La ilusión de encontrar un nuevo empleo puede verse empañada por tácticas engañosas en el mundo digital.Modalidad de estafa: suplantan la web de pagos del Acueducto de Bogotá para robar a usuariosRecientemente, la agencia de ciberseguridad ESET ha detectado una campaña de “phishing” —un término técnico para describir estafas donde los delincuentes se hacen pasar por entidades de confianza para robar información— que utiliza el nombre de grandes corporaciones para engañar a los candidatos en la región.El prestigio como anzuelo para el engañoLos estafadores no eligen a cualquier empresa; seleccionan marcas reconocidas y líderes en el mercado para dar una falsa sensación de seguridad. Al utilizar la imagen y el nombre de estas compañías, logran que las personas bajen la guardia, creyendo que están ante una oportunidad real de crecimiento.ESET explicó que identificó una “campaña de correos electrónicos falsos que usan el nombre de reconocidas empresas como L’Oréal, Coca-Cola y Red Bull, que ofrecen supuestas oportunidades de empleo como anzuelo para captar datos personales”.La compañía de ciberseguridad compartió mensajes falsos utilizados para suplantar a reconocidas marcas internacionales. Foto: ESETEsta estrategia no es nueva, pero ha evolucionado para parecer cada vez más profesional. Los delincuentes envían correos electrónicos que parecen provenir directamente de departamentos de Recursos Humanos o de reclutadores que incluso existen en plataformas como LinkedIn.Un proceso que imita a la perfección la realidad“Esta estafa no es nueva, y varios usuarios llevan advirtiendo sobre este mismo fraude desde al menos 2025. En algunos casos, los delincuentes también usaron el nombre de otras empresas, como Meta, y otras compañías para dar credibilidad al esquema”, advierte Mario Micucci, investigador de ESET Latinoamérica.Para que el engaño tenga éxito, los atacantes realizan una investigación previa de las estructuras internas de las empresas y sus empleados. Esto les permite personalizar los mensajes y dirigirlos con nombre y apellido al interesado, ofreciendo vacantes muy atractivas.Cuando el usuario hace clic en el enlace del correo, es llevado a un formulario web que luce impecable. En este sitio, se solicita información básica como:Nombre completo y teléfono.Trayectoria profesional y experiencia.Dirección de correo electrónico.Hasta este punto, el proceso parece una postulación común y corriente, lo que facilita que el candidato continúe sin sospechar.El momento del robo: la trampa de la “verificación”El peligro real aparece cuando, tras llenar los datos básicos, el sistema pide un paso adicional: iniciar sesión con su cuenta de Google para “verificar” la identidad.La trampa solicita las credenciales de acceso bajo el pretexto de verificar la identidad del candidato. Foto: ESETAquí es donde debe detenerse. El sitio muestra una pantalla de inicio de sesión idéntica a la oficial, pero si se observa la barra de direcciones del navegador, se verá que el dominio (la dirección web) no es el de Google. El objetivo final de los delincuentes es que usted entregue voluntariamente la contraseña de su correo electrónico bajo la excusa de que es un requisito del proceso de selección.¿Por qué es tan peligroso que roben su contraseña?Si los atacantes logran entrar a su correo personal, el daño puede ser masivo y en cadena. Con ese acceso, ellos pueden:Restablecer contraseñas de otros servicios vinculados, como sus redes sociales o plataformas del trabajo.Acceder a información sensible guardada en sus mensajes, como documentos personales o financieros.Entrar a sus cuentas bancarias si estas utilizan el correo para confirmar operaciones.Suplantar su identidad enviando mensajes falsos a sus contactos para seguir propagando la estafa.Claves para protegerse en su búsqueda laboralPara navegar con seguridad en el mercado laboral, los expertos de ESET recomiendan mantener la alerta ante estas señales:Ninguna empresa pide claves: Tenga presente que una compañía legítima jamás le solicitará la contraseña de su correo personal para contratarlo.Revise el remitente: Verifique que el correo del reclutador coincida exactamente con el dominio oficial de la empresa y no sea una dirección genérica o con errores ortográficos.Vaya a la fuente oficial: Si ve una vacante atractiva, no use el enlace del correo; busque la sección de “Empleos” o “Carreras” directamente en el sitio web oficial de la marca.Seguridad extra: Active la autenticación de dos pasos (MFA) en su correo. Esto es una capa adicional que pide un código enviado a su celular tras poner la contraseña, impidiendo que alguien entre aunque sepa su clave.