El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de correos electrónicos falsos que utiliza el nombre de reconocidas empresas como L'Oréal, Coca-Cola, Red Bull y Adidas para ofrecer supuestas oportunidades de empleo como anzuelo y captar datos personales de usuarios en toda la región.
La alerta fue confirmada por Mario Micucci, investigador de ESET Latinoamérica, quien señaló que esta estafa no es nueva: varios usuarios llevan advirtiendo sobre el mismo fraude desde al menos 2025, y que en algunos casos los delincuentes también usaron el nombre de Meta y otras compañías para dar credibilidad al esquema.
Es crucial subrayar que las marcas suplantadas son, ellas también, víctimas del engaño: los ciberdelincuentes explotan su reconocimiento global para legitimar el fraude y aumentar la probabilidad de que los destinatarios caigan en la trampa.
Según benchmarks de ciberseguridad de 2026, el 40% de los candidatos a empleo cae en correos de phishing que simulan procesos de selección urgentes, una cifra que refleja el nivel de sofisticación que han alcanzado estas campañas.
En paralelo, los expertos anticipan que en 2026 los ciberdelincuentes desplegarán campañas de phishing con un alto grado de personalización potenciada por inteligencia artificial, lo que incrementará notablemente su efectividad en toda la región.
El esquema detectado por ESET combina ingeniería social, suplantación de identidad corporativa y robo de credenciales en una secuencia de pasos diseñada para no levantar sospechas hasta que ya es demasiado tarde.
La modalidad consiste en el envío de correos electrónicos que aparentan provenir de departamentos de recursos humanos o reclutadores de compañías como Coca-Cola, Red Bull, L'Oréal y Adidas, con mensajes que incluyen atractivas propuestas laborales y un enlace para continuar con el supuesto proceso de selección.
Desde el primer mensaje ya existen señales de alerta: el nombre mostrado puede corresponder a un supuesto reclutador de la empresa, pero la dirección de correo electrónico utilizada no guarda ninguna relación con los dominios oficiales de la compañía suplantada.
En algunos casos, como el detectado por ESET que simula ser de Adidas, el remitente es una persona real que los delincuentes investigaron previamente y que efectivamente pertenece a la empresa, lo que eleva significativamente la credibilidad del engaño.
Plataformas profesionales como LinkedIn juegan un rol clave en esta táctica: los atacantes recopilan información pública sobre empleados, roles y estructuras internas para personalizar los ataques y aumentar significativamente su tasa de éxito.
Investigadores de la firma ReliaQuest ya advirtieron sobre este fenómeno creciente en LinkedIn, señalando que los ataques "ocurren en canales alternativos como redes sociales, motores de búsqueda y aplicaciones de mensajería, plataformas que muchas organizaciones aún ignoran en sus planes de seguridad".
La combinación de datos reales de empleados con comunicaciones que imitan los formatos corporativos convierte a estos correos en trampas difíciles de detectar a simple vista.
Al hacer clic en el enlace incluido en el correo, el usuario accede a una página web que imita con precisión un formulario de reclutamiento legítimo, similar a los servicios ampliamente utilizados por las empresas para procesos de selección de personal.
La apariencia profesional del sitio —logotipos, colores y estructura visual— contribuye a generar una falsa sensación de confianza.
En esa instancia, se solicita al candidato información personal y profesional: nombre, número de teléfono, experiencia laboral y dirección de correo electrónico.
Hasta aquí, el proceso parece completamente compatible con una candidatura legítima.
Tras completar el formulario, la víctima es redirigida a una pantalla que imita el proceso de inicio de sesión de Google, diseñada para robar credenciales de acceso.
La principal anomalía técnica para detectar el fraude radica en la URL del navegador: aunque la interfaz imite servicios legítimos, el dominio visible en la barra de direcciones no corresponde a Google ni a ninguna empresa oficial.
La solicitud del correo electrónico en el formulario previo no es casual ni inocente. Al recopilar esa información con anticipación, los atacantes pueden personalizar la siguiente fase del engaño y elevar su credibilidad al mostrar la dirección exacta del usuario en la pantalla falsa de Google.
\El uso de interfaces visualmente conocidas es una táctica consolidada en campañas de phishing: reduce la desconfianza del usuario y aumenta la probabilidad de que entregue sus credenciales de acceso sin cuestionar el proceso.
"Un aspecto clave para identificar este tipo de engaños es verificar el dominio en la barra de direcciones: aunque la interfaz imite servicios legítimos como Google, las credenciales solo deben ingresarse en sitios oficiales", resalta Micucci.
Con acceso a la cuenta de correo electrónico de la víctima, los delincuentes pueden restablecer contraseñas de otros servicios vinculados al correo comprometido, acceder a información personal y profesional almacenada en la bandeja de entrada, enviar mensajes falsos a los contactos de la víctima e incluso usar la cuenta para difundir nuevas campañas de phishing.
Dependiendo de los servicios asociados al correo comprometido, el ataque puede derivar en acceso no autorizado a cuentas bancarias, redes sociales, plataformas corporativas y otros sistemas sensibles, amplificando de forma significativa el impacto del daño.
En Latinoamérica, cuatro de cada diez candidatos sufren ghosting en procesos de selección, lo que normaliza las comunicaciones irregulares y reduce la alerta ante posibles fraudes, un terreno fértil que los ciberdelincuentes saben aprovechar.
Para 2026, los expertos advierten que la inteligencia artificial dejará de ser un experimento en manos de los ciberdelincuentes para convertirse en su recurso más poderoso, con correos de phishing que ya no contienen los errores ortográficos que antes servían como señal de advertencia.
Los ataques de empleo falso más sofisticados operan mediante portales de empleo falsos que imitan la identidad visual de empresas reconocidas; cuando el candidato aplica, recibe una comunicación solicitando verificación de identidad mediante el login de Google o redes sociales, entregando así acceso completo a su cuenta.
Esto convierte a cualquier persona en búsqueda activa de trabajo en un blanco potencial, independientemente de su nivel de experiencia digital o perfil profesional.
ESET detectó incluso advertencias publicadas en LinkedIn por personas reales cuya identidad fue suplantada en correos fraudulentos, algo que da cuenta del alcance de la campaña y del daño reputacional que genera también para los empleados cuyo nombre se utiliza sin consentimiento.
Las empresas legítimas pueden solicitar currículums, información de contacto y datos profesionales durante un proceso de reclutamiento, pero nunca pedirán la contraseña de una cuenta de correo electrónico como requisito para avanzar en una selección.
Entre las principales señales de alerta se encuentran los remitentes con dominios no oficiales, los enlaces sospechosos que no corresponden al sitio de la empresa y las solicitudes de credenciales de acceso que no tienen ningún lugar en un proceso de selección legítimo.
Otras señales concretas de fraude incluyen logotipos desactualizados, fuentes inconsistentes, firmas genéricas y entrevistas realizadas solo por chat sin ninguna instancia de videollamada o contacto humano directo.
Desde ESET recomiendan activar la autenticación de dos factores (MFA) en todas las cuentas, verificar la existencia de la vacante directamente en los canales oficiales de la empresa y nunca compartir credenciales de acceso a través de formularios online o mensajes recibidos por correo.
"Ante cualquier proceso de selección que solicite credenciales o presente inconsistencias en las direcciones de correo electrónico y enlaces, la recomendación es detener inmediatamente la interacción y verificar la autenticidad de la vacante", concluye Micucci.
La regla de oro es simple: si un proceso de empleo pide una contraseña, no es un proceso de empleo real.