Cada vez que un desarrollador participa en una entrevista de trabajo debe superar una prueba técnica, la rutina parece clara: demostrar sus habilidades de programación y avanzar en el proceso de selección. Sin embargo, detrás de estas dinámicas habituales, se esconde un riesgo que muchos no se habían parado a analizar: ciberataques que se aprovechan del contexto de estas entrevistas a desarrolladores para robar datos sensibles.
Los ciberdelincuentes han perfeccionado sus técnicas, empleando procesos rutinarios de selección de personal aparentemente legítimos para engañar a los más expertos y acceder a un botín de datos especialmente valioso.
El engaño en la oferta de trabajo. A estas alturas creo que ya no queda nadie a quien no le hayan llamado alguna vez de InfoJobs, Indeed o cualquier otra supuesta plataforma de empleo indicando que su currículum había sido elegido para cubrir una vacante. Obviamente, es una estafa de la que las propias plataformas se han desvinculado.
Esta es lo que podríamos considerar una «pesca de arrastre» en la que el objetivo es incrementar las posibilidades de robar datos incrementando la base de potenciales víctimas. Sin embargo, el desarrollador de software David Dodda ha alertado desde su blog de un ataque mucho más elaborado del que ha estado a punto de ser víctima: un ataque selectivo a expertos informáticos camuflado en la prueba técnica de una entrevista de trabajo. Tal y como cuenta en primera persona, «estuve a 30 segundos de ejecutar malware en mi máquina».
Una apariencia de normalidad. Dodda es un programador freelance con varios años de experiencia y recibió una oferta inesperada en LinkedIn que le ofrecía trabajar a tiempo parcial en una startup dedicada al desarrollo de software. «Parecía legítimo. Así que acepté la llamada», aseguraba el desarrollador. El perfil de la empresa en LinkedIn parecía legítimo, contaba con publicaciones previas, empleados, actividad reciente y todo lo verificable en la plataforma. Lo mismo sucedía con la persona que le había contactado.
Tras agendar la entrevista, su contacto le asignó una prueba técnica «para ir adelantando» antes de la entrevista. Algo rutinario para cualquier desarrollador, especialmente en procesos donde se espera evaluar el dominio práctico antes de la entrevista con el reclutador. Esa aparente normalidad de la oferta y la aceptación de la prueba técnica refuerzan el clima de confianza, uno de los elementos más explotados en campañas de ingeniería social orientadas a engañar candidatos.
Código oculto a simple vista. El material técnico de la prueba tampoco levantó las sospechas del desarrollador. Antes de ejecutar el código lo revisó con detalle corrigiendo algunos defectos en una prueba sin mayores complicaciones para un programador experimentado como él. Sin embargo, justo cuando estaba a punto de ejecutarlo, y casi por hábito profesional, «tuve uno de esos momentos paranoicos de los desarrolladores». El experto decidió preguntarle a su asistente de IA Cursor que revisara el código. La sorpresa fue mayúscula.
«Integrado entre funciones de administración legítimas, listo para ejecutarse con todos los privilegios del servidor al acceder a las rutas de administración», así describía el desarrollador el fragmento de malware listo para ejecutarse en su equipo.
Vía libre a todos sus datos. La primera fase del malware estaba diseñada para extraer información crítica: contraseñas, archivos personales, credenciales de sistemas y acceso a los monederos de criptomonedas.
Pero el alcance del ataque iba mucho más allá de los datos personales de la víctima. Según un informe de la consultora Unit 42, los equipos de los desarrolladores alojan datos de servidores y proyectos de terceros, lo que multiplica el valor del ataque si el fraude tiene éxito. En algunos casos analizados, el código malicioso empleaba código aparentemente legítimo y puertas traseras en Python, para garantizar un acceso remoto sin restricciones por parte del atacante.
Análisis de un ataque a la élite. De acuerdo a lo publicado por Telefónica Tech, el objetivo principal de estos ataques no es captar datos básicos de usuarios comunes, sino acceder a recursos de alto valor gestionados por programadores en activo. El engaño se estructura en varias fases donde se explotan elementos como la urgencia, la presión psicológica y la confianza generada en el proceso de selección.
Las pruebas técnicas, especialmente cuando se exigen bajo presión de tiempo, pueden inducir a los candidatos a omitir pasos de seguridad que normalmente ejecutarían en un entorno más relajado. Así, los atacantes consiguen una ruta directa a activos como documentos confidenciales, accesos a servidores de clientes y criptomonedas. Según los análisis de Securonix, estos métodos han evolucionado desde 2022 con ataques dirigidos y persistentes a objetivos relevantes en entornos profesionales.
Imagen | Unasplash (Joan Gamell)
–
La noticia
Los ciberdelincuentes han encontrado el modo perfecto de robar a programadores: en sus entrevistas de trabajo
fue publicada originalmente en
Xataka
por
Rubén Andrés
.
