Los primeros días en un nuevo trabajo suelen ser un sin parar de reuniones, formaciones, sesiones de onboarding, etc. Mucho lío, por lo que es normal que acabes perdido entre tanta actividad. A su vez, hay ciertos “rituales” por los que pasan muchas contrataciones hoy en día: una de ellas es la publicación en redes sociales (normalmente en LinkedIn, aunque también en otras) de las últimas incorporaciones. Así es cómo muchas empresas anuncian y reciben cálidamente a un nuevo miembro en el equipo, y ahí es cuando el empleado recién incorporado atrae la atención de los estafadores.
Como norma general, en estas publicaciones de redes sociales se comparte tanto el nombre del empleado y la compañía, como el cargo; información suficiente para identificar a su nuevo director, a través de la misma red social o el sitio web corporativo. Con los nombres, ya puedes encontrar o descubrir sus direcciones de correo electrónico. En primer lugar, hay muchas herramientas de búsqueda de correos para ayudarte con esta tarea y, en segundo lugar, muchas empresas suelen utilizar el nombre o el apellido del empleado como nombre de usuario de correo electrónico, por lo que ya solo haría falta comprobar qué sistema está en uso para poder calcular la dirección. Y una vez que el ciberdelincuente se ha hecho con tu correo electrónico, es el momento de la ingeniería social.
Primera tarea: transferir dinero a los estafadores
Durante los primeros días en un nuevo trabajo el empleado todavía no está a la altura de las circunstancias, aunque intenta aparentarlo frente a sus compañeros y superiores, algo que podría hacer disminuir su vigilancia: lleva a cabo cada tarea rápidamente sin pararse a pensar de dónde viene, si suena razonable o, incluso, si se trata realmente de su empresa. Alguien quiere el trabajo hecho, y eso hará. Esto pasa sobre todo cuando la orden viene de su superior directo o, incluso, de alguno de los fundadores de la empresa.
Los estafadores explotan esta faceta para engañar a los empleados. Envían un correo electrónico supuestamente de parte del jefe o de algún superior, pero usando una dirección de fuera de la compañía, en el que solicitan al empleado que haga una tarea “de inmediato”. Evidentemente, el novato está encantado de ayudar. Esta tarea puede consistir en la transferencia de fondos a un proveedor o la compra de vales de regalo de cierta cantidad. El mensaje deja claro que la “rapidez es esencial” y que se le “devolverá el dinero al final de la jornada”, ¿cómo no? Además, los estafadores resaltan la urgencia del asunto para que el empleado no tenga tiempo de pensarlo o comprobarlo con otra persona.
El jefe tiene cierto aire de autoridad y el empleado quiere ser de utilidad. Por ello, no se detienen a buscar lógica de la solicitud o a por qué le han podido elegir a él en concreto para esta tarea. La víctima transfiere el dinero a la cuenta en específico sin dudar y avisa a su “jefe” respondiendo a la misma dirección de correo electrónico, de nuevo sin detectar que el nombre de dominio parece sospechoso.
El estafador sigue jugando a ser el jefe: solicita la documentación que confirma la transición y, después de recibirla, elogia al empleado e informa de que reenviará estos documentos al solicitante, añadiendo una sensación de legitimidad. Para terminar de conceder a esta interacción una apariencia laboral normal y corriente, los atacantes también afirman que se pondrán en contacto de nuevo si necesitan algo más del (desdichado) empleado.
No es hasta después de cierto tiempo cuando el empleado comienza a preguntarse por qué le habrán asignado esta tarea, detecta que el e-mail no es corporativo o menciona el incidente en una conversación con el jefe real. Y ahí es cuando la triste verdad sale a la luz: todo ha sido una estafa.
Circunstancias agravantes
Como cualquier otra estafa corporativa, esta estrategia se ha beneficiado del movimiento masivo que sufrieron las empresas de la oficina al teletrabajo. Incluso las pequeñas empresas han comenzado a contratar empleados de todo el mundo, lo que implica que muchos empleados no solo no conozcan a su jefe, sino que ni siquiera sepan cómo es ni cómo se expresa. Por otro lado, aunque quisieran, tampoco pueden consultar con un compañero si la tarea es o no real.
Además, si el supervisor y la mayoría del resto de empleados trabajan en países diferentes, la solicitud de una transferencia monetaria a alguien de tu región podría parecer verosímil. Las transferencias bancarias nacionales siempre son más sencillas y rápidas que las internacionales, lo que puede aportar normalidad a la estafa.
Por último, las pequeñas empresas, que parecen ser objetivos comunes, suelen contar con procedimientos financieros menos formales, sin tener que completar formularios ni directores financieros: simplemente envíalo ahora de tu dinero, te lo devolveremos en seguida. Este es otro factor que imparte legitimidad a los correos electrónicos de estafa.
Cómo pueden los empleados evitar la trampa
Lo más importante para un nuevo empleado es no perder la cabeza a la hora de intentar mostrarse al servicio de la compañía.
- Es importante comprobar minuciosamente las direcciones de los mensajes que recibes por correo electrónico o mensajero. Si no te resulta familiar, es el momento de estar alerta.
- No dudes en preguntar a tus compañeros si este tipo de solicitud es normal. Si parece raro, es mejor preguntar que lamentarse luego.
- Si recibes una solicitud inusual aparentemente desde dentro de la compañía, aclara los detalles con el remitente mediante un canal de comunicación diferente. ¿Te ha pedido tu jefe que compres vales de regalo en un correo electrónico? Compruébalo con él directamente desde un mensajero.
Cómo pueden proteger las empresas a sus empleados
Lo más importante por parte de la empresa es configurar correctamente el servidor de correo electrónico de la compañía, que puede adaptarse para que señale los correos que no procedan de direcciones corporativas. Por ejemplo, Google Workspace, herramienta popular entre las empresas, etiqueta estos mensajes como externos por defecto. Y, cuando intentas responderlos, te advierte claramente: “Cuidado con el intercambio de información sensible”. Estas notificaciones ayudan a los empleados a saber si están hablando con un compañero de la empresa o no. Además, te recomendamos:
- Impartir formaciones en materia de seguridad de la información a los empleados desde el primer día. La sesión debería introducir el concepto del phishing, en caso de que sea algo nuevo para ellos, además de aportar una serie de instrucciones sobre qué prácticas están en uso en la empresa y cuáles no.
- Crear una guía de la seguridad de la información para nuevos empleados con reglas básicas y precauciones contra las amenazas más importantes. Para ayudarte a crear, puedes echar un vistazo nuestra publicación en la que compartimos la información más revelante.
- Impartir formaciones periódicas para concienciar a tus empleados en seguridad; puedes hacerlo, por ejemplo, con una plataforma online especializada.