La búsqueda de una nueva oportunidad profesional puede ser un momento de expectativa y entusiasmo. Sin embargo, los ciberdelincuentes aprovechan este contexto para llevar adelante estafas cada vez más sofisticadas.

Recientemente, identificamos una campaña de correos electrónicos falsos que usan el nombre de reconocidas empresas como L’Oréal, Coca-Cola, Adidas y Red Bull, que ofrecen supuestas oportunidades de empleo como anzuelo para captar datos personales.

Sin embargo, es importante señalar que las empresas afectadas son también víctimas de los ciberdelincuentes ya que son utilizadas como parte de la estafa. Los atacantes aprovechan el reconocimiento de estas marcas para intentar legitimar el engaño y aumentar la probabilidad de éxito del fraude.

Esta estafa no es nueva, y varios usuarios llevan advirtiendo sobre este mismo fraude desde al menos 2025. En algunos casos, los delincuentes también usaron el nombre de otras empresas, como Meta, y otras compañías para dar credibilidad al esquema.

Correos falsos que suplantan grandes marcas

La estrategia comienza de forma relativamente sencilla: los delincuentes envían correos electrónicos que parecen haber sido enviados desde alguna oficina de recursos humanos de las empresas suplantadas o por supuestos reclutadores, con una supuesta oferta concreta, dirigida a nombre del remitente, para ofrecerle participar en un proceso de selección de personal.

El mensaje suele presentar una vacante atractiva e incluye un enlace para que la parte interesada avance en las siguientes fases de la solicitud.

scam-ofertas-trabajo-falsas-Loreal
Imagen 1: Correo electrónico falso suplantando a L´Oreal
scam-oferta-empleo-falsa-redbull-cocacola
Imagen 2: Correos electrónicos de phishing enviado por ciberdelincuentes suplantando a Red Bull y a Coca-Cola.

En los casos analizados podemos observar que el mensaje inicial ya tiene señales de alerta que anuncian que se trata de una comunicación falsa: el nombre mostrado es el de un supuesto reclutador, la dirección de correo electrónico utilizada no tiene relación con los dominios oficiales de la empresa.

scam-oferta-laboral-falsa-LOreal
Imagen 3: Remitente falso en misma campaña detectada en usuario de Brasil.

Suplantación de la identidad de un remitente legítimo

En algunos casos, como el que detectamos que simula ser de Adidas, el remitente es una persona real, que posiblemente los delincuentes investigaron que pertenece a la empresa.

En este punto, plataformas profesionales como LinkedIn pueden jugar un rol clave: los atacantes pueden recopilar información pública sobre empleados, roles y estructuras internas para hacer más creíble la suplantación de identidad. Lo que les permite personalizar los ataques y aumentar significativamente la tasa de éxito.

SCAM-falsa-oferta-trabajo-Adidas
Imagen 4: Correo electrónico falso que suplanta a Adidas. Y advertencia en LinkedIn de la persona suplantada en la empresa sobre la estafa a su nombre.

Un clic inicial como puerta de entrada

Al hacer clic en el enlace de la supuesta invitación a conectar en los distintos correos que se distribuyeron suplantando a las empresas, el usuario accede a una página que imita un formulario legítimo, similar a los servicios ampliamente utilizados por las empresas para el reclutamiento. La apariencia profesional del sitio contribuye a transmitir una falsa sensación de confianza y legitimidad.

scam-forms-ofertas-trabajo-falsas
Imagen 5: Tras hacer clic en el enlace del mensaje, la víctima es redirigida a un formulario.

Este tipo de inconsistencia es una de las principales señales de phishing y debería servir de advertencia para los candidatos.

Una vez en el sitio, se anima al candidato a entregar información personal y profesional, como nombre, número de teléfono, experiencia profesional y dirección de correo electrónico. Hasta ahora, el proceso parece compatible con una candidatura legítima.

Falsa verificación de cuenta

Tras completar el formulario, la víctima es redirigida a una pantalla que imita el proceso de inicio de sesión de Google, con el objetivo de robar credenciales. A simple vista, la interfaz resulta familiar y "profesional", ya que reproduce el diseño típico de selección de cuenta de Google. Sin embargo, al observar con atención, es posible detectar inconsistencias clave, como el dominio del sitio web —que no corresponde a Google—, lo que evidencia que se trata de una página fraudulenta.

Un aspecto clave para identificar este tipo de engaños es verificar el dominio en la barra de direcciones: aunque la interfaz imite servicios legítimos como Google, las credenciales solo deben ingresarse en sitios oficiales.

scam-ofertas-trabajo-falsas
Imagen 6: Solicita la contraseña para acceder a la cuenta de correo electrónico de la víctima.

El verdadero objetivo: robar credenciales

Aquí se revela el verdadero propósito del engaño: lograr que la víctima, bajo engaño, entregue voluntariamente sus credenciales a los ciberdelincuentes.

En esta instancia, la página solicita el acceso al correo electrónico, con la excusa de que se trata de un paso necesario para continuar con el proceso de selección.

La solicitud previa del correo electrónico no ocurre por casualidad. Al recopilar esta información con antelación, los atacantes pueden personalizar la siguiente fase del engaño y aumentar su credibilidad.

El uso de interfaces conocidas y visualmente legítimas es una táctica habitual en campañas de phishing, ya que reduce la desconfianza del usuario y aumenta la probabilidad de que entregue sus credenciales.

¿Qué pueden hacer con una cuenta comprometida?

Con acceso a la cuenta de correo electrónico de la víctima, los delincuentes pueden restablecer contraseñas de otros servicios vinculados al correo comprometido; acceder a información personal y profesional almacenada en la bandeja de entrada; enviar mensajes falsos en nombre de la víctima a sus contactos e, incluso, usar la cuenta para difundir nuevas campañas de phishing.

Dependiendo de los servicios asociados al correo electrónico, el compromiso también puede resultar en un acceso indebido a cuentas bancarias, redes sociales, plataformas corporativas y otros sistemas sensibles, amplificando significativamente el impacto del ataque.

Cómo protegerte

Para reducir el riesgo de caer en este tipo de fraude, es importante adoptar algunas medidas de seguridad:

  • Desconfía de cualquier proceso de selección que te pida la contraseña del correo electrónico.
  • Comprueba cuidadosamente la dirección del remitente y el dominio de los enlaces recibidos.
  • Confirma la existencia de la vacante directamente en los canales oficiales de la empresa.
  • Activa la autenticación de dos pasos (MFA) en tus cuentas.
  • Nunca compartas credenciales de acceso a través de formularios online o mensajes recibidos por correo electrónico.

Señales de alerta para tener en cuenta

Casos similares fueron reportados en redes sociales por profesionales de ciberseguridad y analizados por investigadores, que identificaron el uso de páginas que imitan servicios populares, como Google Forms, para aumentar la credibilidad del fraude. La campaña analizada sigue este mismo patrón: atraer a las víctimas a través de una supuesta vacante y luego solicitar credenciales de correo electrónico bajo el pretexto de validar la solicitud.

Aunque las campañas de phishing que involucran oportunidades de empleo falsas no son nada nuevo, los delincuentes siguen perfeccionando sus técnicas para hacerlas más convincentes. Por lo tanto, ante cualquier proceso de selección que solicite credenciales de acceso o presente inconsistencias en las direcciones de correo electrónico y enlaces utilizados, la recomendación es detener inmediatamente la interacción y verificar la autenticidad de la vacante a través de los canales oficiales de la empresa.

Las empresas legítimas pueden solicitar currículums, información de contacto y datos profesionales durante el proceso de reclutamiento. Sin embargo, nunca te pedirán la contraseña de tu cuenta de correo electrónico como requisito para participar en un proceso de selección. Ante cualquier solicitud de este tipo, detén inmediatamente la interacción y confirma la autenticidad de la vacante a través de los canales oficiales de la organización.