Lima, noviembre de 2025.- El espionaje corporativo tomó una nueva forma: la infiltración de falsos trabajadores que logran pasar procesos de selección completos utilizando identidades robadas, deepfakes y cuentas digitales falsas. La empresa de ciberseguridad ESET advierte que este tipo de engaño está creciendo y que ninguna organización está libre del riesgo, especialmente aquellas con modalidades laborales remotas.
El caso más reciente ocurrió en 2024, cuando KnowBe4 detectó actividades sospechosas en el equipo de un nuevo empleado. El supuesto desarrollador manipuló archivos, intentó ejecutar software no autorizado y buscó transferir información. Tras la investigación, se descubrió que era un trabajador norcoreano que había superado cuatro entrevistas por videollamada, además de verificaciones de antecedentes. La identidad falsa y el proceso de engaño estuvieron tan bien estructurados que el personal de recursos humanos no detectó anomalías hasta después de su contratación.
Según explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, el problema forma parte de una nueva generación de amenazas basadas en la identidad. “La IA mejora la falsificación de la realidad. Es el momento de mejorar los procesos de contratación”, señala. La compañía asegura que la suplantación digital, impulsada por herramientas de voz e imagen manipuladas, está permitiendo que atacantes se infiltren como empleados remotos y accedan a información sensible.
El fenómeno no es aislado. El FBI identificó esta actividad al menos desde 2017, rastreada como WageMole. Microsoft, por su parte, reportó más de 300 empresas afectadas entre 2020 y 2022, algunas de ellas dentro del ranking Fortune 500. En un esfuerzo de contención, la compañía suspendió 3,000 cuentas fraudulentas de Outlook y Hotmail registradas por falsos solicitantes. Mientras tanto, una acusación presentada en Estados Unidos señala que dos ciudadanos norcoreanos y tres colaboradores internacionales obtuvieron más de 860,000 dólares trabajando en 60 empresas occidentales mediante identidades falsas.
El foco de estos ataques se ha desplazado recientemente hacia Europa. ESET detectó intentos en Francia, Polonia y Ucrania, mientras que Google alertó que empresas británicas también están en la mira.
Para sostener el engaño, los falsos trabajadores crean identidades digitales completas: perfiles en redes sociales, cuentas bancarias, currículos coherentes y repositorios en plataformas para desarrolladores como GitHub. Durante las entrevistas utilizan deepfakes, software de intercambio de rostro o voz e incluso pretextos para evitar activar la cámara. Muchas veces, cuentan con la ayuda de intermediarios encargados de validar identidades falsas en plataformas laborales y servicios de verificación.
El grupo WageMole también está relacionado con DeceptiveDevelopment, una campaña que engaña a programadores occidentales con ofertas laborales inexistentes. Las víctimas descargan supuestos proyectos de prueba que contienen código troyanizado. Una vez robadas, sus identidades se reutilizan para nuevas estafas laborales.
El impacto para una organización puede ser grave: acceso a sistemas críticos, robo de datos sensibles, fraude corporativo o chantajes a gran escala. Para reducir el riesgo, ESET recomienda reforzar los controles de selección y monitoreo interno.
Entre las medidas clave para detectar falsos postulantes destacan:
Verificación digital exhaustiva
Revisar redes sociales, perfiles laborales, repositorios públicos y coherencia entre experiencia y actividad. Un “senior” con repositorios genéricos o cuentas recién creadas debe generar alerta. También se recomienda validar referencias y confirmar la existencia real de las empresas mencionadas.
Entrevistas en video obligatorias
Repetirlas durante el proceso de selección, pedir apagar fondos digitales y observar señales de deepfake: gestos rígidos, movimientos desincronizados o fallos visuales. Preguntas sobre cultura local también pueden revelar inconsistencias.
Monitoreo del comportamiento laboral
Detectar uso inmediato de software remoto no autorizado, actividad desde IPs extranjeras, transferencia de archivos inusuales o trabajo en horarios atípicos. El contexto es clave para diferenciar un error de una acción maliciosa.
Contención rápida
Si se sospecha de un infiltrado, se recomienda limitar accesos, resguardar evidencia y notificar a autoridades, involucrando solo a personal de seguridad informática, legal y recursos humanos.
Para ESET, la prevención combina capacitación continua, controles técnicos y evaluación humana. “Los mejores métodos para evitar que los falsos candidatos se conviertan en informadores maliciosos combinan los conocimientos humanos y los controles técnicos”, concluye Gutiérrez Amaya.
Las organizaciones enfrentan un escenario donde el talento remoto facilita las operaciones, pero también abre puertas a riesgos invisibles. Reforzar cada etapa del proceso de contratación es fundamental para proteger datos, activos y reputación.
Para más información sobre seguridad corporativa, ESET invita a visitar su portal y su podcast Conexión Segura.