La nueva superficie de amenaza: cómo la contratación se convirtió en un vector de ataque
Incode
July 24, 2025
July 24, 2025
El proceso de contratación se ha convertido rápidamente en una superficie de ataque crítica para los ciberdelincuentes y los actores del estado-nación. Las organizaciones ahora se enfrentan a candidatos falsos a gran escala, completo con currículums generados por IA, perfiles en línea e incluso caras o voces sintéticas.
Según Gartner, para 2028, uno de cada cuatro candidatos a empleo será falso, impulsado por IA generativa e identidades fraudulentas. Lo que alguna vez fue una anomalía rara se ha convertido en un riesgo sistémico alimentado por el fácil acceso a datos personales violados y deepfakes cada vez más convincentes.
Hasta hace poco, la mayoría de las empresas centraban todos sus esfuerzos y recursos en defender sus sistemas de ciberataques externos. Sin embargo, la mayor amenaza ahora puede provenir de un hacker que obtiene acceso a información privilegiada al solicitar un trabajo y entrar por la puerta principal—los actores sofisticados están explotando la confianza inherente en el proceso de contratación, hacerse pasar por solicitantes legítimos y convertirse en amenazas internas.
“Para 2028, uno de cada cuatro candidatos a empleo será falso”. — Gartner
El aumento del trabajo a distancia y el reclutamiento digital abrieron grandes oportunidades para las empresas, al tiempo que introducción de vulnerabilidades significativas y ensanchando la superficie de ataque. Hoy en día, los candidatos rara vez se reúnen en persona y las limitaciones geográficas de contratación se han debilitado.
Añadir a eso el auge de la IA generativa y tienes una combinación que ha creado las condiciones ideales para el abuso. Tecnología Deepfake permite que la imagen, voz o video de una persona sea fingida en tiempo real, a bajo costo.
Al mismo tiempo, la escasez de talento global, especialmente en TI y seguridad, presiona a los gerentes de contratación para que desempeñen funciones rápidamente. Eso La urgencia a menudo conduce a pasar por alto las señales de advertencia en el trasfondo de un candidato. Como resultado, la contratación se ha convertido en un vulnerabilidad reconocida en la cadena de seguridad.
Incluso las empresas tecnológicas bien dotadas de recursos han sido sordas. Un informe reciente reveló Fortune 500 sin saberlo, las empresas contrataron a agentes norcoreanos como trabajadores remotos de TI, quienes luego canalizaron sus salarios al programa de armas de Pyongyang.
El incentivo para los atacantes es claro. Asegurar un trabajo bajo falsas pretensiones puede obtener ganancia financiera directa a través de altos salarios, o a acceso privilegiado que permite el espionaje y el fraude.
Los equipos de recursos humanos y los CISO se encuentran con situaciones extrañas, tales como: entrevistas donde la fuente de video parece con falla; ojos que no se mueven naturalmente; voces que están ligeramente desincronizadas con los movimientos de los labios. Estos signos sugieren una posibilidad inquietante: el candidato puede no ser real.
Para los CHRO, esto significa Las responsabilidades de recursos humanos ahora incluyen la protección contra el fraude de identidad. Para los CISO, significa el perímetro de seguridad debe comenzar en el punto de aplicación. Ambos roles deben trabajar juntos para enfrentar esta amenaza en evolución antes de que una contratación falsa conduzca a una real incumplimiento o falla de cumplimiento de normas.
Estas amenazas no son teóricas, se están desarrollando en los titulares y en las reuniones informativas del gobierno. Quizás el ejemplo más alarmante es el Esquema de infiltración de trabajadores remotos de Corea del Norte que ha salido a la luz en los últimos dos años. Según expertos en inteligencia de amenazas, este esquema está “sucediendo a una escala que no habíamos visto antes”.
El tácticas utilizadas por los agentes de la RPDC fueron una clase magistral en fraude de candidatos. Robarían o comprarían datos personales de estadounidenses reales (como direcciones y SSN) para fabricar perfiles de solicitantes creíbles. Una empresa de ciberseguridad encontrada Más de 1,000 solicitudes de empleo vinculadas al programa de Corea del Norte, a menudo para roles de desarrollador e ingeniería.
En un aviso del FBI, del Estado y del Departamento del Tesoro, los funcionarios señalaron que cada trabajador calificado de TI podría ganar hasta 300.000 dólares al año para Corea del Norte. Un caso recientemente dessellado mostró la amplitud de la estafa: un facilitador estadounidense se declaró culpable después de ayudar a administrar una granja de computadoras portátiles que apoyaba a las contrataciones de Corea del Norte en más de 300 compañías estadounidenses diferentes, generando 17 millones de dólares en ganancias ilícitas.
Más allá del ejemplo de Corea del Norte, también hemos visto Los anillos de fraude doméstico utilizan esquemas de candidatos falsos para obtener ganancias monetarias. En un caso reciente, los estafadores crearon identidades sintéticas para solicitar funciones de soporte al cliente en bancos, con el objetivo de obtener acceso a las cuentas de los clientes.
Otros incidentes involucran buscadores de empleo legítimos que engañan: por ejemplo, pagar a alguien para que se haga pasar por él en una prueba de codificación o entrevista, planteando preguntas sobre quién realmente se presenta al trabajo. Si bien estos casos a menudo se resuelven silenciosamente (el falso empleado se dispara cuando se descubre), ilustran cómo los controles de contratación tradicionales pueden ser omitidos por defraudadores determinados.
Las consecuencias de estos incidentes son significativas. Las empresas que fueron víctimas se enfrentaron al escrutinio regulatorio (por ejemplo, violar las sanciones de Estados Unidos al emplear a una entidad sancionada), pérdidas financieras y una grave vergüenza.
El gobierno de Estados Unidos ha instado explícitamente a las empresas a endurecer los controles de contratación debido a preocupaciones de seguridad nacional; un aviso conjunto en 2022 del FBI y otras agencias advirtió que Los trabajadores de TI de Corea del Norte estaban explotando activamente los oleoductos de contratación de Estados Unidos, a veces incluso plantar malware una vez dentro de las redes.
En otra alerta de alto perfil, el Departamento de Servicios Financieros del Estado de Nueva York advirtió a las instituciones financieras sobre el riesgo de contratar inadvertidamente hackers patrocinados por el estado extranjero como contratistas
Para los líderes de recursos humanos, estos casos del mundo real subrayan que el fraude de candidatos no es un riesgo hipotético, ya está aquí. Y para los líderes de seguridad, destacan que los insiders con identidades falsificadas pueden ser tan peligrosos como los hackers externos, si no más.
Este es un extracto de nuestro libro electrónico, “Asegurando el proceso de contratación contra los Deepfakes y el Fraude de Identidad”, de Fernanda Sottil, Jefa de Fuerza Laboral de Incode. Descargue su copia gratuita de nuestro libro electrónico, “Asegurar el proceso de contratación contra las Deepfakes y el Fraude de Identidad”, para explorar:
Fernanda Sottil lidera la dirección estratégica y el crecimiento de Incode Workforce, que ofrece autenticación biométrica segura e independiente del dispositivo para las empresas, integrándose sin problemas con los sistemas de IAM existentes para abordar las interacciones críticas de los empleados.
%20(1).avif)
