La industria tecnológica se ha visto beneficiada por el boom del teletrabajo y, si antes de la pandemia ya era habitual ver a empresas del sector de determinados perfiles (como el de desarrollo de aplicaciones) contratar a trabajadores que nunca o casi nunca pisaban sus instalaciones (a veces, residiendo incluso en otros países), tras los meses de confinamiento esta dinámica se ha incrementado respecto a lo que pasaba antes de la pandemia dentro del sector TI.
Las compañías tecnológicas pueden atesorar datos de sus clientes con un gran valor, que llegan a sus manos a través de contratos para disponer de almacenamiento, copias de seguridad, o en los programas en régimen de alquiler (SaaS, Software as a Service), entre otras fórmulas. Obviamente, este es un ‘botín’ que interesa a los cibercriminales.
Según informa el FBI en una nota publicada en el tablón de anuncios del IC3 (Internet Crime Complaint Centre, división del cuerpo policial federal estadounidense especializada en cibercrimen), dicho organismo ha detectado un incremento en las denuncias por el uso de deepfakes para la suplantación de identidad en entrevistas de trabajo, con la intención de entrar a formar parte del personal de la empresa tecnológica que anuncia la vacante y, así, poder tener acceso a sus sistemas y datos.
El objetivo de estas acciones no sería tanto la propia empresa tecnológica (que también), sinó hacerse con los datos de los clientes que esta atesora en sus sistemas, tales como los datos de facturación (como los números de cuenta) o los contactos dentro de la empresa cliente (para la realización de ciberestafas).
Para facilitar a sus empleados que trabajen de forma remota, las empresas abren habitualmente sus sistemas a un determinado nivel de acceso, cosa que aprovechan los cibercriminales para hurgar entre los datos a los que tienen acceso, y buscar vulnerabilidades que les permitan escalar privilegios para acceder a los datos más interesantes.
Mediante la suplantación de identidad, los cibercriminales se hacen pasar por un programador, administración de sistemas, bases de datos, etc. legítimo, y utilizan la tecnología de los deepfakes en el caso que la empresa que quiere contratar exija una audioconferencia o vídeoconferencia.
Para el caso de esta última, el FBI advierte que los movimientos de los labios que se ven en el vídeo no concuerdan con el audio que se escucha, igual que puede ocurrir con otros eventos como una ligera tos o aclararse la garganta, aunque todos sabemos que solamente basta aducir que hay problemas en la red y que la señal de vídeo va desfasada de la de audio para que ‘cuele’ (¿cuántos de nosotros no hemos sufrido una experiencia similar alguna vez?).
La advertencia para quienes reclutan remotamente es, pues, clara: no pueden fiarse de nadie. Pero ¿cómo comprobar la identidad de la persona a la que están contratando? Por el momento, y si a nadie se le ocurre una idea mejor, solamente queda una opción: celebrar, al menos, una reunión presencial.
