Incode invests in privacy-first architecture and acquires Identiq.
Acomenzar

Construyendo un canal de contratación resiliente: Mejores prácticas para la seguridad

Incode

September 11, 2025

Construyendo un canal de contratación resiliente: Mejores prácticas para la seguridad

Hoy en día, el proceso de reclutamiento se ha convertido en un vector de ataque crítico para el fraude de identidad.

En nuestras entradas de blog anteriores, La nueva superficie de amenaza: cómo la contratación se convirtió en un vector de ataque y Anatomía de un intento moderno de fraude de un candidato, exploramos ejemplos de la vida real de fraude de candidatos y desglosamos las tácticas comunes utilizadas para engañar a los equipos de contratación, mostrando cómo los esquemas fraudulentos a menudo siguen un patrón repetible y reconocible.

Bots impulsados por IA, identificaciones sintéticas y deepfakes se implementan cada vez más para explotar vulnerabilidades en la contratación de flujos de trabajo que nunca fueron diseñados con la seguridad como primera prioridad. En el blog de hoy, detallamos las mejores prácticas para crear una canalización de contratación resiliente para que su organización pueda mantenerse a la vanguardia de las amenazas en evolución.

Por qué los flujos de trabajo de contratación tradicionales no pueden detectar el fraude de los candidatos

Reconocer cómo y por qué estos esquemas de fraude de candidatos eluden las salvaguardas tradicionales es el primer paso esencial para construir defensas más sólidas.

1. Las verificaciones de antecedentes llegan demasiado tarde y confían en los datos proporcionados por los candidatos.

Muchos empleadores confían en las evaluaciones de antecedentes (verificaciones penales, verificación de empleo, etc.) como red de seguridad. Pero como observa Gartner, “Las verificaciones de empleo tradicionales y las verificaciones de antecedentes están mal equipadas para descubrir el fraude en el proceso de reclutamiento, ya que ocurren en etapas posteriores de la contratación y se basan en datos de identidad proporcionados por los candidatos”.

En otras palabras, si un solicitante ha construido toda su identidad a partir de información fraudulenta o robada, una verificación de antecedentes simplemente confirmará esos datos falsos (o en el mejor de los casos, no marcar nada malo). Estas comprobaciones pueden detectar un título falso o antecedentes penales, pero no te dirán si la persona detrás del currículum no es real. En el momento en que se ejecutan dichas comprobaciones (a menudo después de una oferta condicional), el impostor ya está profundamente metido en el proceso.

2. Reanudar la evaluación y las entrevistas se centran en las habilidades, no en la identidad.

Los embudos de contratación tradicionales enfatizan la evaluación de la experiencia, las habilidades y el ajuste cultural de un candidato. Los reclutadores y gerentes de contratación son expertos en evaluar currículums y realizar entrevistas, pero no están capacitados para autenticar identidades o detectar engaños sofisticados. Si un candidato puede discutir proyectos de manera inteligente y responder preguntas técnicas (tal vez con alguien que le da respuestas o usando la asistencia de IA), los entrevistadores pueden tener pocas razones para sospechar fraude.

Las entrevistas técnicas pueden ser jugadas por proxies, por ejemplo, un candidato que se hace pasar por el candidato (un escenario que las herramientas existentes hoy en día rara vez verifican). Especialmente en la contratación remota, un entrevistador podría nunca conocer a la persona en la vida real hasta después de ser contratada. Un ejemplo sorprendente se documentó en una empresa donde un candidato se hizo con las entrevistas en video y fue contratado, pero un individuo completamente diferente se presentó el primer día en su lugar. HR y Legal solo se dieron cuenta porque la aparición en persona era tan claramente un desajuste; si el trabajo hubiera sido completamente remoto, el intercambio podría haber pasado desapercibido por más tiempo.

3. Falta de verificación en tiempo real durante las entrevistas virtuales.

La mayoría de las plataformas de videoconferencia utilizadas para las entrevistas no tienen verificación de identidad incorporada. Por lo general, los reclutadores no piden a los candidatos a mitad de la entrevista que muestren identificación o prueben la vida (y hacerlo podría ser incómodo sin las herramientas y políticas adecuadas). Esto significa que un video deepfake o una entrevista telefónica solo de audio con una falsificación de voz pueden navegar, especialmente si el entrevistador no está al tanto de qué estar atento.

El “factor humano” es un eslabón débil: los equipos de contratación pueden dudar de sus instintos si algo se siente “mal”, porque es tan novedoso sospechar un deepfake. Como señaló un CISO después de encontrarse con un entrevistado sospechoso, no había defensas ni protocolos establecidos — “las defensas aún se están escribiendo” para este escenario.

4. Funciones en silos y apresuramiento a contratar.

A menudo, los equipos de seguridad no están involucrados en el proceso de contratación; se ve como dominio de recursos humanos. HR, por su parte, puede asumir que las verificaciones estándar (referencias, pantalla de fondo) captarán cualquier problema. Este silo significa que nadie está mirando activamente la tubería de contratación a través de una lente de seguridad. Los atacantes cuentan con esto.

Cuando un gerente de contratación necesita ocupar urgentemente un puesto, puede pasar por alto pequeñas inconsistencias (por ejemplo, el retraso de video de un candidato) en el interés de seguir adelante. Los flujos de trabajo tradicionales priorizan la velocidad y la experiencia del candidato, no la verificación. Adicionalmente, los procesos de contratación remota instituidos durante COVID permitieron verificaciones virtuales de documentos y laxa verificación de que algunas empresas han continuado, creando una apertura para el fraude.

Los formularios I-9 y la autorización de trabajo a menudo se manejan en o después del primer día de trabajo; para ese punto, la “contratación” ya está en el edificio (literal o figurativamente). Si esa persona no es quien reclamó, la empresa se entera demasiado tarde.

En resumen, las prácticas de contratación heredadas operan bajo un supuesto de confianza que ya no se mantiene. Asumen que la persona que solicita es quien dicen ser. Asumen que los documentos aportados son genuinos. Asumen que si alguien pasa una entrevista, ellos mismos hicieron el trabajo. Cada una de esas suposiciones ha sido cambiada por las técnicas modernas de fraude. Los CHRO y los CISO deben reconocer que sin nuevos controles, el proceso de contratación es la parte inferior suave de la seguridad empresarial

Riesgo Organizacional: Cumplimiento de Normas, Amenaza Insider y Daño a la Marca

Una suplantación exitosa de un candidato o una contratación profundamente falsa no solo trae a un “mal empleado”, sino que introduce riesgos organizacionales serios en múltiples dimensiones:

Cumplimiento de normas y exposición legal

Contratar a alguien bajo falsos pretextos puede poner a una empresa en violación de leyes y reglamentos. En el caso extremo de los agentes sancionados del Estado-nación, las empresas han violado sin saberlo las leyes de sanciones de Estados Unidos, haciendo negocios efectivamente con una entidad prohibidalo que puede dar lugar a fuertes multas y acciones legales.

Los esquemas de trabajadores de TI de Corea del Norte tienen como objetivo explícitamente evadir las sanciones internacionales y canalizar fondos a un régimen hostil. Los reguladores están tomando nota; por ejemplo, los reguladores de la industria financiera han advertido a los bancos sobre esta amenaza, y el Tesoro de Estados Unidos ha publicado avisos con banderas rojas para identidades falsas en la contratación.

Incluso más allá de las sanciones, está el tema de la autorización de trabajo (por ejemplo, el Formulario I-9 en Estados Unidos). Si un empleado utilizara documentos falsos, la empresa podría enfrentar sanciones por una verificación inadecuada de elegibilidad de empleo. También entran en juego marcos de cumplimiento como SOC 2 e ISO 27001, ambos enfatizan los controles en torno a la seguridad del personal. Para SOC 2, las organizaciones deben vetar y autorizar al personal que tenga acceso a sistemas y datos. Si alguien se escapa a través de esa verificación con una identidad falsa, socava esos controles y podría poner en peligro las auditorías de cumplimiento.

En sectores altamente regulados (finanzas, salud, defensa), un impostor podría significar violaciones regulatorias (imagínese a una persona sin licencia contratada en atención médica, o un ciudadano extranjero que accede a tecnología controlada por exportaciones). En resumen, no detectar candidatos fraudulentos puede dar lugar a responsabilidad legal, sanciones regulatorias o pérdida de certificaciones—una pesadilla de CISO y CHRO.

Amenaza interna y violación de seguridad

Desde el punto de vista de la seguridad, una contratación fraudulenta es efectivamente la última amenaza interna. Ha otorgado a un atacante un ID de empleado legítimo, una dirección de correo electrónico y credenciales de red. Potencialmente pueden eludir muchos controles de seguridad simplemente por estar “en el interior”.

Como lo expresó el equipo de inteligencia cibernética de Google, la habilidad técnica de estos individuos combinada con sus tácticas de evasión los hace “particularmente peligrosos”, especialmente para los equipos de recursos humanos y reclutamiento que no están equipados para detectar amenazas durante la contratación. Una vez dentro, pueden elevar los privilegios, instalar malware o desguazar datos, todo bajo la apariencia de un empleado o contratista. Ya hemos visto casos de robo de datos y extorsión: las contrataciones norcoreanas han intentado robar datos confidenciales de los empleadores y luego han amenazado con filtrarlos a menos que se pague un rescate.

En otros escenarios, un impostor podría insertar código defectuoso o puertas traseras en el software (piense en un desarrollador con intención maliciosa). Un CISO de una empresa de seguridad señaló que si un mal actor es contratado en un proveedor de software e inyecta malware en el producto, la compañía se convierte en un “súper propagador” de ese malware para sus clientes. Este es un escenario de pesadilla: un ataque a la cadena de suministro a través de un empleado falso. Incluso si el objetivo del defraudador es solo cobrar un cheque de pago, su incompetencia o atención dividida (si hace malabares con múltiples trabajos) puede introducir lapsos o errores de seguridad. El riesgo interno es multifacético: violaciones de datos, fraude financiero, sabotaje o simplemente un miembro de la fuerza laboral poco confiable con acceso a sistemas críticos.

Daños a la marca y a la confianza

Más allá de los impactos legales y de seguridad inmediatos, hay un costo reputacional. Si se hace público que su organización fue infiltrada por un candidato falso o un agente patrocinado por el estado, el daño a la marca es significativo. Los clientes y asociados de negocios pueden perder la confianza, cuestionando su madurez de seguridad (“si ni siquiera puede interrogar a su personal, ¿cómo podemos confiarle nuestros datos?”).

Internamente, puede destrozar la moral y la confianza en el liderazgo. Las juntas directivas y los ejecutivos podrían enfrentar preguntas difíciles sobre la supervisión y la debida diligencia. En algunos casos, las empresas han tenido que revelar incidentes en las presentaciones financieras o ante los reguladores, dibujando atención mediática no deseada. Considere también la confianza dentro del equipo: otros empleados pueden sentirse inestables sabiendo que un colega era un impostor, o enojados si el bajo desempeño de esa persona causó fallas en el proyecto. La credibilidad de la organización contratante recibe un golpe tanto externa como internamente.

Abordar proactivamente este riesgo puede, a la inversa, generar confianza en la marca, lo que demuestra que su empresa toma en serio las amenazas innovadoras y protege a su gente y clientes. Los CHRO también tienen un interés aquí: los recursos humanos a menudo son el administrador de la cultura de la empresa y la experiencia de los empleados. Un importante incidente de fraude en la contratación es profundamente perturbador para ambos.

En esencia, el costo de una sola contratación fraudulenta puede exceder con creces los costos típicos de una mala contratación. No es solo un error de contratación; es un posible incidente de seguridad, una falla de cumplimiento y un fiasco de relaciones públicas envuelto en uno solo. Es por eso que las organizaciones con visión de futuro están tratando la seguridad de contratación como parte de sus programas de administración de riesgos empresariales y amenazas de información interna, lo que reduce la brecha entre las prioridades de recursos humanos e InfoSec.

Construyendo un canal de contratación resiliente: Mejores prácticas para la seguridad y la confianza

Mitigar estos riesgos emergentes requiere repensar y fortalecer el proceso de contratación de extremo a extremo. El objetivo es construir una línea de contratación resiliente, uno que pueda sin problemas verificar las identidades de los candidatos, detectar fraudes y disuadir a los actores malintencionados, todo ello mientras se mantiene una buena experiencia y cumplimiento de normas de los candidatos. A continuación, se presentan las mejores prácticas y estrategias que los CHRO y los CISO deben considerar conjuntamente:

1. Introducir pasos de verificación de identidad en la contratación

No confíes en la confianza hasta el primer día. En puntos estratégicos del embudo de contratación, incorporar un punto de control de verificación de identidad (IDV) para confirmar la identidad real del candidato. Esto podría ser temprano: por ejemplo, antes de una entrevista formal, pedirle al candidato que verifique su identificación gubernamental y una selfie a través de un portal seguro.

Gartner recomienda implementar la verificación de ID “al principio del proceso de reclutamiento” para detectar a los imitadores antes de que se invierta demasiado tiempo. Algunas organizaciones optan por hacerlo en la etapa de entrevista por video o junto con evaluaciones de habilidades para puestos de alta seguridad.

La clave es asegurarse de que la persona que cribas es la persona que eventualmente contratas, evitando lo clásico “cebo y interruptor” donde alguien más aparece más tarde. Al verificar la identificación con foto de un candidato y combinarla con una selfie en vivo o un video en vivo, puede detener un deepfake o un suplente antes de que lleguen a las rondas finales. Esto también disuadirá el fraude: a los candidatos honestos no les importará un paso de verificación adicional cuando se enmarquen como una política de seguridad estándar, mientras que los estafadores probablemente lo abandonarán.

2. Fortalecer las verificaciones de antecedentes digitales y la credencialización

Vaya más allá de la tradicional verificación de antecedentes. Aproveche las herramientas mejoradas para verificar los detalles que proporcionan los candidatos. Por ejemplo, utilice búsquedas automatizadas de registros públicos o bases de datos de registros profesionales para confirmar que los empleadores o universidades anteriores en un currículum realmente existen y que el candidato estaba asociado con ellos. Validar cualquier licencia o certificación profesional directamente con los organismos emisores. Realizar un escaneo rápido de inteligencia de código abierto: ¿el nombre, la foto y el historial laboral de la persona tienen una presencia consistente en línea (de una manera no fabricada)?

Los equipos de recursos humanos deben tratar los currículums sospechosos con sano escepticismo, por ejemplo, múltiples solapamientos o empresas no verificables podrían indicar un perfil fraudulento. También es aconsejable realizar una selección de sanciones y listas de vigilancia sobre candidatos en roles delicados o del extranjero, para atrapar a cualquier mal actor conocido (muchos servicios de verificación de antecedentes o plataformas de identidad pueden marcar automáticamente si una identidad aparece en las listas de vigilancia del gobierno). Esencialmente, combine el poder de los datos con la verificación de antecedentes, verificando no solo “¿esta persona tiene antecedentes penales?” pero “¿esta identidad tiene sentido y coincide con una persona real y consistente?”.

Una capa de verificación de candidatos puede detectar silenciosamente los CV mediante referencias cruzadas de datos públicos, registros y presencia en línea para detectar inconsistencias, fraudes o indicadores de riesgo antes de que se realice cualquier contacto.

3. Usar la confirmación en persona o en vivo para las etapas clave

Si bien no siempre es factible, tener alguna forma de interacción en vivo que sea difícil de fingir es invaluable. Requerir una videollamada corta “con cámara” para los finalistas garantiza que interactúes con una persona física y no con un video profundamente falso curado. Agregue una puerta previa a la unión: muchas plataformas de verificación de identidad ahora se integran con Zoom, Teams y Meet; una autofoto de 3 segundos + se ejecuta en el lobby (o inmediatamente antes de que comience el cifrado) para que solo el candidato ya verificado pueda ingresar a la reunión.

Capacite a los entrevistadores para que incluyan un poco de conversación sin guión, un mensaje con el que una falsificación profunda tendría dificultades debido a la falta de espontaneidad genuina. Un equipo expuso a un candidato falso simplemente preguntando: “¿Puedes decirme sobre esa foto en tu pared?”

4. Asegure el proceso de incorporación

Una cartera de contratación resiliente se extiende hasta el Día 1 y más allá. Coordine con TI para que el aprovisionamiento de dispositivos, la creación de cuentas y la inscripción de IAM estén vinculados a la misma identidad que verificó durante la contratación.

En la recogida de computadoras portátiles, o para contrataciones remotas, durante el inicio de un video del día 1repetir una coincidencia rápida de Selfie/ID, integrado principalmente en los flujos de trabajo de su proveedor de identidad; esto vincula a la persona que recibe el hardware o las credenciales con el registro examinado. Enviar dispositivos solo a direcciones verificadas, o requerir que los recojan en persona en un sitio de confianza; Los cambios repentinos de dirección son una bandera roja.

Integrar los procesos de verificación de identidad en el IAM corporativo (Okta, Microsoft Entra, Ping, etc.) para que la nueva cuenta herede un factor biométrico o basado en el riesgo desde el inicio. El acceso condicional puede retrasar todos los derechos de red hasta que se confirme el primer inicio de sesión. Al convertir la garantía de identidad en la incorporación y el control de acceso, se asegura de que incluso si alguien se escapa a las entrevistas, aún debe demostrar que es el individuo examinado cuando realmente comienza el trabajo, y cada vez que solicite un restablecimiento de MFA o contraseña, un token VPN u otra acción confidencial.

5. Capacitación y Conciencia Interfuncionales

La defensa contra el fraude en la contratación no es puramente técnica, sino también la vigilancia humana. Brindar capacitación para reclutadores y gerentes de contratación sobre las banderas rojas comunes de deepfakes y fraude de identidad. Enseñe al personal de recursos humanos cómo podría ser una falla falsa profunda (por ejemplo, parpadeo extraño, retraso de voz) y anímelos a hacer una pausa y escalar si algo parece mal.

Fomentar una cultura en la que los recursos humanos puedan comunicarse con InfoSec para obtener una segunda opinión sobre casos sospechosos sin estigma. De igual manera, los equipos de seguridad deben actualizar sus modelos de amenazas de origen interno para incluir escenarios de contrataciones fraudulentas. Organizaciones como Google sugieren que la gestión de riesgos internos debe cubrir explícitamente los riesgos de contratación, con políticas claras y apoyo ejecutivo. Un enfoque multifuncional es crucial: Gartner enfatiza que el reclutamiento por sí solo no puede combatir esto: requiere TI, IAM, seguridad y colaboración legal. Por ejemplo, involucrar temprano al equipo legal para diseñar verificaciones de identidad que cumplan con las leyes de privacidad y eviten la discriminación.

Involucre a sus oficiales de cumplimiento para mapear cualquier nuevo proceso de verificación a las regulaciones relevantes (como asegurarse de que los datos de identidad de los candidatos se manejen según GDPR/CCPA). Cuando los CHRO y los CISO proclaman conjuntamente estos esfuerzos, envía el mensaje de que la seguridad en la contratación es una prioridad para toda la empresa, no una carga.

Al implementar las mejores prácticas anteriores, las organizaciones pueden crear múltiples puntos de control que funcionan en conjunto para frustrar el fraude de candidatos. La idea no es hacer de la contratación una carrera de obstáculos para los candidatos genuinos, sino agregar inteligentemente verificaciones de confianza con las que solo los malos actores tendrán dificultades. Cuando se diseñan bien, estas medidas también protegen la experiencia del candidato, asegurando que los solicitantes honestos no pierdan frente a los tramposos y que su lugar de trabajo siga siendo seguro y basado en el mérito.

Más información sobre Incode Candidate Verification.

Incode fue nombrado Líder en el Cuadrante Mágico de Gartner® 2025™ para la Verificación de Identidad. Descargar el informe.

Este es un extracto de nuestro libro electrónico, “Asegurando el proceso de contratación contra los Deepfakes y el Fraude de Identidad”, de Fernanda Sottil, Jefa de Fuerza Laboral de Incode. Descargue su copia gratuita de nuestro libro electrónico, “Asegurar el proceso de contratación contra las Deepfakes y el Fraude de Identidad”, para explorar:

  • La nueva superficie de amenaza: cómo la contratación se convirtió en un vector de ataque
  • La anatomía de un intento moderno de fraude de candidatos
  • Por qué los procesos de contratación tradicionales son susceptibles de fraude
  • Los riesgos que enfrentan las organizaciones en el panorama del talento actual
  • Mejores prácticas para crear una canalización de contratación resiliente
  • Criterios clave para evaluar una solución de verificación de candidatos
  • Por qué las empresas líderes confían en Incode para el aseguramiento de la identidad
Incode
Incode is a global leader in AI-driven identity and trust, with a mission to power a world of trust at the speed of AI. The platform verifies identity and age, stops fraud, and turns verification into business enablement.
Linkedin
Chapters
Abstract Incode graphic.

Suscríbase a nuestro boletín

Conquista información de expertos sobre el panorama en evolución de la identidad impulsada por la IA
verificación y prevención del fraude.

¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Al suscribirse, asíciese nuestro Politica de Privacidad
Incode Technologies, Inc.
101 Mission St, Suite 900,
San Francisco, CA 94105, EE. UU.
Tel: +1 (650) 446-3444
Incode reviews on G2 logo.
Plataforma
Explora la plataforma
Explore Platform
Orchestation Dashboard
Workflow builder
Personalización de la Ul
Decisiones y resultados
Análisis de fraude
Gestión de Casos
Integraciones de plataformas
Nuestra tecnologia
Reeconocimiento facial
Verificación de documentos
Verificación de liveness
OCR
Detección de deepfakes
Incode Network
Casos de uso
Verificación de identidad
Verificación de edad
Cumplimiento KYC/AML
Know Your Business (KYB)
Incode Workforce (KYE)
Verificación de Candidatos
Identidad Agentica
Verificación sin documentos
Industrias
Servicios financieros
Salud
Juegos en línea
Apuestas Online
E-commerce y marketplaces
Sector público
Redes sociales
Recursos
Blog
Prensa
Webinars
Centro de confianza
Asociados de negocios e integraciones
Empresa
Acerca de Incode
Carreras
Privacy Manifesto
Contáctanos
Seguridad
HIPAA
Política de privacidad
Términos de uso
Accesibilidad
SDK Y API
Informe de privacidad de datos de Washington Consumer Health
Política y aviso de datos biométricos
Manage Cookies
Incode Technologies ha sido certificado para cumplir con SOC 2 Tipo ii. Incode Technologies utiliza cifrado TLS de 256 bits
© Incode Technologies Inc. Todos los derechos reservados. Marca registrada Incode