Ciberdelincuentes se hacen pasar por reclutadores para engañar a desarrolladores y robar sus datos

Los ciberdelincuentes han encontrado una nueva forma de atacar a los profesionales del software; y es que ahora se hacen pasar por reclutadores en procesos de selección. En los últimos meses, expertos en ciberseguridad han detectado un aumento de estafas dirigidas específicamente a programadores, donde los atacantes se hacen pasar por empresas tecnológicas legítimas y utilizan las pruebas técnicas de las entrevistas como vehículo para instalar malware en los equipos de las víctimas.

Esta modalidad aprovecha un punto débil del sector tecnológico: la rutina de las entrevistas laborales. Los programadores suelen recibir tareas de evaluación que implican ejecutar o revisar código, lo que facilita que los delincuentes introduzcan archivos maliciosos sin levantar sospechas. La estafa se camufla entre prácticas habituales de selección, lo que la hace especialmente peligrosa incluso para expertos con años de experiencia.

El caso más reciente fue relatado por un desarrollador independiente que estuvo a segundos de comprometer su computadora al ejecutar un código recibido como parte de una supuesta prueba técnica.

El contacto se originó a través de LinkedIn, desde un perfil que aparentaba pertenecer a una startup de desarrollo de software. La empresa ficticia contaba con publicaciones, empleados y actividad real, lo que reforzaba su credibilidad. El candidato recibió la prueba antes de la entrevista, algo que en apariencia parecía normal.

Al revisar el archivo, el programador no detectó nada extraño en un primer momento. Sin embargo, antes de ejecutarlo, decidió analizarlo con ayuda de un asistente de inteligencia artificial. Fue entonces cuando descubrió que, entre líneas de código aparentemente legítimas, se ocultaba un fragmento malicioso diseñado para ejecutarse con privilegios de administrador. De haberlo corrido, el malware habría obtenido acceso completo a contraseñas, archivos personales, sistemas de desarrollo y hasta monederos de criptomonedas.

Los expertos de la firma Unit 42, especializada en ciberseguridad, explican que este tipo de ataques tiene un valor añadido, los equipos de los desarrolladores suelen contener información sensible de terceros, como datos de proyectos, credenciales de acceso o bases de código privadas. Esto convierte a los programadores en objetivos de alto interés económico. Según su análisis, algunos de estos ataques incluyen puertas traseras en lenguajes como Python, lo que permite a los atacantes mantener acceso remoto sin ser detectados.

De acuerdo con un informe reciente de Telefónica Tech, el objetivo de estas campañas no es robar datos personales comunes, sino infiltrarse en entornos corporativos y obtener información de alto valor. Las operaciones están estructuradas con precisión y se basan en principios de ingeniería social: generar confianza, imponer presión de tiempo y crear un entorno de aparente normalidad. En muchos casos, los delincuentes utilizan nombres de empresas reconocidas, perfiles falsos de reclutadores y mensajes bien redactados para evitar sospechas.

Una de las tácticas más efectivas ha sido el uso de ofertas laborales publicadas en portales legítimos o replicadas en redes profesionales. Cuando el candidato muestra interés, los atacantes envían un correo o mensaje con el supuesto material técnico para la prueba. En realidad, el archivo contiene código que, al ejecutarse, da acceso remoto al dispositivo o instala programas de espionaje.

Las compañías de seguridad informática coinciden en que este tipo de amenazas ha crecido desde 2022 y se ha vuelto más sofisticado con la incorporación de técnicas de persistencia avanzada. Algunos códigos maliciosos son capaces de modificar configuraciones del sistema y permanecer activos incluso después de reiniciar la computadora.

Los especialistas recomiendan adoptar medidas preventivas, como no ejecutar archivos de procedencia desconocida, revisar el código recibido durante un proceso de selección y utilizar entornos virtuales o máquinas aisladas para pruebas. También aconsejan verificar la autenticidad de las ofertas, revisar los dominios de correo electrónico y desconfiar de aquellas que soliciten ejecutar código fuera de plataformas seguras.