Publicar falsas ofertas de trabajo en portales de empleo o rastrear a aquellos que mueven su currículum en busca de una oportunidad laboral para posteriormente contactarlos. Estas son algunas de las técnicas que los timadores están empleando en la actualidad para conseguir no sólo dinero de sus víctimas sino también documentos personales como el DNI. Una vez se hacen con este documento, los ciberdelincuentes pueden suplantar nuestra identidad y llevar a cabo actividades ilícitas en nuestro nombre, como ya os explicamos en Maldita.es.
Pero, ¿hay algo que podamos hacer nosotros para prevenir exponernos a estos timos? Según especialistas en privacidad a los que hemos consultado, debemos tomar cartas en el asunto y saber en qué momentos debemos enviar una foto de nuestro DNI y cuándo es prescindible.
No debemos dar el DNI hasta que no firmemos el contrato, según expertos en protección de datos
Algunas de estas falsas ofertas que hemos visto en los últimos días ponen diferentes excusas para conseguir un documento. Es el caso de la que buscaba dependientes en una tienda de Córdoba. Aseguraban que debido a la pandemia de la COVID-19 estaban haciendo entrevistas en remoto, por lo que los interesados debían mandar tanto una copia de su DNI como su número de teléfono.
“Durante un proceso de selección el empleador no necesita nuestra copia del DNI para nada”, indica Verónica Alarcón, abogada especializada en protección de datos en ePrivacidad. Si nos solicitan nuestro DNI en esta fase, continúa, debemos desconfiar inmediatamente y preguntarles para qué lo quieren.
Según Alarcón, “aquí entra en juego el conocido sesgo de autoridad. Tendemos a no cuestionar a una figura de autoridad (que en este caso sería el empleador) y a acatar lo que nos diga sin pensar en las consecuencias”.
Con ella coincide la también abogada especializada en derecho digital, privacidad y protección de datos en Meraki Abogados, Camino García. “En el caso de empresas privadas, y más aún cuando presentamos una candidatura espontánea, en principio el dato del DNI no es necesario”, explica.
No ocurre lo mismo, según García, “en caso de participación en procesos de selección de una administración pública”, cuando sí que “puede ser necesaria la aportación del dato del DNI del candidato”, para cumplir con unos requisitos de publicidad y transparencia y usar “información del DNI para identificar a los candidatos seleccionados/excluidos”.
Entonces, ¿en qué momento del proceso de selección (siempre que estemos postulándonos a una oferta de una empresa privada) es recomendable que enviemos una foto del DNI si nos lo piden? Alarcón considera que sólo es necesario cuando “se vaya a firmar el contrato de trabajo pero no durante las fases anteriores”. Además, insiste en que si nos piden por internet una copia para el contrato de trabajo “deberíamos negarnos y facilitar, a lo sumo, únicamente el número del DNI pero no una copia”.
De hecho, el maldito y abogado especializado en nuevas tecnologías Miguel Vieito Villar nos aconseja seguir el llamado principio de "minimización de los datos" de la Agencia Española de Protección de Datos (AEPD). “Este obliga a los entes encargados del tratamiento a tener el menor número de datos posible que les permita cumplir la finalidad que persiguen con ellos. Por ejemplo: para tener un registro de nuestro CV y perfil laboral, el dato DNI parece irrelevante o, al menos, innecesario. En cambio, datos como el teléfono o el email sí parecen tener sentido. Es decir, que si nos piden el documento de identidad para una oferta de trabajo debemos sospechar, porque cualquier empresa que recepcione currículums debe tener una política seria y respetuosa de gestión de datos”, explica.
Compartir el CV por redes sociales o portales de empleo para encontrar trabajo: cuanto menos datos personales hagamos circular, mejor
En ocasiones, la necesidad de encontrar trabajo nos lleva a publicar nuestro currículum en portales de empleo o incluso en redes sociales como LinkedIn. Su difusión nos puede hacer llegar a más gente, pero tenemos que tener en cuenta que también significa una exposición pública de información personal muy relevante. "Divulgar nuestra información personal en abierto tiene riesgos, desde luego. Bajar la guardia en plena búsqueda de empleo, ya sea por un estado de necesidad o precariedad, nos hace subestimar los riesgos o desatenderlos”, nos explica Vieito Villar.
“Por tedioso que fuese, lo ideal es enviar CV únicamente a procesos que sepamos que están activos, y no dejarlo disponible en abierto en espera de que vengan a buscarnos. Tengamos en cuenta que el propio perfil de LinkedIn, por ejemplo, es un buen escaparate en el que podemos dejarnos ver nuestros puntos fuertes, sin dar todos nuestros datos”, añade.
También nos recuerda que “una empresa no debe coger nuestro CV sin más e ingresarlo en sus propias bases de datos”. En el portal de empleo LinkedIn, por ejemplo, se vulneran los términos y condiciones si una empresa recoge información dentro de la red para usarla en su beneficio sin permiso. El abogado lo equipara con las fotos que subimos a Facebook: “Eso no implica que sean de dominio público y que cualquiera pueda usarlas”.
La abogada Camino García señala que en caso de hacer circular el CV por portales de empleo o enviarlo a través del correo electrónico a una empresa, si el receptor de dicho currículum no está interesado en el perfil, “debe eliminar la información e indicar al candidato que se han suprimido sus datos y no se realizará tratamiento de su información. Si por el contrario el receptor del currículum decide incorporar los datos del interesado a la base de datos de candidatos, deberá informarle sobre el contexto del tratamiento, en los términos previstos en el artículo 13 del Reglamento General de Protección de Datos”.
Ya lo vimos en el caso de un empleador que pidió un CV a través de WhatsApp pero nunca contestó a la persona que buscaba empleo: la Agencia Española de Protección de Datos (AEPD) multó a la empresa por no informar al interesado de cómo iban a usar los datos incluidos en el currículum.
En resumen, cuantos menos datos personales hagamos circular, mejor. “No sabemos qué pueden hacer con ellos y para la búsqueda de empleo no es necesario que colguemos un CV donde conste nuestro número de DNI o nuestro domicilio completo, bastaría con poner la ciudad donde residimos, por ejemplo”, añade Alarcón.
¿En qué momento debemos sospechar de una oferta de trabajo que pretenda hacerse con nuestros documentos?
Verónica Alarcón señala que “en la actualidad existen multitud de ataques de ingeniería social para conseguir imágenes de documentos identificativos oficiales como el DNI para luego cometer algún tipo de tropelía con ellos”. Pero si, por ejemplo, nos están hablando por WhatsApp, “podemos pedirle a esa persona que nos facilite un número de teléfono de la empresa alternativo al número de WhatsApp donde poder llamar o pedir a esa persona otros datos sobre la empresa que está detrás”. También nos aconseja sospechar cuando el interlocutor presiona y mete prisa a quien busca trabajo, una técnica muy usada por los ciberdelincuentes.
En Maldita.es ya os hemos contado que enviar nuestro DNI a cualquier persona que nos lo pida puede tener múltiples riesgos, entre los que se encuentra la suplantación de identidad para llevar a cabo actividades fraudulentas en nuestro nombre, por ejemplo para timar a otras personas.
Al igual que con el DNI, si hacemos circular nuestro CV por redes sociales o plataformas, los ciberdelincuentes “pueden utilizar esos datos para realizar ataques de phishing dirigidos (saben dónde vives, dónde has estudiado, dónde has trabajado últimamente… por lo que van a tener suficientes datos para poder engañarte haciéndose pasar por lo que no son) o adquirir información sobre esa persona para utilizarla posteriormente”, añade Alarcón. Cuantos menos datos exactos podamos dar para transmitir el mismo mensaje (que vives en Madrid y no en la calle Cáceres del distrito de Arganzuela), mejor.
En definitiva, la abogada señala que todo pasa por tener algo de sentido común a la hora de compartir información en internet y, “especialmente ser conscientes de que con una copia de nuestro DNI es posible realizar multitud de actos, tanto ante empresas privadas (por ejemplo abrir una cuenta corriente en un banco online) como ante la propia Administración”.
En este artículo ha colaborado con sus superpoderes el maldito Miguel Vieito Villar, abogado especializado en nuevas tecnologías.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 04/03/2022