Las entrevistas técnicas son una de las rutina de cualquier desarrollador: montar un entorno, ejecutar un ejercicio y demostrar lógica y fluidez con el teclado. Lo que no estaba en el checklist era preguntarse si ese ejercicio es, en realidad, una carga útil maliciosa.
Estos ciberdelincuentes han perfeccionado un nuevo vector de ataque: transformar pruebas de selección en malware camuflado dirigido a programadores —las llaves que abren servidores, repositorios y monederos criptográficos.
El engaño: parecer legítimo para engañar a un experto
El modus operandi suele arrancar con una oferta convincente en LinkedIn u otra plataforma profesional: perfil de empresa plausible, empleados listados, reuniones agendadas. Luego llega la “prueba técnica para adelantar la entrevista”. Aquí entra la ingeniería social: confianza, prisa y la normalidad del proceso.
Un caso relatado por el desarrollador David Dodda muestra el patrón: código que al ojo inexperto parecía normal, pero que ocultaba llamadas y scripts preparados para ejecutarse con privilegios y extraer credenciales.
Los atacantes aprovechan que algunos candidatos suelen trabajar en sus máquinas con acceso a proyectos, claves SSH y tokens locales. Un solo run malicioso puede volcar archivos, leer variables de entorno o abrir conexiones a servidores remotos controlados por el atacante.
La mecánica técnica: puertas traseras disfrazadas de funciones útiles
En cuestiones técnicas, los vectores son elegantes: snippets Python con funciones de administración aparentemente inocuas, backdoors ofuscados, o scripts que aprovechan paquetes legítimos. También se han detectado puertas traseras que instalan agentes persistentes o crean túneles inversos hacia infraestructuras externas. La especificidad del objetivo (programadores senior, mantenedores de infra) eleva el premio: acceso a repositorios, claves API, datos de clientes y monederos de crypto.
Informes de firmas como Unit 42 y Securonix muestran que desde 2022 han proliferado campañas dirigidas, donde el atacante persigue no usuarios generales, sino profesionales con altos privilegios.
Qué puede hacer un desarrollador (y las empresas) para no caer
La presión del tiempo y la fe en la oferta complican nuestra defensa, pero hay medidas prácticas: ejecutar pruebas en entornos aislados (VMs o contenedores desechables), revisar el código con linters/ofuscation checkers, no usar credenciales reales en ejercicios, desactivar sincronizaciones automáticas y pedir confirmación por canales oficiales. Para empresas: educar, exigir que candidatos usen entornos temporales y monitorear actividad inusual en cuentas vinculadas al proceso.
El reclutamiento como nuevo frente de la ciberguerra
Las entrevistas técnicas han pasado de ser una prueba de habilidad a una superficie de ataque atractiva para delincuentes sofisticados. Cuando la confianza y el apuro se combinan, incluso un programador experimentado puede estar a segundos de ejecutar código que comprometa su mundo profesional. La lección es clara: en el siglo XXI, contratar también implica securizar cada paso del proceso.
