Ciudad de México, 8 de junio de 2026. La búsqueda de una nueva oportunidad profesional puede ser un momento de expectativa y entusiasmo. Sin embargo, los ciberdelincuentes aprovechan este contexto para llevar adelante estafas cada vez más sofisticadas. Recientemente, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de correos electrónicos falsos que usan el nombre de reconocidas empresas que ofrecen supuestas oportunidades de empleo como anzuelo para captar datos personales.
Es importante señalar que las empresas afectadas son también víctimas de los ciberdelincuentes ya que son utilizadas como parte de la estafa. Los atacantes aprovechan el reconocimiento de estas marcas para intentar legitimar el engaño y mediante el uso de su imagen aumentar la probabilidad de éxito del fraude.
“Esta estafa no es nueva, y varios usuarios llevan advirtiendo sobre este mismo fraude desde al menos 2025. En algunos casos, los delincuentes también usaron el nombre de otras empresas, como Meta, y otras compañías para dar credibilidad al esquema”, advierte Mario Micucci, Investigador de ESET Latinoamérica.
Correos falsos que suplantan grandes marcas
La estrategia comienza de forma relativamente sencilla: los delincuentes envían correos electrónicos que parecen haber sido enviados desde alguna oficina de recursos humanos de las empresas suplantadas o por supuestos reclutadores, con una oferta concreta, dirigida a nombre del remitente, para ofrecerle participar en un proceso de selección de personal.
El uso de interfaces conocidas y visualmente legítimas es una táctica habitual en campañas de phishing, ya que reduce la desconfianza del usuario y aumenta la probabilidad de que entregue sus credenciales.
“Con acceso a la cuenta de correo electrónico de la víctima, los delincuentes pueden restablecer contraseñas de otros servicios vinculados al correo comprometido; acceder a información personal y profesional almacenada en la bandeja de entrada; enviar mensajes falsos en nombre de la víctima a sus contactos e, incluso, usar la cuenta para difundir nuevas campañas de phishing. Dependiendo de los servicios asociados al correo electrónico, el compromiso también puede resultar en un acceso indebido a cuentas bancarias, redes sociales, plataformas corporativas y otros sistemas sensibles, amplificando significativamente el impacto del ataque”, agrega Micucci.
Para reducir el riesgo de caer en este tipo de fraude, desde ESET señalan que es importante adoptar algunas medidas de seguridad:
- Desconfiar de cualquier proceso de selección que pida la contraseña del correo electrónico.
- Comprobar cuidadosamente la dirección del remitente y el dominio de los enlaces recibidos.
- Confirmar la existencia de la vacante directamente en los canales oficiales de la empresa.
- Activar la autenticación de dos pasos (MFA) en las cuentas.
- Nunca compartir credenciales de acceso a través de formularios online mensajes recibidos por correo electrónico.
“Aunque las campañas de phishing que involucran oportunidades de empleo falsas no son nada nuevo, los delincuentes siguen perfeccionando sus técnicas para hacerlas más convincentes. Por lo tanto, ante cualquier proceso de selección que solicite credenciales de acceso o presente inconsistencias en las direcciones de correo electrónico y enlaces utilizados, la recomendación es detener inmediatamente la interacción y verificar la autenticidad de la vacante a través de los canales oficiales de la empresa”, concluye el investigador de ESET.
Además, desde ESET advierte que, si bien las empresas legítimas pueden solicitar currículums, información de contacto y datos profesionales durante el proceso de reclutamiento. Sin embargo, nunca pedirán la contraseña de una cuenta de correo electrónico como requisito para participar en un proceso de selección. Ante cualquier solicitud de este tipo, detener inmediatamente la interacción y confirmar la autenticidad de la vacante a través de los canales oficiales de la organización.