Ciencia y Tecnología
Creían que habían encontrado trabajo en grandes empresas. En realidad estaban siendo engañados: así funciona la trampa
<p>
 <img src="https://i.blogs.es/290a36/phishing-marcas-campana-portada/1024_2000.jpeg" alt="Creían que habían encontrado trabajo en grandes empresas. En realidad estaban siendo engañados: así funciona la trampa ">
 </p>
<p>Buscar trabajo ya tiene bastante carga como para que además se tenga que sospechar de cada mensaje que llega a la bandeja de entrada. Y, sin embargo, eso es justo lo que plantea la campaña sobre la que ha alertado <a class="text-outboundlink" href="https://www.xataka.com/basics/nordvpn-guia-22-funciones-trucos-para-exprimir-al-maximo-servicio-vpn-tu-dispositivo" data-vars-post-title="NordVPN: guía con 22 funciones y trucos para exprimir al máximo este servicio de VPN en tu dispositivo" data-vars-post-url="https://www.xataka.com/basics/nordvpn-guia-22-funciones-trucos-para-exprimir-al-maximo-servicio-vpn-tu-dispositivo">NordVPN</a>: una trampa montada para parecer una oportunidad real. No hablamos de un correo torpe ni de una web chapucera, sino de algo bastante más afinado, con nombres como <strong>Meta, Disney, Coca-Cola o Spotify</strong> como reclamo. Ahí está la clave de todo: juegan con la ilusión de quien cree que puede estar a las puertas de una entrevista o de un nuevo empleo, cuando en realidad está entrando en un fraude.</p>
<p><!-- BREAK 1 --></p>
<p>La investigación alerta de una campaña de <a class="text-outboundlink" href="https://www.xataka.com/basics/que-phishing-como-funciona" data-vars-post-title="Phishing: qué es este tipo de ataque y cómo protegerte de él" data-vars-post-url="https://www.xataka.com/basics/que-phishing-como-funciona">phishing</a> dirigida específicamente a personas que buscan empleo. Los atacantes han montado una cadena de ataque en varias fases que suplanta a grandes marcas y busca llevar a la víctima hasta un punto muy concreto: una falsa pantalla de acceso con la que pretenden quedarse con sus credenciales de Facebook. Veamos en detalle la estrategia de estos ciberdelincuentes.</p>
<h2>La mecánica detrás del fraude que imita procesos de selección reales</h2>
<p>Todo arranca con correos de contratación enviados en frío, redactados con cuidado y con un tono profesional que busca parecerse al de las comunicaciones reales de recursos humanos. No es un detalle menor que algunos de esos envíos se hagan mediante servicios legítimos como <strong>Google AppSheet</strong>, porque eso no solo puede ayudar a esquivar filtros de spam, también contribuye a que la escena resulte más creíble para la persona que está al otro lado. La trampa, al menos al principio, no se presenta de forma burda, sino con una apariencia muy cuidada.</p>
<p><!-- BREAK 2 --></p>
<div class="article-asset-video article-asset-normal">
<div class="asset-content">
<div class="base-asset-video">
<div class="js-dailymotion"></div>
</p></div>
</p></div>
</div>
<p>A partir de ahí aparece una de las piezas más peculiares de toda la cadena: los llamados dominios “HUB”. Según detalla la investigación, se trata de páginas que no muestran su contenido más delicado a cualquiera que entre directamente. Si un analista de seguridad o un sistema automatizado visita ese dominio sin venir del enlace concreto incluido en el correo, lo que encuentra es una web genérica, sin apenas actividad visible. La parte verdaderamente importante solo se activa cuando la visita llega desde esa referencia específica, que actúa como llave y deja al descubierto el siguiente paso del engaño.</p>
<p><!-- BREAK 3 --></p>
<p>El siguiente movimiento de la campaña consiste en darle a la víctima justo lo que espera ver después de un correo de contratación convincente: una web con apariencia de portal laboral. La investigación explica que, tras ese primer acceso, el usuario aterriza en un <strong>dominio intermedio </strong>que simula un portal de ofertas de empleo legítimo y en el que puede consultar puestos que parecen reales y asociados a la empresa cuya identidad están suplantando. Cuanto más se parezca la escena a una búsqueda de empleo normal, más fácil resulta que la persona interprete todo lo que viene después como una parte lógica del mismo proceso.</p>
<p><!-- BREAK 4 --></p>
<div class="article-asset-image article-asset-normal article-asset-center">
<div class="asset-content">
<div class="caption-img ">
<p> <img alt="Phishing" class="centro_sinmarco" src="https://i.blogs.es/e8765e/phishing/450_1000.jpeg"></p>
<p> <span>La campaña replica páginas de empleo legítimas y utiliza el inicio de sesión con Facebook como gancho</span>
 </div>
</p></div>
</div>
<p>El momento decisivo llega cuando la víctima pulsa en “Solicitar” o “Enviar solicitud”. Ese clic no abre un formulario laboral ni una siguiente fase del supuesto proceso de selección, sino una página de phishing que pide iniciar sesión con Facebook para continuar. Ahí es donde la trampa deja de insinuarse y empieza a ejecutar su verdadero propósito. Todo lo anterior estaba pensado para llevar a ese punto exacto, uno en el que la petición puede parecer una simple verificación más dentro de la candidatura, cuando en realidad lo que se está entregando son las credenciales de la cuenta.</p>
<p><!-- BREAK 5 --></p>
<div class="article-asset article-asset-normal article-asset-center">
<div class="desvio-container">
<div class="desvio">
<div class="desvio-figure js-desvio-figure">
 <a href="https://www.xataka.com/robotica-e-ia/claude-mythos-da-miedo-sabe-bien-ingeniero-que-comia-sandwich-parque-cuando-recibio-terrorifico-email-esta-ia" class="pivot-outboundlink" data-vars-post-title="Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos"><br />
 <img alt="Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos" width="375" height="142" src="https://i.blogs.es/bf7b50/anthropic-3/375_142.jpeg"><br />
 </a>
 </div>
<div class="desvio-summary">
<div class="desvio-taxonomy js-desvio-taxonomy">
 <a href="https://www.xataka.com/robotica-e-ia/claude-mythos-da-miedo-sabe-bien-ingeniero-que-comia-sandwich-parque-cuando-recibio-terrorifico-email-esta-ia" class="desvio-taxonomy-anchor pivot-outboundlink" data-vars-post-title="Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos">En Xataka</a>
 </div>
<p> <a href="https://www.xataka.com/robotica-e-ia/claude-mythos-da-miedo-sabe-bien-ingeniero-que-comia-sandwich-parque-cuando-recibio-terrorifico-email-esta-ia" class="desvio-title js-desvio-title pivot-outboundlink" data-vars-post-title="Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos">Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos</a>
 </div>
</p></div>
</p></div>
</div>
<p>La supuesta oportunidad laboral no era más que el decorado de una operación con un propósito bastante más concreto. Según explica la investigación, el objetivo final es <strong>robar las credenciales de Facebook</strong> y obtener así acceso a la cuenta de la víctima, con la posibilidad de comprometer también otros servicios conectados a ella. Por eso conviene quedarse con una idea práctica: antes de introducir cualquier credencial hay que revisar bien la URL, comprobar que estamos en el dominio oficial y desconfiar de cualquier inicio de sesión extraño.</p>
<p><!-- BREAK 6 --></p>
<p>Imágenes | Xataka con Grok | NordVPN</p>
<p>En Xataka | <a class="text-outboundlink" href="https://www.xataka.com/robotica-e-ia/eeuu-ha-nombrado-tenientes-coroneles-a-directivos-meta-palantir-openai-tenemos-muchas-preguntas" data-vars-post-title="La IA es crucial para el ejército de EEUU. Así que está nombrando tenientes generales a líderes de OpenAI y Palantir" data-vars-post-url="https://www.xataka.com/robotica-e-ia/eeuu-ha-nombrado-tenientes-coroneles-a-directivos-meta-palantir-openai-tenemos-muchas-preguntas">La IA es crucial para el ejército de EEUU. Así que está nombrando tenientes generales a líderes de OpenAI y Palantir</a></p>
<p> &#8211; <br /> La noticia<br />
 <a href="https://www.xataka.com/seguridad/creian-que-habian-encontrado-trabajo-grandes-empresas-realidad-estaban-siendo-enganados-asi-funciona-trampa?utm_source=feedburner&;utm_medium=feed&;utm_campaign=23_Apr_2026"><br />
 <em> Creían que habían encontrado trabajo en grandes empresas. En realidad estaban siendo engañados: así funciona la trampa </em><br />
 </a><br />
 fue publicada originalmente en<br />
 <a href="https://www.xataka.com/?utm_source=feedburner&;utm_medium=feed&;utm_campaign=23_Apr_2026"><br />
 <strong> Xataka </strong><br />
 </a><br />
 por<br />
 <a href="https://www.xataka.com/autor/javier-marquez?utm_source=feedburner&;utm_medium=feed&;utm_campaign=23_Apr_2026"><br />
 Javier Marquez<br />
 </a><br />
 . </p>
<p> Buscar trabajo ya tiene bastante carga como para que además se tenga que sospechar de cada mensaje que llega a la bandeja de entrada. Y, sin embargo, eso es justo lo que plantea la campaña sobre la que ha alertado NordVPN: una trampa montada para parecer una oportunidad real. No hablamos de un correo torpe ni de una web chapucera, sino de algo bastante más afinado, con nombres como Meta, Disney, Coca-Cola o Spotify como reclamo. Ahí está la clave de todo: juegan con la ilusión de quien cree que puede estar a las puertas de una entrevista o de un nuevo empleo, cuando en realidad está entrando en un fraude.<br />
La investigación alerta de una campaña de phishing dirigida específicamente a personas que buscan empleo. Los atacantes han montado una cadena de ataque en varias fases que suplanta a grandes marcas y busca llevar a la víctima hasta un punto muy concreto: una falsa pantalla de acceso con la que pretenden quedarse con sus credenciales de Facebook. Veamos en detalle la estrategia de estos ciberdelincuentes.<br />
La mecánica detrás del fraude que imita procesos de selección reales<br />
Todo arranca con correos de contratación enviados en frío, redactados con cuidado y con un tono profesional que busca parecerse al de las comunicaciones reales de recursos humanos. No es un detalle menor que algunos de esos envíos se hagan mediante servicios legítimos como Google AppSheet, porque eso no solo puede ayudar a esquivar filtros de spam, también contribuye a que la escena resulte más creíble para la persona que está al otro lado. La trampa, al menos al principio, no se presenta de forma burda, sino con una apariencia muy cuidada.</p>
<p>A partir de ahí aparece una de las piezas más peculiares de toda la cadena: los llamados dominios “HUB”. Según detalla la investigación, se trata de páginas que no muestran su contenido más delicado a cualquiera que entre directamente. Si un analista de seguridad o un sistema automatizado visita ese dominio sin venir del enlace concreto incluido en el correo, lo que encuentra es una web genérica, sin apenas actividad visible. La parte verdaderamente importante solo se activa cuando la visita llega desde esa referencia específica, que actúa como llave y deja al descubierto el siguiente paso del engaño.</p>
<p>El siguiente movimiento de la campaña consiste en darle a la víctima justo lo que espera ver después de un correo de contratación convincente: una web con apariencia de portal laboral. La investigación explica que, tras ese primer acceso, el usuario aterriza en un dominio intermedio que simula un portal de ofertas de empleo legítimo y en el que puede consultar puestos que parecen reales y asociados a la empresa cuya identidad están suplantando. Cuanto más se parezca la escena a una búsqueda de empleo normal, más fácil resulta que la persona interprete todo lo que viene después como una parte lógica del mismo proceso.</p>
<p> La campaña replica páginas de empleo legítimas y utiliza el inicio de sesión con Facebook como gancho</p>
<p>El momento decisivo llega cuando la víctima pulsa en “Solicitar” o “Enviar solicitud”. Ese clic no abre un formulario laboral ni una siguiente fase del supuesto proceso de selección, sino una página de phishing que pide iniciar sesión con Facebook para continuar. Ahí es donde la trampa deja de insinuarse y empieza a ejecutar su verdadero propósito. Todo lo anterior estaba pensado para llevar a ese punto exacto, uno en el que la petición puede parecer una simple verificación más dentro de la candidatura, cuando en realidad lo que se está entregando son las credenciales de la cuenta.</p>
<p> En Xataka</p>
<p> Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos</p>
<p>La supuesta oportunidad laboral no era más que el decorado de una operación con un propósito bastante más concreto. Según explica la investigación, el objetivo final es robar las credenciales de Facebook y obtener así acceso a la cuenta de la víctima, con la posibilidad de comprometer también otros servicios conectados a ella. Por eso conviene quedarse con una idea práctica: antes de introducir cualquier credencial hay que revisar bien la URL, comprobar que estamos en el dominio oficial y desconfiar de cualquier inicio de sesión extraño.</p>
<p>Imágenes | Xataka con Grok | NordVPN</p>
<p>En Xataka | La IA es crucial para el ejército de EEUU. Así que está nombrando tenientes generales a líderes de OpenAI y Palantir</p>
<p> &#8211; La noticia</p>
<p> Creían que habían encontrado trabajo en grandes empresas. En realidad estaban siendo engañados: así funciona la trampa </p>
<p> fue publicada originalmente en</p>
<p> Xataka </p>
<p> por </p>
<p> Javier Marquez</p>
<p> . </p>