Cómo un candidato falso llega a ser contratado, no solo cómo te estafa

La mayoría de los propietarios ya se preparan para el deepfake que ataca desde fuera: la voz clonada de un director financiero aprobando una transferencia, la videollamada que resulta ser sintética. El patrón de las alertas de junio de 2026 de despachos como Skadden y Crowell va en la dirección contraria. Aquí el deepfake no llama por teléfono para cometer un fraude. Solicita un empleo. Supera la entrevista de video en vivo, presenta un portafolio generado por IA y un historial laboral que parece limpio, y muestra una identidad robada o prestada que pasa una verificación de antecedentes estándar. Luego es contratado en un puesto remoto de ingeniería o de TI, y nadie en tu empresa ha conocido jamás a la persona detrás de la pantalla.

Los informes describen a operativos vinculados a Estados que usan estos métodos a gran escala. Una vez dentro, el trabajador cobra un salario, obtiene acceso legítimo al código y a los datos de clientes, y en casos documentados de aplicación de la ley desvía el sueldo al extranjero, a veces mientras un facilitador local aloja el portátil de la empresa en una llamada granja de portátiles para ocultar la ubicación real. Los fiscales han citado bastante más de un centenar de empresas víctimas en diversos sectores. El punto incómodo para un propietario es que el fraude no es una única transferencia robada que puedas recuperar. Es una persona en tu nómina con una credencial, un acceso y tiempo.

Por qué la exposición recae sobre ti, la empresa que los contrató

El instinto es suponer que una empresa engañada por una operación profesional es simplemente una víctima, y en cierta medida las alertas sí describen así a las empresas que contratan. La realidad más dura es que el riesgo posterior sigue recayendo sobre el empleador. Si un operativo extrae código fuente, registros de clientes o secretos comerciales, tú cargas con las obligaciones de notificación y de brecha de datos. Si tocó tecnología controlada, tú cargas con la cuestión del control de exportaciones. Y cuando hay una jurisdicción sancionada de por medio, la responsabilidad por sanciones puede aplicarse sobre una base de responsabilidad objetiva, lo que significa que puede existir exposición incluso cuando la empresa no sabía a quién estaba pagando en realidad. Las alertas no describen un refugio seguro explícito que exima una contratación involuntaria.

Nada de esto es una predicción sobre tu empresa, y nada aquí es asesoramiento legal ni una acusación contra ninguna persona. Es una descripción de un patrón que los reguladores y los despachos de abogados están señalando ahora, y de dónde recaen las consecuencias. La aplicación de la ley hasta la fecha ha tratado en gran medida a las empresas contratantes como víctimas y no como objetivos, pero la misma orientación señala que una empresa con controles débiles de contratación y monitoreo se encuentra en una posición muy distinta a la de una que puede demostrar que verificó. Para un negocio remoto que contrata ingenieros a los que nunca darás la mano, esa distinción lo es todo.

Qué deberían verificar realmente los propietarios que contratan ingenieros remotos

Las defensas no son exóticas y no son caras en relación con la exposición. Verifica la prueba de vida correctamente en lugar de confiar en que una cámara que funciona signifique una persona real: un paso en persona cuando sea factible, o técnicas de entrevista lo bastante robustas para tensionar una transmisión sintética, como pedir al candidato que se mueva, que sostenga un objeto o que cambie la escena a petición. Verifica credenciales y referencias de forma independiente, contactando a instituciones y empleadores anteriores a través de canales que encuentres tú mismo en lugar de los números de teléfono y correos que el candidato proporciona. Trata los documentos de identidad como algo que confirmar contra la persona, no solo que recolectar.

Dos controles operativos hacen mucho trabajo silencioso. Envía el hardware de la empresa solo a la dirección verificada del documento de identidad, nunca a una dirección de reenvío ni a un punto de recogida, lo que rompe directamente la mecánica de la granja de portátiles. Y exige autenticación multifactor basada en hardware vinculada al dispositivo emitido, de modo que un inicio de sesión desde un país inesperado no pase sin más. Presta atención a las señales que se repiten en los informes: geografías de inicio de sesión que no coinciden, reticencia a aparecer en cámara en condiciones cambiantes, y presión para desviar el pago o el equipo a un lugar distinto de la identidad verificada. Hazle a RR. HH. y a TI, juntos, una pregunta sobre tus últimas contrataciones remotas: podríamos probar, hoy, que cada una de ellas es quien dijo ser.