El servicio de empleo de la Comunidad de Madrid podría estar hackeado por ciberdelincuentes que acceden a los datos de los solicitantes para hacerles llegar propuestas de empleos falsas que derivan en fraudes y robo de datos. Se trata de una práctica mediante phishing, a través de aplicaciones de mensajería, en las que suplantan a reconocidas plataformas y consultoras especializadas en Recursos Humanos. Son recurrentes en personas que buscan empleo en varias plataformas online distintas. Sin embargo, estos mensajes fraudulentos se han producido tan solo un día después de haberse apuntado al paro en las oficinas de la Comunidad de Madrid, sin haber facilitado los datos en ningún otro lugar o plataforma.
Así lo ha podido constatar MERCA2 tras hablar con una demandante de empleo que, desde que se inscribió en una oficina de un barrio de la ciudad de Madrid, ha recibido ya más de cinco alertas en su teléfono móvil con propuestas de trabajo fraudulentas, que pretenden bien cobrar por cualquier tipo de concepto, o bien acceder a su datos y sus contactos para luego venderlos en el mercado negro online o en la deep web.
Así nos lo ha contado Elena, quien acudió a finales del pasado mes de febrero al Servicio de Empleo madrileño para darse de alta como demandante, porque iba a comenzar en una nueva empresa. Justo al día siguiente Elena comenzó a recibir mensajes ofreciéndoles empleos a través de SMS o de WhasApp con ofertas en nombre de plataformas como Infojobs o Asap, que resultaron no ser reales, sino que utilizan los membretes de estas organizaciones para parecer creíbles.
Según insite Elena, esto ocurrió después de inscribirse y salir de la oficina de empleo. Precisamente su pareja, el responsable del clúster MAD FinTech, Marlon Molina, es experto en ciberseguridad y no dudó en investigar y comprobar la naturaleza de los anuncios recibidos por Elena, y en confirmar que se trataban de distintos fraudes basados en los datos que nuestra protagonista había aportado durante su inscripción en la oficina de empleo.
PAGAR POR CONSEGUIR UN EMPLEO
Molina indagó en la naturaleza de al menos un par de las extrañas ofertas recibidas por Elena. En el anuncio que figuraba como enviado supuestamente por Infojobs, al pulsar en el enlace, este le remitía a un curso que debía realizar tras leerse un libro o manual específico que, por supuesto, era gratuito. Sin embargo, sí se veía obligada para conseguir la formación a abonar el transporte, que tenía un precio de 20 euros.
«Si consiguen que caigan 100 personas en el engaño, se multiplica por los 20 euros, y ya han hecho el negocio«, nos aclara Marlon, que solo nos ofrece cifras figuradas, ya que cree que los ingresos por este tipo de fraudes pueden ser muchísimo más elevados.
el anuncio que figuraba como enviado supuestamente por Infojobs, al pulsar en el enlace, este le remitía a un curso que debía realizar tras leerse un libro o manual
En el segundo caso, para acceder al empleo debía tener una entrevista vía videollamada, pero para poder realizarla debía desactivar determinadas funciones de su smartphone o su ordenador, con el fin de no tener problemas de incompatibilidad. «Este truco consigue que durante la falsa comunicación tengan acceso a tus datos y a tus contactos. De esta manera, y en tu nombre, pueden estafar a todas las personas que figuran en tu agenda, sobre todo si son contactos profesionales o de empresas. En nombre de Elena, con su número o su correo electrónico envían un phishing que su contacto, confiado, puede pulsar e instalar un malware o un ransomware en la organización con facilidad», nos explica Marlon.
Elena no ha «picado», aunque le llegaron otras cuatro o cinco ofertas de otras tantas supuestas empresas de RRHH, porque no tiene necesidad real de encontrar empleo, pero tanto ella como Marlon están preocupados. «Hay que tener en cuenta que cuando alguien busca trabajo se aferra a cualquier posibilidad y no desconfía de determinadas marcas o plataformas. Los ciberdelincuentes falsean nombres y membretes, y esto es muy peligrosos para la persona afectada y para su entorno» explica este experto en ciberseguridad.
Este truco consigue que durante la falsa comunicación tengan acceso a tus datos y a tus contactos. De esta manera, y en tu nombre, pueden estafar a todas las personas que figuran en tu agenda, sobre todo si son contactos profesionales o de empresas
En el caso de los mensajes recibidos por Elena, Marlon pudo constatar que los textos estaban mal traducidos al castellano, tal y como se puede observar en uno de los mensajes con la frase «estamos felices de invitarte a trabajar juntos»; es realmente difícil que haya sido escrita por cualquier empleado de Infojobs en España. En el caso del mensaje recibido por WhasApp es más evidente, porque directamente está en inglés y tampoco tiene una gramática demasiado correcta. «Esto es así porque los estafadores son de origen ruso, árabe o asiáticos; sus lenguas no son alfabéticas y sus traducciones son, por esa razón, penosas«, nos aclara Marlon.
Para no caer en estas trampas, también hay que fijarse en si utilizan cuentas de correo gratuitas o con dominios extraños, y sobre todo en el hecho de que solo figura un enlace y ninguna forma de contacto real. Es difícil discernir la realidad del fraude en este tipo de mensajes, puesto que cuando un trabajador se inscribe como demandante de empleo, acepta la utilización del teléfono móvil o el correo electrónico como medios de comunicación válidos. Esto es así porque los Servicios Públicos de Empleo (tanto los autonómicos como el estatal, el SEPE) utilizan el SMS para realizar comunicaciones oficiales.
SERVICIOS DE EMPLEO UTILIZADOS PARA ENGAÑAR
Los Servicios Autonómicos de Empleo suelen citar mediante SMS a los demandantes para que comparezcan a procesos de selección, sesiones de formación u orientación laboral para muchos de los puestos de trabajo que ofertan, bajo el nombre de SERVEMPLEO o SERV.EMPLEO. Con una simple llamada a la oficina de empleo que corresponde a cada ciudadano puede confirmar si la oferta ha sido realmente enviada desde la institución o no.
Esta precaución hay que tenerla siempre, porque los ciberdelincuentes son lo suficientemente audaces como para falsear incluso en nombre de los servicios de empleo, como puede ser el caso que nos ocupa. MERCA2 se ha puesto en contacto con el Servicio de Empleo de la Comunidad de Madrid para alertarle del problema, del que inicialmente no tenían constancia.
los ‘hackers’ han utilizado y utilizan al SEPE como señuelo de un fraude en el que podían caer un gran número de ciudadanos que cobran o están pendientes de cobrar la prestación por desempleo, que se encuentran en situación de paro,
En el caso que nos ocupa inquieta que nuestros datos pasen de una institución oficial a los ciberdelincuentes con facilidad. Pero en otras sonadas ocasiones, ni siquiera ha hecho falta que cuenten con nuestros datos. Solo ha bastado con que utilicen un amplio listado de teléfonos móviles y lanzar el cebo institucional a ver quién «pica».
Este fue el caso del Servicio Público de Empleo Estatal (SEPE), que los ‘hackers’ han utilizado, y continúan haciéndolo, como señuelo de un fraude el que podían caer un gran número de ciudadanos que cobran o están pendientes de cobrar la prestación por desempleo, que se encuentran en situación de paro, o que estaban afectados por un ERTE en 2020, cuando proliferaron las estafas en nombre de la institución dependiente del Ministerio de Trabajo.
En nuestro país, las estafas relacionadas con el empleo se han producido en múltiples ocasiones por lo que hasta la Guardia Civil ha tenido que emitir una advertencia a través de redes sociales para concienciar y crear una alerta que le sirva al conjunto de los ciudadanos, porque nadie está libre de pasar por una situación similar. También se ha encargado de enfrentar el problema el Instituto Nacional de Ciberseguridad (INCIBE), que se ha encargado de informar sobre el gran número de ofertas de empleo falsas que circulan por Internet.
Se ha dado casos en los que las estafas se producen a través de reconocidas consultoras especializada en Recursos Humanos, como Randstad, que trabaja como intermediaria con empresas y multinacionales. Tal y como se denunció en la publicación especializada Noticias Trabajo, en agosto del pasado año, desde Randstad anunciaron en una oferta de empleo para 250 administrativos comerciales, que entrarían a trabajar en una empresa «reconocida en el sector inmobiliario a nivel internacional», que resultó ser un fraude, puesto que se quedaron con los datos personales de todos los solicitantes.
Se ha dado casos en los que las estafas se producen a través de reconocidas consultoras especializada en Recursos Humanos como Randstad, que trabaja como intermediaria con empresas y multinacionales.
La empresa, llamada Taloyus, tras confirmar a los y las seleccionadas y mediante correo electrónico, les solicitó los datos habituales necesarios para realizar un contrato de trabajo, como el número de cuenta bancaria para ingresar la nómina, el número de la Seguridad Social el DNI y los datos personales, dirección y teléfono.
Semanas después, la inmobiliaria se puso en contacto con las futuras trabajadores mediante correo electrónico en el que les explicaban que han sido contratadas. Sin embargo, para ocupar el puesto, debían realizar un curso, por valor de «60 euros más IVA», que debían pagar previamente de su bolsillo y que les sería devuelto en la primera nómina. Ni recibieron el curso, ni se incorporaron nunca al empleo prometido. Esta estafa ha sido recurrente; tanto que incluso existe en LinKedin un grupo de afectados por la misma.
