No te dejes estafar en una entrevista. Últimamente han proliferado timos que imitan procesos de contratación legítimos y buscan que ejecutes código en tu máquina o compartas pantalla para robar credenciales o introducir malware. Como desarrolladores debemos estar alerta y actuar con cautela.
Resumen del método común: te contactan de forma amistosa, hacen una introducción breve sobre la supuesta empresa, muestran un proyecto y piden que compartas pantalla o que clones y ejecutes un repositorio durante la primera llamada. Todo parece profesional hasta que detectas scripts ocultos, ventanas emergentes falsas de extensiones como MetaMask o procesos que exfiltran datos. Si algo te suena apresurado o fuera de lo normal, confía en tu instinto.
Señales de alarma que debes conocer
No usan plataformas de videoconferencia conocidas: desconfía si te piden instalar aplicaciones raras o pasarte a un dominio con aspecto sospechoso. Insiste en usar Zoom, Google Meet, Microsoft Teams o Telegram web. Evita enlaces que imitan dominios legítimos y comprueba siempre el dominio real antes de abrir nada.
Te piden instalar software desconocido: ningún reclutador serio requiere instalar herramientas no estándar para una primera entrevista. Si te piden ejecutar un instalador o dar permisos elevados, corta la llamada y no instales nada.
Te dan acceso a repositorios completos o diseños privados: es raro que una empresa entregue propiedad intelectual completa antes de contratar. Si te solicitan revisar un repo entero o un Figma y dar feedback sin un acuerdo claro, puede ser una trampa.
Te piden compartir pantalla de inicio: compartir pantalla para mostrar tu portfolio puede aceptarse en etapas avanzadas, pero no deberías abrir tu máquina a extraños en la primera entrevista. Compartir pantalla permite ver extensiones, rutas de archivos y posibles secretos en variables de entorno.
Comunicación extraña: lenguaje vago, pocas preguntas técnicas relevantes, alabanzas exageradas, prisas o interrupciones frecuentes son indicios de que no hay un proceso de selección serio. También presta atención a cámaras apagadas, filtros sospechosos o avatares que no encajan con una conversación profesional.
Si el ofrecimiento suena demasiado bueno para ser verdad, probablemente lo sea. Estos estafadores publican vacantes genéricas y prometen salarios altos para atraer a más víctimas.
Cómo protegerte paso a paso
1 Usa entornos aislados: nunca ejecutes código desconocido en tu máquina principal. Opciones seguras y prácticas incluyen GitHub Codespaces, codesandbox, Dev Containers en VSCode, contenedores Docker con una VM limpia o code-server self-hosted. Estos entornos aíslan procesos y facilitan eliminar cualquier rastro después de la prueba.
2 Ejecuta en un navegador sin extensiones: cuando abras una demo web, hazlo en un perfil limpio o en modo incógnito sin extensiones como billeteras web3 activas para evitar filtrado de credenciales.
3 Analiza el código con herramientas y IA: antes de ejecutar, pide tiempo para revisar el repo. Utiliza asistentes como GitHub Copilot, ChatGPT o scans automatizados para buscar scripts maliciosos, dependencias sospechosas u ofuscación. Un prompt sencillo para un agente AI es analizar el código en busca de backdoors o comportamientos anómalos y resumir hallazgos.
4 Pide un ejercicio acotado y limitado: si te piden hacer una tarea para evaluar tus habilidades, solicita un repo reducido o un challenge diseñado para entrevistas. Las tareas de prueba deben tener alcance, instrucciones claras y no requerir acceso a sistemas internos.
5 Evita compartir pantalla innecesariamente: propón alternativas seguras como pair programming en Codesandbox, una Codespace compartida o una sesión en la que ambos tengan control colaborativo y no esté expuesta tu máquina local.
6 Verifica antecedentes: revisa perfiles en LinkedIn, busca la web de la empresa y comprueba fotos con búsqueda inversa si algo no cuadra. Los perfiles clonados o con información contradictoria suelen indicar fraude.
7 Comunica límites claros: si sospechas, di que prefieres usar un entorno aislado y analizar el código primero. Un entrevistador real entenderá y aceptará medidas de seguridad razonables.
Guía práctica rápida usando GitHub Codespaces
Abrir un repositorio en GitHub Codespaces te da un VSCode en el navegador con terminal y extensiones y te permite ejecutar proyectos en un entorno separado. Puedes analizar dependencias, ejecutar linters y utilizar herramientas AI antes de levantar el proyecto. Una vez terminado, detén y borra el Codespace para eliminar datos residuales. Si prefieres control total, crea un contenedor Docker con una instalación limpia o usa Dev Containers para replicar un entorno seguro en tu equipo sin exponer tu entorno habitual.
Qué hacer si sospechas durante la entrevista
Detén la sesión de inmediato, cierra cualquier entorno que hayas abierto y cambia contraseñas si abriste algo accidentalmente. Si compartiste pantalla, revisa extensiones activas y variables de entorno por posibles fugas. Reporta el incidente a la plataforma donde te contactaron y alerta a otros desarrolladores en tu red.
Por qué confiar en Q2BSTUDIO
En Q2BSTUDIO somos una empresa de desarrollo de software con experiencia en soluciones empresariales seguras. Ofrecemos servicios de aplicaciones a medida y software a medida diseñados con prácticas de ciberseguridad desde el inicio, especialistas en inteligencia artificial y consultoría para ia para empresas. También proporcionamos servicios cloud aws y azure, servicios inteligencia de negocio y soluciones con agentes IA y power bi para transformar datos en decisiones. Si buscas un partner que combine desarrollo a medida con protección y cumplimiento, conoce nuestro enfoque en desarrollo de aplicaciones a medida y nuestras estrategias de ciberseguridad.
Conclusión
Las estafas en entrevistas se aprovechan de la confianza y de prácticas inseguras como pedir instalaciones o compartir pantalla demasiado pronto. Mantén tus entornos aislados, usa herramientas de análisis, exige procesos claros y verifica la identidad de quien te contacta. Comparte este artículo con colegas y juniors para que más desarrolladores eviten caer en estas trampas. La prevención y la prudencia son la mejor defensa.