Ataque al becario: así es el nuevo timo que engaña a estudiantes recién contratados con misiones falsas del jefe

Los ciberdelincuentes aprovechan ahora la inexperiencia de los jóvenes profesionales para realizar fraudes personalizados utilizando datos de redes sociales
— Frena la sensación de urgencia: así hackean tu mente los ciberestafadores y los trucos para evitarlo

28 de marzo de 2025 22:21 h

Actualizado el 29/03/2025 12:28 h

Es una de tus primeras experiencias profesionales, quizá la primera realmente relacionada con aquello en lo que has pasado los últimos años formándote. Apenas llevas unos días en la empresa cuando te llega un correo interno de tu jefe. No de la persona que te supervisa en el día a día y con la que has tenido más contacto, sino de alguien de otro departamento o por encima de ella en el escalafón. Te da una orden directa: “Hola, estás libre ahora mismo? Contáctame enseguida por WhatsApp, este es mi número”.

Así comienza el ataque al becario, una variante del conocido fraude del CEO. En su versión clásica, los ciberdelincuentes suplantan la identidad del máximo de la empresa, se ponen en contacto con un empleado con acceso a las cuentas bancarias y le piden que haga un pago a un cliente, que en realidad acabará en su poder. En la nueva variante, los atacantes fijan como objetivo el eslabón más débil de la cadena: los estudiantes en prácticas recién contratados.

“Me acaban de crear la dirección de email de la empresa y aún no tenía los contactos de casi ninguno de mis compañeros. En mi segundo día me escribió un supuesto Quique”, explica Jorge Lantero. Quique es Quique Cervera, directivo de cuentas de Eureka PR, una agencia de comunicación española en la que Lantero acaba de ser contratado en prácticas. “Me dijo que estaba en una conferencia y que necesitaba que hiciera una tarea rápida, pero que era urgente y que le escribiera por WhatsApp”, continúa en conversación con este medio.

“El número al que yo escribí era un número español completamente normal. Tenía la foto de perfil de Quique y su nombre y apellidos, por lo que al principio pensé que era él”, admite. “Esa persona me pidió primero que le mirara si había sitios cercanos a la oficina donde poder comprar tarjetas regalo de Apple para dárselas a unos clientes. Después, me preguntó si podía acercarme yo a comprarlas. Ahí ya me empezó a sonar todo bastante raro... ¡Yo teletrabajo!”.

Foto robada y sensación de urgencia

El hecho de que su presunto superior no entendiera que el trabajo de Lantero iba a ser desde su casa durante un tiempo debido a una lesión y aun así le insistiera para que fuera a comprar tarjetas de regalo de Apple y le mandara una fotografía de estas (en las que sale un código que, una vez cajeado, impide la devolución del dinero) fue el punto definitivo. El joven contactó con su responsable de prácticas dentro de la empresa y el intento de fraude se vino abajo.

No se trata de un caso aislado. Becarios de elDiario.es también han sido objetivos de este tipo de ataques, sin éxito, ya que este medio no utiliza WhatsApp como sistema de comunicación interno. Como en el caso de Lantero, un detalle que reveló el desconocimiento de los ciberdelincuentes sobre la realidad organizacional hizo caer su fachada. No obstante, la situación ha obligado a modificar el manual de bienvenida para los estudiantes en prácticas para alertar sobre este tipo de suplantaciones.

“En dos semanas, Jorge ha recibido cuatro o cinco más. Hoy mismo [por el jueves] le han vuelto a escribir haciéndose pasar por mí con una foto robada de mi LinkedIn”, confirma Quique Cervera, de Eureka. “Creemos que fue a través de LinkedIn de dónde sacaron los datos, a través de una publicación de Jorge que yo comenté. Es injusto y no debería ser así, pero tenemos que ser conscientes de que lo publicado en redes ahora es susceptible de ser usado en este tipo de acciones”, prosigue.

“Nosotros creemos que lo que hay que hacer aquí es más una labor de concienciación para que todo el mundo sea consciente de que esto puede pasar. Desde que tuvimos constancia de este tipo de casos avisamos a todos los nuevos empleados para que tengan cuidado”, afirma Cervera: “Sobre todo para que tengan muy presente que este tipo de cosas no se piden de manera urgente, que es el elemento del que siempre se aprovechan este tipo de estafas. De provocarle una sensación de estrés a una persona recién llegada por una petición directa de un directivo”.

Epidemia de suplantaciones

Desde el Instituto Nacional de Ciberseguridad (Incibe) explican a este medio que el phishing es el tipo de estafa por el que más consultas se reciben. “Si nos centramos en los incidentes de ciberseguridad reportados por empresas en el último año en nuestro servicio de la Línea de Ayuda 017, nos encontramos con la suplantación de identidad como la temática más recurrente, con el 19,1% del total de las 98.546 consultas gestionadas durante 2024”, detallan fuentes del organismo.

El Incibe, encargado de la ciberseguridad de empresas y ciudadanos, destaca además que fraudes personalizados como estos se lanzan ya contra organizaciones de todo tipo. “Muchas pequeñas y medianas empresas siguen sin darle la importancia que merece a la ciberseguridad, creyendo erróneamente que los ciberdelincuentes solo atacan a grandes corporaciones. Sin embargo, la realidad es que cualquier empresa, sin importar su tamaño, puede ser un objetivo”, alertan.

Hay un motivo por el que el phishing sigue siendo el fraude más repetido desde hace años. “Es una de las prácticas más rentables para el cibercrimen”, revela Miguel López, de la firma de ciberseguridad Barracuda. “En el caso del ataque a los becarios probablemente se trate más de algo local, algún grupo que se haya dedicado a este tipo de campañas. Al final todas tienen un elemento en común, que es el de la ingeniería social, que tratar de aprovechar que el eslabón más débil en la cadena de la ciberseguridad suele ser el humano”, recuerda.

“Aquí además lo dirigen contra becarios o gente que se acaba de incorporar a la empresa para personalizarlo aún más. Lo que hay que tener presente es que además las técnicas van a ser cada vez más refinadas con la inteligencia artificial. Los mensajes con faltas de ortografía o problemas de redacción que evidenciaban que se trataba de un phishing son cosa del pasado. Ya estamos empezando a ver suplantaciones incluso de la voz y de la imagen”, avisa el experto. elDiario.es adelantó que las fuerzas de seguridad españolas ya han registrado casos de este tipo.

¿Qué ocurre si la estafa tiene éxito?

En el fraude del CEO tradicional, el objetivo de los ciberdelincuentes suele ser engañar a los empleados para lograr grandes sumas de dinero provenientes de las arcas de la empresa. En España, la EMT de Valencia llegó a perder cuatro millones con este timo. En casos como este, a no ser que la compañía pueda demostrar que ha existido una negligencia manifiesta del trabajador, como no respetar los protocolos de seguridad, esta tendrá que asumir la pérdida.

Sin embargo, en los ataques a los becarios, los estafadores buscan que sean estos los que corran con el gasto. “Se te reembolsará tan pronto como finalice la reunión”, le promete el ciberdelincuente a Jorge Lantero durante su conversación. Este caso cae en una zona gris, puesto que la empresa no tiene la obligación legal de reponer ese dinero. Sin embargo, las diferentes fuentes consultadas están de acuerdo en que se trata de una “responsabilidad moral”, ya que lo que ha convertido a los jóvenes en objetivos del timo es precisamente su vinculación con la empresa.

Por ello, tanto desde el Incibe como desde Barracuda inciden que la “concienciación” es la pieza clave del puzle para evitar este tipo de situaciones. “Por ello es tan importante mejorar la seguridad digital, tanto en el ámbito personal como profesional. Es fundamental concienciar a los empleados, ya que ellos son la primera línea de defensa y cualquier dato, por insignificante que parezca, puede ser explotado con fines delictivos”, dicen desde el organismo de ciberseguridad.

Ante este tipo de amenazas, los expertos recomiendan mantener una actitud vigilante y crítica. La clave está en verificar siempre la identidad del remitente en los correos electrónicos (y si la dirección email concuerda efectivamente con el usado en la empresa). Desconfiar de mensajes urgentes, y nunca proporcionar datos personales o confidenciales sin una comprobación previa. Las herramientas digitales pueden ser aliadas: filtros antispam, verificación de conexiones seguras, uso de firma digital y, sobre todo, la comunicación directa con los canales oficiales de la empresa pueden ser la mejor defensa contra estos fraudes cada vez más sofisticados.