La nueva tecnología, además de la tendencia del trabajo remoto pandémico, está ayudando a los estafadores a usar la identidad de otra persona para conseguir un trabajo, según Protocol
Antes de COVID-19, las entrevistas de trabajo se realizaban en persona y los nuevos empleados trabajaban en la oficina, en su mayor parte.
Pero con el trabajo remoto vino un aumento en la contratación a distancia, desde la solicitud de empleo hasta la incorporación y todo lo demás. Muchos empleados nunca han estado en la misma habitación que sus empleadores y compañeros de trabajo, y eso ha abierto la puerta a un aumento de empleados impostores.
El FBI está preocupado; tú también deberías estarlo.
Mentiras, espías y video deepfake
Las empresas se han quejado cada vez más ante el FBI acerca de los posibles empleados que utilizan videos y audios falsos en tiempo real para entrevistas remotas, junto con información de identificación personal (PI), para conseguir empleos en importantes multinacionales.
Un lugar donde probablemente obtengan la PII es mediante la publicación de ofertas de trabajo falsas, lo que les permite recopilar información de candidatos, currículums y más, según el FBI.
Deepfake suena avanzado. Pero los candidatos a trabajos turbios no necesitan hardware o software exótico o costoso para hacerse pasar por alguien en una videollamada en vivo, solo una foto de la persona falsa. Los productos de consumo como la cámara Xpression permiten a los estafadores cargar la imagen de alguien y usar su rostro durante una entrevista en video en vivo.
El FBI señala que tales videollamadas falsas a menudo fallan, ya que “las acciones y el movimiento de los labios de la persona que se ve entrevistada en la cámara no se coordinan completamente con el audio de la persona que habla”.
En otras palabras, a los solicitantes de empleo deshonestos les gustaría aprovechar la tecnología deepfake para la contratación remota, pero la tecnología aún no está allí. Pero pronto la tecnología será tan buena que el audio y el video falsos se verán como los reales.
Y no se trata solo de videos falsos profundos: puede clonar la voz de alguien con solo una breve muestra de audio y una herramienta disponible públicamente en GitHub. Es poco probable que un ciberdelincuente consiga un trabajo usando un clon de audio falso, pero los atacantes pueden (y lo hacen) usar voces humanas clonadas para ataques de phishing en el lugar de trabajo.
Que quieren los impostores
Los principales impulsores parecen ser el dinero, el espionaje, el acceso a los sistemas de la empresa y el avance profesional no ganado.
Muchas de las ofertas de trabajo buscadas por estos impostores incluyen “tecnología de la información y programación de computadoras, bases de datos y funciones de trabajo relacionadas con el software. En particular, algunos puestos informados incluyen acceso a PII de clientes, datos financieros, bases de datos de TI corporativas y/o información patentada”, según una alerta publicada el 28 de junio por el Centro de Quejas de Delitos en Internet del FBI. Los trabajos perfectos para espías.
El problema de los empleados impostores existe en una escala que va desde la exageración de la experiencia hasta la mentira sobre las credenciales y los detalles personales, la falsificación de la experiencia y la afirmación de ser una persona completamente diferente. Y cada faceta está creciendo en escala.
El informe “El futuro de la evaluación de candidatos” de Glider AI encontró que lo que ellos llaman “fraude de candidatos” casi se ha duplicado, un aumento del 92%, desde antes de la pandemia.
Además de los fraudes de empleados impostores ya denunciados, es fácil imaginar otras estafas que aprovechan las nuevas tecnologías y el trabajo remoto.
Los atacantes cibernéticos maliciosos podrían ser contratados con credenciales robadas para obtener acceso no autorizado a datos o sistemas confidenciales dentro de las empresas. Un hacker habilidoso en realidad puede tener las habilidades de TI para conseguir el trabajo, y hacerlo puede resultar un acto de ingeniería social relativamente fácil.
La conclusión es que nuestros viejos hábitos para verificar a los empleados, es decir, interactuar con ellos y reconocer quiénes son, son cada vez menos confiables frente al trabajo remoto y la nueva tecnología que permite a las personas falsificar su apariencia, voz e identidad.
Cómo evitar contratar impostores
El trabajo remoto llegó para quedarse. Y es hora de revisar y renovar la contratación. Estos son algunos consejos a tener en cuenta a la hora de contratar.
- Incluya una verificación de identidad real antes de contratar y asegúrese de que la identidad coincida con la verificación de antecedentes. (No asuma que su proveedor de antecedentes está verificando la identidad).
- Solicitar una licencia de conducir o un pasaporte puede dar lugar a una demanda por discriminación si el candidato no es contratado; pueden alegar discriminación por edad, salud o país de nacimiento. Solicite esta información solo después de estar seguro de que contratará.
- Conozca la ley en el estado en el que se encuentra para averiguar qué está permitido en términos de recopilación de datos biométricos.
- Si está realizando verificaciones de antecedentes y verificación de identidad en contrataciones remotas, haga lo mismo con las contrataciones en la oficina para evitar la discriminación.
- Considere abandonar la contratación totalmente remota en favor de entrevistas en persona, incluso para el personal remoto. Y traiga personal remoto para la creación de equipos internos trimestral o anualmente.
- Confíe más en la evaluación de habilidades y las pruebas para puestos técnicos en lugar de afirmaciones de experiencia, certificaciones y educación basadas en currículums. Verifique las identidades en el momento de la prueba y haga un seguimiento de los resultados de la prueba con una entrevista posterior a la prueba. Es probable que los impostores busquen empleo en otro lugar si tienen que demostrar sus calificaciones.
- Tenga mucho cuidado con la contratación de personal de TI y otras personas que obtendrán acceso a sistemas de correo electrónico, contraseñas, secretos comerciales, sistemas de seguridad física y otros objetivos jugosos para ataques cibernéticos. Realice comprobaciones exhaustivas de antecedentes y antecedentes penales y verifique la identidad durante todo el proceso de contratación e incorporación.
- Adopte la detección de fraudes de IA para evaluar currículos y candidatos laborales. La detección de fraude se ha utilizado durante años en la banca, los seguros y otros campos, y poco a poco se está aplicando a la contratación.
El nuevo mundo del trabajo remoto requiere un nuevo enfoque para la contratación. Es hora de repensar sus prácticas de recursos humanos para asegurarse de que las personas que está contratando y empleando sean quienes dicen ser, y no impostores.
