“Entrevistas trampa”: cuando la ciberseguridad empieza en una videollamada
Isacc Hernandez
Introducción: El peligro detrás de una videollamada amable
En la actualidad, muchas personas buscan nuevas oportunidades laborales a través de redes profesionales como LinkedIn. Es habitual recibir mensajes de reclutadores o consultoras que prometen empleos atractivos, con condiciones que parecen diseñadas a medida: buenos salarios, trabajo remoto, flexibilidad, proyección internacional.
Sin embargo, tras esta fachada profesional y seductora, se esconde una nueva modalidad de fraude poco conocida pero creciente: las entrevistas de trabajo falsas con fines de espionaje corporativo. A diferencia de los fraudes clásicos que buscan dinero directamente, este engaño tiene un propósito más sutil y peligroso: extraer información interna de empresas a través de sus propios trabajadores.
Este fenómeno afecta tanto a quienes buscan empleo como a las organizaciones que los emplean. En muchos casos, la víctima no se da cuenta de que ha sido utilizada hasta mucho tiempo después, si es que llega a saberlo. Por ello, es esencial conocer cómo operan estos ataques, a quiénes van dirigidos y qué señales permiten detectarlos a tiempo.
Desarrollo: Cómo funciona este nuevo tipo de engaño
1. Un reclutador demasiado interesado
Todo comienza con un mensaje privado. Una persona, que dice ser reclutador o headhunter, contacta con el candidato a través de LinkedIn u otra red profesional. Utiliza un lenguaje formal, muestra conocimiento del sector y menciona una empresa reconocida o muy prometedora. La oferta que propone suele ser llamativa: excelente remuneración, condiciones excepcionales, pocas entrevistas, incorporación inmediata.
Hasta este punto, todo parece legítimo.
2. Una entrevista inusualmente técnica
Durante la conversación, lo que aparenta ser una entrevista de selección empieza a tomar un giro inusual. En lugar de evaluar la experiencia general del candidato o sus competencias blandas, el entrevistador se enfoca en detalles técnicos del trabajo actual de la persona:
¿Qué sistemas utiliza su empresa?
¿Cómo están organizados los procesos internos?
¿Qué herramientas usa su equipo?
¿Qué medidas de seguridad aplican?
¿Cómo se gestiona el acceso a los datos?
Estas preguntas no son necesariamente sospechosas si se formulan dentro de un contexto real de selección. Sin embargo, en este tipo de fraude, la entrevista es un pretexto para recolectar inteligencia corporativa.
3. El candidato como “puerta de entrada” sin saberlo
Lo más preocupante es que, en muchos casos, los entrevistadores no tienen ningún interés real en contratar a la persona. Su objetivo no es el talento, sino la información que esa persona puede proporcionar sin darse cuenta.
El atacante puede utilizar estos datos para diversos fines:
Vender información a competidores.
Identificar vulnerabilidades de seguridad.
Preparar ataques dirigidos (phishing, ransomware o suplantación).
Buscar cómplices internos (lo que se conoce como insiders).
Esta estrategia aprovecha la confianza y el deseo legítimo de mejorar profesionalmente. El candidato, creyendo que está demostrando su experiencia, acaba compartiendo información sensible sin ninguna protección legal ni técnica.
Ejemplos reales y señales de alerta
Aunque este tipo de estafa puede parecer sacado de una película de espías, se han reportado casos en sectores tan variados como la tecnología, la consultoría, la banca o la industria farmacéutica. Empresas grandes y pequeñas pueden ser objetivo, especialmente si tienen activos valiosos, patentes, datos sensibles o acceso a clientes importantes.
Algunas señales que deben generar sospechas:
La oferta es excesivamente buena para ser cierta, sin haber sido solicitada.
El entrevistador evita responder preguntas específicas sobre la empresa.
Se insiste en obtener detalles sobre el trabajo actual, más que en evaluar al candidato.
No hay proceso de selección formal: sin documentos, sin contrato, sin entrevistas adicionales.
La entrevista ocurre de forma urgente, fuera del horario laboral o en plataformas poco habituales.
Conclusión: La conciencia digital como primera línea de defensa
Este tipo de amenaza nos recuerda que la ciberseguridad ya no depende solo de firewalls, antivirus o contraseñas robustas. La primera línea de defensa está en las personas y en su capacidad de detectar lo inusual.
Tanto los profesionales como las empresas deben prepararse para este nuevo escenario. Compartir información en una entrevista no debería ser motivo de preocupación, siempre y cuando el proceso sea transparente y legítimo. Pero cuando algo no cuadra, cuando la intuición nos dice que hay algo raro, conviene parar, preguntar y verificar.
La educación digital, la cultura de la precaución y la formación en habilidades críticas para reconocer este tipo de engaños son hoy más importantes que nunca.
¿Qué pueden hacer las organizaciones?
Formar a sus equipos sobre riesgos de ingeniería social.
Establecer protocolos claros sobre qué se puede o no compartir en entrevistas.
Supervisar los contactos no autorizados con empleados en redes profesionales.
Mantener canales de reporte anónimos para actividades sospechosas.
¿Y los candidatos?
Desconfiar de ofertas no solicitadas o excesivamente atractivas.
Evitar hablar de procesos internos o medidas de seguridad sin garantías legales.
Verificar la identidad de los reclutadores y de la empresa.
Pedir siempre documentación oficial del proceso de selección.
Porque en el mundo digital, igual que en el físico, no todo el que llama a la puerta viene con buenas intenciones.
Fuentes complementarias
Agencia Española de Protección de Datos (AEPD) – https://www.aepd.es
Instituto Nacional de Ciberseguridad (INCIBE) – https://www.incibe.es
Europol – Informe de Cibercrimen 2023
National Cyber Security Centre (UK) – Guía sobre amenazas internas
Interpol – Alerta sobre nuevas técnicas de ingeniería social (2023)
Subscribe to my newsletter
Read articles from Isacc Hernandez directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by