqueda en Google para obtener más información del empleador y qué tan confiable es esa conexión. Pregúntate “¿cómo me encontró esta persona? ¿Por qué me contactan?”.
  • Asegúrate de que la configuración de privacidad de tu cuenta de LinkedIn solo muestre la información necesaria a personas que no forman parte de nuestros contactos. Por ejemplo, es posible que quieras que otros vean tu experiencia laboral y educación, pero no necesariamente tu número de teléfono.
  • Usa una contraseña o frase de contraseña fuerte y única.
  • Activa la verificación en dos pasos, también conocida como doble factor de autenticación o 2FA. Esto será de utilidad en caso de que alguien se haga con tus credenciales de inicio de sesión, ya que le resultará mucho más difícil al atacante acceder a tu cuenta por más que tenga tus credenciales.
  • Nunca proporciones información personal como tu número de documento de identidad o tarjetas de crédito. Los posibles empleadores no solicitan tus datos bancarios ni depositarán tu salario utilizando tus credenciales de inicio de sesión.
  • Ten en cuenta que las ofertas de trabajo reales cumplen con las leyes fiscales y del país. El dinero fácil tiende a ser una estafa.
  • Cuidado con las ofertas no solicitadas de servicios financieros o inversiones a través de conexiones que no conoce. Hoy en día, prácticamente cualquiera puede configurar un sitio web que se vea atractivo y confiable.
  • Siempre denunciar una estafa a LinkedIn.

En pocas palabras, si algo es demasiado bueno para ser verdad, lo más probable es que lo sea (una estafa).

Referencias: ESET

Autor: André Lameiras