Un postulante perfecto: bilingüe, con maestría en ciberseguridad, referencias brillantes y tres años de experiencia comprobable en empresas que suenan bien. La entrevista va impecable. Le contratan. Y dos meses después descubres que la persona que pasó por todo ese proceso... nunca existió.

No es una película. Es el fraude laboral digital, y según el FBI Internet Crime Complaint Center (IC3), los reportes de este tipo de fraude relacionados con trabajo remoto aumentaron un 54% en 2024, incluyendo casos de robo de identidad, espionaje corporativo y acceso no autorizado a infraestructura crítica.

El fraude laboral ya no es un engaño administrativo. Es una modalidad de ataque dentro del ciberespacio corporativo, y muchos equipos de seguridad ni siquiera saben que está en su radar de amenazas.

De la oportunidad al abuso: cómo el trabajo remoto se volvió terreno fértil

El trabajo remoto nació como respuesta a la pandemia, pero su adopción acelerada redujo la verificación presencial y multiplicó los puntos ciegos. Cuando no puedes mirar a los ojos a quien contratas, la superficie de ataque de los procesos de RRHH se expande dramáticamente.

El fraude laboral se manifiesta hoy en tres formas documentadas. La primera es la suplantación de identidad: candidatos que usan documentos manipulados, deepfakes generados por IA o incluso terceros que se presentan a entrevistas virtuales en nombre de otro. El FBI alertó desde 2023 sobre el auge de los "deepfake employment scams", donde videos sintéticos permiten que impostores pasen procesos de selección completos sin ser detectados.

La segunda es el fraude por externalización, empleados que mantienen dos o más trabajos a tiempo completo simultáneamente o subcontratan su labor a freelancers en otros países. No siempre es criminal, pero erosiona la confidencialidad y puede romper contratos con clientes que asumen exclusividad en proyectos sensibles.

La tercera, la más peligrosa, es la infiltración corporativa con fines de espionaje: Mandiant documentó en 2024 cómo operadores norcoreanos se infiltraron en empresas estadounidenses de software, no para cobrar un salario sino para acceder a datos, redes y propiedad intelectual con implicaciones geopolíticas directas.

Un vector de ataque más caro que el malware

Un impostor con acceso remoto a sistemas críticos puede ser más peligroso que cualquier malware, porque sus movimientos parecen legítimos durante semanas o meses. Bajo la apariencia de empleado verificado, un atacante puede instalar software de acceso remoto no autorizado (RATs), extraer credenciales de VPN o insertar backdoors en código que nadie va a auditar con sospecha porque proviene del empleado de confianza.

Check Point Research (2024) documentó el caso de un "empleado remoto" que, tras ser contratado como soporte técnico en una fintech, filtró 250 GB de datos de clientes antes de desaparecer. La identidad, el currículo y la VPN utilizada eran fabricados. El ataque llevó meses de preparación y dejó daño real. El equipo de seguridad había asumido que el proceso de RRHH era la primera línea de defensa. No lo era.

En otras palabras, el fraude laboral es la nueva ingeniería social corporativa, y es más barata de ejecutar que un ataque técnico sofisticado.

Señales de alerta que los equipos de talento no reconocen

Basado en reportes de Nisos (2025), CyberArk y Recorded Future, las señales más comunes aparecen en dos momentos críticos. Antes de la contratación: inconsistencias entre currículo, LinkedIn y certificaciones verificables, falta total de huella digital activa, referencias imposibles de rastrear o desincronización entre rostro y voz durante entrevistas remotas que puede indicar un deepfake en tiempo real. Después de la contratación: desempeño inconsistente con el perfil técnico presentado, accesos desde IPs o zonas horarias que no coinciden con la ubicación declarada, uso constante de cámaras desconectadas durante reuniones, o solicitudes sospechosas de envío de equipos a terceras direcciones.

Incluso detalles como la incapacidad de responder preguntas casuales sobre su entorno físico ("¿cómo está el clima allá esta semana?") pueden revelar que la persona al otro lado no está donde dice estar.

Por qué las políticas de RRHH actuales no bastan

La mayoría de las empresas confía en verificaciones de antecedentes y entrevistas técnicas diseñadas para otro mundo. Esas herramientas no fueron construidas para detectar identidades sintéticas, deepfakes o fraudes digitales complejos. El Deloitte Cyber Workforce Study 2024 señala que el 72% de las organizaciones no cuenta con protocolos específicos para validar identidades digitales en procesos remotos. Ese vacío se ha convertido en terreno fértil para infiltraciones criminales y estatales.

Hacia una estrategia integral contra el fraude laboral

Enfrentar esta amenaza exige integrar funciones que históricamente operaron en silos separados:

1. Verificación biométrica y antifraude digital. Tecnologías de autenticación facial con detección activa de deepfakes durante el proceso de contratación, no solo al incorporar el empleado al sistema.
2. Integración entre RRHH, legal y ciberseguridad. El fraude laboral no es un problema administrativo: es una amenaza híbrida. Los tres equipos deben compartir alertas, datos e inteligencia (OSINT) sobre anomalías en el personal desde el primer día.
3. Monitoreo de comportamiento digital (UEBA). Análisis de patrones atípicos en empleados remotos: horarios inusuales, volúmenes de acceso anómalos, intentos de elevar privilegios sin justificación.
4. Auditoría de accesos y dispositivos con políticas de acceso remoto seguro. Validar continuamente la geolocalización real, los equipos registrados y los patrones de conexión, aplicando principios de Zero Trust que verifican cada sesión independientemente de si el usuario "ya fue verificado" al momento de contratar.
5. Formación de líderes y reclutadores. Educar a los responsables de talento en ciberseguridad humana: cómo identificar inconsistencias, cómo validar identidades digitales y cómo activar el protocolo correcto ante sospechas. RRHH es ahora la primera línea de defensa y nadie les dio ese entrenamiento.

El factor LATAM: donde el riesgo se multiplica sin herramientas

En Colombia, México y Brasil, el trabajo remoto internacional creció exponencialmente post-pandemia, pero los marcos de verificación no crecieron con él. Las pymes contratan talento global con presupuestos de verificación local. Los equipos de RRHH de una empresa mediana en Bogotá o Monterrey no tienen ni el entrenamiento ni las herramientas para detectar un deepfake de calidad media en una videollamada.

Y los atacantes lo saben. Un fraudador con un perfil bien construido y acceso a herramientas de síntesis de voz puede infiltrarse en una empresa latinoamericana en semanas, con mucho menos resistencia que en el mercado estadounidense o europeo, donde los controles empiezan a madurar.

El fraude laboral no es un efecto colateral del trabajo remoto. Es su evolución natural en manos del crimen digital. En un entorno donde la identidad se puede fabricar con IA y las entrevistas se realizan por videollamada, la frontera del riesgo ya no está fuera de la organización, sino dentro de la nómina.

¿Cuántos de tus empleados remotos actuales pasarían un proceso de reverificación de identidad hoy, y cuántos fueron contratados con procesos diseñados para un mundo donde sí podías estrechar la mano?