Cuando buscar trabajo te arruina
¿Quién no ha utilizado alguna vez uno de los numerosos portales de búsqueda de empleo que hay en internet? ¿Quién no ha sucumbido a abrirse una cuenta en LinkedIn “porque ahí está todo el mundo”? Los criminales lo saben y han identificado estos espacios como la perfecta puerta de entrada a la privacidad de los usuarios y usuarias. Cada vez son más frecuentes las campañas de phishing y malware en estas plataformas, habiéndose perfeccionado aplicando la Inteligencia Artificial (IA) para ello.
Ya hace tres años que el FBI advirtió del incremento de la actividad de los cibercriminales en los portales de empleo. Entonces, el modus operandi consistía en hacerse pasar por empleadores, presentando atractivas ofertas de trabajo para terminar engañando a la víctima para que proporcionara determinados datos personales. El FBI detallaba cómo los estafadores simulaban las páginas web de compañías reales e, incluso, llevaban a cabo entrevistas falsas por videoconferencia.
Desde entonces, los ciberdelincuentes han evolucionado. Ya no es necesario tomarse tantas molestias. Basta enviar algún archivo al candidato o candidata al empleo para infectar sus dispositivos con malware y robar información personal. ¿Qué información les interesa tanto si en los currículums ya se aporta mucha y son públicos? Fundamentalmente las contraseñas, sobre todo dada la tendencia –en absoluto recomendable- de reutilizarlas para autenticarse en múltiples sitios web.
Otro giro interesante en el proceder de los ciberdelincuentes es que ahora los empleadores también están en el punto de mira. El planteamiento es inverso: los estafadores simulan ser solicitantes de empleo, utilizando el envío de sus propios currículums u otros documentos de identificación como semilla de su malware en la empresa. Dada la ingente cantidad de solicitudes que reciben las empresas, camuflarse entre ellas es sencillo, especialmente cuando el destinatario es una pyme con menos medios tecnológicos de identificación de software malicioso.
Como está sucediendo en los ataques de ransomware, en los que se ataca primero a un eslabón débil de la cadena de suministro de una gran empresa para llegar a ésta, los atacantes dan rodeos hasta llegar a su víctima principal. En este sentido, aprovechan que la mayor parte de estos portales de empleo están alojados en la nube, con aplicaciones que aprovechan el modelo de software como servicio (SaaS, por su acrónimo en inglés). De esta manera, se suma un tercer actor al que atacar, un nuevo frente de entrada para explotar vulnerabilidades que, en ocasiones, llegan por errores de configuración.
El alcance de todos estos ataques es muy amplio. A veces, lo que se busca es recopilar datos personales como correos electrónicos, DNI, números de la Seguridad Social… para ejecutar ataques de mayor envergadura confeccionando documentos con una apariencia de veracidad intachable.
Dos de los grupos cibercriminales más activos en este segmento son ResumeLooters y GambleForce, que a través de código SQL infectado llegaron a infectar hasta 65 sitios web de empleo, según investigaciones de Group-IB, haciéndose con bases de datos de usuarios y usuarias con datos personales. Posteriormente, ResumeLooters subastaba esta información en canales de Telegram. En otros casos, los atacantes conseguían infectar las plataformas con scripts mostrando formularios de phishing de apariencia legítima.
La IA se ha convertido en una aliada de las plataformas de empleo, muchas de las cuales ya la emplean para tratar de detectar comportamientos anómalos de usuarios. Sin embargo, esta tecnología no es patrimonio exclusivo de los buenos, también lo es de los malos, que utilizan la IA generativa para automatizar la redacción de documentos cada vez más sofisticados, con lenguaje natural, sin errores ortográficos ni gramaticales que pasan la prueba del algodón de supervisores humanos.
La sofisticación es tal que ni siquiera LinkedIn, propiedad de Microsoft, ha escapado a estos ataques. Ya en 2020, antes del boom de la IA generativa, la firma experta ClearSky reveló la Operación Dream Job, una campaña orquestada supuestamente por Lazarus Group (también conocido como Hidden Cobra o APT37), que guardaría vínculos con el gobierno de Corea del Norte. Este grupo simuló ser un contratista de Defensa y estuvo durante meses interactuando con normalidad para permanecer bajo el radar de la red social.
La paciencia en este tipo de ataques se ha convertido en imperativo, fomentando las interacciones a través de LinkedIn durante un periodo de tiempo prolongado hasta que un buen día se salta a WhatsApp o el correo electrónico, escapando así a los filtros de la plataforma. A partir de ahí la secuencia será compartir algún tipo de archivo a través de servicios de almacenamiento online y la infección estará servida. Y entonces, el supuesto empleador se borrará literalmente del mapa.
(Artículo en Público)
Sin comentarios