{"id":26101,"date":"2023-03-19T11:09:58","date_gmt":"2023-03-19T17:09:58","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26101"},"modified":"2023-03-19T11:09:58","modified_gmt":"2023-03-19T17:09:58","slug":"new-employee-scam","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/new-employee-scam\/26101\/","title":{"rendered":"As\u00ed estafan a los nuevos empleados"},"content":{"rendered":"

Los primeros d\u00edas en un nuevo trabajo suelen ser un sin parar de reuniones, formaciones, sesiones de onboarding<\/em>, etc. Mucho l\u00edo, por lo que es normal que acabes perdido entre tanta actividad. A su vez, hay ciertos \u201crituales\u201d por los que pasan muchas contrataciones hoy en d\u00eda: una de ellas es la publicaci\u00f3n en redes sociales (normalmente en LinkedIn, aunque tambi\u00e9n en otras) de las \u00faltimas incorporaciones. As\u00ed es c\u00f3mo muchas empresas anuncian y reciben c\u00e1lidamente a un nuevo miembro en el equipo, y ah\u00ed es cuando el empleado reci\u00e9n incorporado atrae la atenci\u00f3n de los estafadores.<\/p>\n

Como norma general, en estas publicaciones de redes sociales se comparte tanto el nombre del empleado y la compa\u00f1\u00eda, como el cargo; informaci\u00f3n suficiente para identificar a su nuevo director, a trav\u00e9s de la misma red social o el sitio web corporativo. Con los nombres, ya puedes encontrar o descubrir sus direcciones de correo electr\u00f3nico. En primer lugar, hay muchas herramientas de b\u00fasqueda de correos para ayudarte con esta tarea y, en segundo lugar, muchas empresas suelen utilizar el nombre o el apellido del empleado como nombre de usuario de correo electr\u00f3nico, por lo que ya solo har\u00eda falta comprobar qu\u00e9 sistema est\u00e1 en uso para poder calcular la direcci\u00f3n. Y una vez que el ciberdelincuente se ha hecho con tu correo electr\u00f3nico, es el momento de la ingenier\u00eda social<\/a>.<\/p>\n

Primera tarea: transferir dinero a los estafadores<\/h2>\n

Durante los primeros d\u00edas en un nuevo trabajo el empleado todav\u00eda no est\u00e1 a la altura de las circunstancias, aunque intenta aparentarlo frente a sus compa\u00f1eros y superiores, algo que podr\u00eda hacer disminuir su vigilancia: lleva a cabo cada tarea r\u00e1pidamente sin pararse a pensar de d\u00f3nde viene, si suena razonable o, incluso, si se trata realmente de su empresa. Alguien quiere el trabajo hecho, y eso har\u00e1. Esto pasa sobre todo cuando la orden viene de su superior directo o, incluso, de alguno de los fundadores de la empresa<\/a>.<\/p>\n

Los estafadores explotan esta faceta para enga\u00f1ar a los empleados. Env\u00edan un correo electr\u00f3nico supuestamente de parte del jefe o de alg\u00fan superior, pero usando una direcci\u00f3n de fuera de la compa\u00f1\u00eda, en el que solicitan al empleado que haga una tarea \u201cde inmediato\u201d. Evidentemente, el novato est\u00e1 encantado de ayudar. Esta tarea puede consistir en la transferencia de fondos a un proveedor o la compra de vales de regalo de cierta cantidad. El mensaje deja claro que la \u201crapidez es esencial\u201d y que se le \u201cdevolver\u00e1 el dinero al final de la jornada\u201d, \u00bfc\u00f3mo no? Adem\u00e1s, los estafadores resaltan la urgencia del asunto para que el empleado no tenga tiempo de pensarlo o comprobarlo con otra persona.<\/p>\n

El jefe tiene cierto aire de autoridad y el empleado quiere ser de utilidad. Por ello, no se detienen a buscar l\u00f3gica de la solicitud o a por qu\u00e9 le han podido elegir a \u00e9l en concreto para esta tarea. La v\u00edctima transfiere el dinero a la cuenta en espec\u00edfico sin dudar y avisa a su \u201cjefe\u201d respondiendo a la misma direcci\u00f3n de correo electr\u00f3nico, de nuevo sin detectar que el nombre de dominio parece sospechoso.<\/p>\n

El estafador sigue jugando a ser el jefe: solicita la documentaci\u00f3n que confirma la transici\u00f3n y, despu\u00e9s de recibirla, elogia al empleado e informa de que reenviar\u00e1 estos documentos al solicitante, a\u00f1adiendo una sensaci\u00f3n de legitimidad. Para terminar de conceder a esta interacci\u00f3n una apariencia laboral normal y corriente, los atacantes tambi\u00e9n afirman que se pondr\u00e1n en contacto de nuevo si necesitan algo m\u00e1s del (desdichado) empleado.<\/p>\n

No es hasta despu\u00e9s de cierto tiempo cuando el empleado comienza a preguntarse por qu\u00e9 le habr\u00e1n asignado esta tarea, detecta que el e-mail no es corporativo o menciona el incidente en una conversaci\u00f3n con el jefe real. Y ah\u00ed es cuando la triste verdad sale a la luz: todo ha sido una estafa.<\/p>\n

Circunstancias agravantes<\/h2>\n

Como cualquier otra estafa corporativa<\/a>, esta estrategia se ha beneficiado del movimiento masivo que sufrieron las empresas de la oficina al teletrabajo. Incluso las peque\u00f1as empresas han comenzado a contratar empleados de todo el mundo, lo que implica que muchos empleados no solo no conozcan a su jefe, sino que ni siquiera sepan c\u00f3mo es ni c\u00f3mo se expresa. Por otro lado, aunque quisieran, tampoco pueden consultar con un compa\u00f1ero si la tarea es o no real.<\/p>\n

Adem\u00e1s, si el supervisor y la mayor\u00eda del resto de empleados trabajan en pa\u00edses diferentes, la solicitud de una transferencia monetaria a alguien de tu regi\u00f3n podr\u00eda parecer veros\u00edmil. Las transferencias bancarias nacionales siempre son m\u00e1s sencillas y r\u00e1pidas que las internacionales, lo que puede aportar normalidad a la estafa.<\/p>\n

Por \u00faltimo, las peque\u00f1as empresas, que parecen ser objetivos comunes, suelen contar con procedimientos financieros menos formales, sin tener que completar formularios ni directores financieros: simplemente env\u00edalo ahora de tu dinero, te lo devolveremos en seguida. Este es otro factor que imparte legitimidad a los correos electr\u00f3nicos de estafa.<\/p>\n

C\u00f3mo pueden los empleados evitar la trampa<\/h2>\n

Lo m\u00e1s importante para un nuevo empleado es no perder la cabeza a la hora de intentar mostrarse al servicio de la compa\u00f1\u00eda.<\/p>\n