Acceso
Ayuda
Obtener Verificación
Recibe las últimas noticias de Veriff. Suscríbete al boletín
Podcast
Estafas laborales falsas: la última epidemia de fraude en línea
Most businesses are aware of the importance of knowing your customer, but what about knowing your employees? Aarti Samani, founder of deepfake fraud prevention consulting firm Shreem Growth Partners, explains what fake worker scams are – and offers some tips on how to defend your organization against them.
Listen to full conversation with Aarti now!
In 2024, deepfake fraud was attempted every five minutes in the context of identity verification. Meanwhile, around the world, 400 CEOs are the target of deepfake fraud every minute. Essentially, this type of scam is all around us, yet individuals and businesses are often being targeted without them even realizing until it’s too late.
“La razón por la que está en todas partes es porque es más fácil ingresar a los humanos que a la tecnología”, dice Aarti Samani de manera contundente. “Puedes atacar directamente a los humanos, puedes explotarlos y no tienes que preocuparte por ingresar al sistema. Es el camino de menor resistencia.”
“Juega con nuestros instintos”, continúa Aarti. “Se nos enseña a confiar en lo que vemos y oímos desde que somos pequeños. Se nos enseña a confiar en las figuras de autoridad y no cuestionarlas. Parte de este condicionamiento social lo convierte en un vector de ataque muy, muy efectivo, con un alto retorno de inversión y bajas barreras de entrada. Así que, si piensas en el fraude como un negocio, es la receta perfecta para el éxito.”
Beware the Trojan horse
As Aarti points out, defending against deepfake fraud is becoming something of a game of whack-a-mole, with new techniques popping up as quickly as existing ones are addressed. Organizations are increasingly aware of the need to use know your customer (KYC) measures such as high-quality identity verification identity verification to ensure that clients are who they say they are and keep fraudsters at bay. But what happens when the enemy is actually inside the gates, without you knowing?
Una forma de fraude en línea que está en rápido ascenso y que apenas está comenzando a recibir atención es la estafa laboral falsa. El aumento del trabajo remoto ha creado oportunidades para los criminales, que pueden conseguir trabajo en una empresa más fácilmente a través de rutas legítimas. Una vez dentro, usan su estatus de insider para cometer fraude.
Exploiting your vulnerabilities
“Deepfake fraud designers know that security teams are on high alert,” comments Aarti. “So, they’re not necessarily targeting the security team where the defenses are strongest. They are targeting peripheral teams such as the CTO and HR offices in an organization.”
At the same time, small-and medium-sized businesses (SMBs) are being used as a gateway to get inside larger enterprises.
“Hablé con una empresa hace solo dos días, una PYME de seis personas con sede en los Estados Unidos,” comenta Aarti. “Tienen algunos clientes muy importantes y se han convertido en un objetivo de fraude por deepfake por parte de ‘trabajadores de TI’ que quieren alcanzar a los clientes que están atendiendo.”
“Si eres una PYME, ¿qué tienes?” comenta Aarti. “Bueno, tienes una cuenta bancaria, tienes clientes. Tienes datos y probablemente tienes información sensible sobre tus clientes. Así que ya tienes activos de valor que el atacante podría desear. Si estás en industrias reguladas, el valor de esos activos es mucho mayor. Y por lo tanto, vale la pena que inviertan más tiempo en crear un fraude bien diseñado.”
Smaller businesses tend to be less aware of the issue and have fewer resources to invest in security. Criminals therefore often see them as a ‘sandbox’ where they can test attack vectors before using them to target larger enterprises.
How does it work?
Las estafas de trabajadores falsos comienzan en las plataformas donde se publican empleos. Los estafadores crean perfiles con todas las calificaciones y experiencia adecuadas. Otros miembros del equipo son responsables de las solicitudes de empleo; este es un juego de números, con criminales postulando a miles de empleos. A menudo, un CV bien construido puede pasar desapercibido por un reclutador, que probablemente no esté buscando activamente solicitudes fraudulentas.
“A menudo no hacen una verificación cruzada de la información,” dice Aarti. “Pueden mirar el currículum, pueden hacer una búsqueda superficial en línea para ver si el currículum corrobora la otra información que hay, pero no necesariamente hacen una verificación inversa de la imagen, por ejemplo.
Para el trabajo remoto, si un candidato tiene éxito en la etapa de revisión del currículum, el siguiente paso suele ser una entrevista en video en línea. En este punto, el entrevistado usará tecnología de video deepfake para cambiar su apariencia.
“La tecnología es tan buena que a menos que busques forense signos de desenfoque, etcétera, realmente no puedes decir que esta no es una cara real,” comenta Aarti
Si el candidato pasa el proceso de entrevista, la siguiente etapa es la verificación de identidad. Además de documentos falsos, que están disponibles a bajo costo en la dark web, la tecnología deepfake puede volverse a usar para engañar a los procesos de verificación de identidad menos sofisticados. El criminal ahora se ha convertido en tu empleado…
Spotting the signs
Dadas las amenazas que presenta tener a un actor malicioso dentro de tu organización, las estafas de trabajadores falsos deberían estar en la parte alta de la agenda de ciberseguridad para cualquier empresa. Para combatir el problema, es vital tratar la verificación como una parte integral del proceso de contratación. Aquí hay algunos consejos que pueden ayudarte a detener a los estafadores de trabajadores falsos en seco.
- Verifica los CV no solo por competencias sino por autenticidad: ¿las cualificaciones y la experiencia parecen coherentes tanto en sí mismas como con la edad, nacionalidad, ubicación, etcétera del candidato?
- Revisa el perfil de LinkedIn del candidato (si tienen uno), buscando inconsistencias similares: ¿cuál es tu nivel de confianza en que esta persona es un solicitante genuino?
- Cualquier renuencia a aparecer en cámara es una señal de advertencia: todos podemos sufrir problemas de red, pero ¿está utilizando la falta de video o la baja calidad para enmascarar el uso de tecnología deepfake?
- Presta atención a los candidatos que emplean un ‘copiloto’: si un entrevistado parece leer las respuestas a una pregunta, esto puede ser un fuerte indicio de que están trabajando con un equipo
- Haz preguntas más suaves para ayudar a validar la información proporcionada en una solicitud por autenticidad: utiliza tu propio conocimiento de empresas, instituciones académicas, etcétera para ‘comprobar el sentido’ de las respuestas
- Utiliza software de verificación de identidad de alta calidad para autenticar a un candidato exitoso, verificándolos no solo como humanos sino también como lo que dicen ser
Voces de Veriff
Escucha la conversación completa con Aarti sobre los temas candentes actuales en el fraude deepfake – y explora más episodios del podcast Veriff Voices.
