La extraordinaria explosión de herramientas de inteligencia artificial a la que estamos asistiendo en los últimos años preocupa –y mucho– en múltiples ámbitos. La primera reacción de algunos gobiernos pasó por alertar ante la posible vulneración de la privacidad de los usuarios de plataformas como ChatGPT, que podía registrar sus conversaciones y usarlas sin su consentimiento con ánimo de lucro. Pero eso fue solo el principio.
Poco después asistimos a un auténtico ‘boom’ de cuentas ‘bot’ en plataformas como Instagram o X, con frecuencia vinculadas a movimientos políticos específicos y dedicadas a divulgar desinformación de forma continua. Además, también saltó la polémica del uso malicioso de la IA para crear imágenes pornográficas de personas reales sin su consentimiento, un problema que afectó tanto a Taylor Swift como a miles de mujeres adolescentes anónimas.
Ahora, según nos alertan las principales empresas de seguridad digital, nos encontramos ante un nuevo problema en forma de ofertas de empleo falsas redactadas con IAs lingüísticas como ChatGPT o Gemini. Este tipo de herramientas –que son de libre acceso en Occidente– se pueden emplear fácilmente para formular una amplísima variedad de ofertas de trabajo que, en realidad, esconden fines mucho más turbios.
El robo de información digital
La información personal que cualquier aplicante de empleo adjunta en su currículum es muy extensiva, e incluye toda una serie de datos que pueden ser utilizados por un hacker para vulnerar sus cuentas online. Entre esta información destacan tanto el correo electrónico como el número de teléfono de contacto, que en la mayoría de los casos suelen estar asociados a tiendas digitales como Mercado Libre o a aplicaciones de banca en línea.
Con esta información y conocimientos informáticos, los estafadores pueden tratar de vulnerar las cuentas de las víctimas, por ejemplo enviándoles un correo electrónico de phishing donde se les invite a acceder a la cuenta que el hacker quiere vulnerar. Si la víctima cae en el engaño e introduce la contraseña de su cuenta, el hacker puede usar esa clave a continuación para acceder a la cuenta del aplicante y usarla para sus propios intereses.
La duplicación de tarjetas del celular
Los hackeos producidos a partir de la información compartida en una aplicación de empleo pueden ir mucho más allá. Desde ExpressVPN se nos alerta del peligro de un ataque conocido como ‘SIM swapping’, donde los estafadores solicitan a los aplicantes de empleo una copia escaneada de su documento de identidad. Estas copias se pueden usar después para hacerse pasar por la víctima ante multitud de plataformas digitales o empresas.
En un ataque de ‘SIM swapping’, el hacker se pone en contacto con una empresa de telefonía y solicita el restablecimiento de la tarjeta SIM asociada al número de teléfono del aplicante, que, recordemos, estaba adjunto en el currículum. Esto le permite recibir un duplicado de la SIM en su propio domicilio y apropiarse del número de teléfono de su víctima. A partir de acá, puede usar esta línea para restablecer las contraseñas de sus cuentas digitales o su banca online.
Las falsas apps empresariales
Otra técnica empleada por los hackers aprovecha estrategias de ingeniería social para hacer creer a la víctima que está a punto de ser contratada. Entonces el estafador remite al aplicante un enlace para que descargue una app en su celular, bajo el pretexto de que se trata de una aplicación de Recursos Humanos o de gestión de tareas. Si la víctima accede y descarga esta app, efectivamente estará instalando malware en su dispositivo.
En muchos casos, estas aplicaciones fraudulentas simplemente leen los mensajes SMS del dispositivo y los remiten al hacker, que entonces podrá comprobar los códigos OTP de verificación del acceso a las cuentas de la víctima. En otros casos, la aplicación falsa infectará el dispositivo con un keylogger, es decir, una forma de malware que registra las pulsaciones del teclado en la pantalla táctil y puede robar contraseñas o datos bancarios.
La protección de nuestros datos personales
Las empresas de seguridad digital como ExpressVPN insisten en la importancia de reducir al mínimo la información que incluimos en cualquier currículum o formulario de solicitud de empleo, sobre todo si consideramos hasta qué punto esa información puede ser utilizada en nuestra contra. El correo electrónico y el número de teléfono son datos especialmente sensibles que nunca deberían estar en conexión con nuestra app de banca online.
Asimismo, debemos considerar el riesgo de adjuntar documentos escaneados. Es cierto que una empresa necesitará contar con algunos documentos para poder registrarnos como empleados después de contratarnos, pero solo deberíamos facilitarles estos documentos después de haber pasado una entrevista de trabajo presencial donde podamos comprobar que se trata de una empresa legítima con una oferta de trabajo en firme.
Los riesgos a los que nos exponemos cuando compartimos nuestros datos en internet son cada vez mayores, y son muchas las formas en que un hacker puede aprovechar esta información para perjudicarnos. Los especialistas en ciberseguridad recomiendan entonces mantener una higiene digital impecable, eliminando cuentas online que ya no utilizamos, protegiendo nuestras contraseñas y activando los sistemas de autenticación 2FA.