Nota importante: el actor malicioso no logró acceder a ningún sistema de cside. Esta entrada del blog tiene como único propósito servir de advertencia a otros fundadores de startups y empleadores.
Al publicar una oferta para un ingeniero senior full-stack, nos entusiasmamos bastante al recibir rápidamente un par de cientos de currículums que parecían prometedores.
Dediqué unas horas a seleccionar los perfiles más relevantes y les envié una prueba técnica a través de Coderbyte. Varios candidatos devolvieron la tarea rápidamente con resultados aceptables, así que avanzamos hacia una entrevista para hablar sobre el código que habían escrito.
Al unirme a la llamada, varias cosas llamaron mi atención.
- El candidato en cuestión tenía el nombre más inventado y americanizado que puedas imaginar. Del estilo "Tommy Jackson".
- El candidato tenía ruido de fondo similar al de un centro de llamadas.
- El inglés del candidato era muy deficiente y mostraba características étnicas claramente asociadas a la nacionalidad coreana.
- El candidato daba respuestas que sonaban completamente ensayadas.
Habiendo aprendido sobre los sesgos inconscientes en los procesos de selección, pensé que no era nada relevante, pero tras tener 3 o 4 conversaciones casi idénticas, me picó la curiosidad. Envié a esos candidatos a una verificación de identidad con un servicio externo y me sorprendió que la superaran.
Entonces consulté con otro fundador qué significaba todo esto. Poco después, me compartió información sobre empresas como KnowBe4 que habían contratado a estas personas y habían sufrido consecuencias graves de inmediato.
Cabría esperar que los intentos de Corea del Norte de infiltrarse en empresas fueran de conocimiento general, pero no era así.
Lo que enfrentamos fueron intentos organizados y sumamente profesionales de infiltrarse en nuestro negocio.
Así que contacté con Bobbie Johnson, un ex-fundador conocido mío, para profundizar mucho más en esta operación y encontrar la manera de darle mayor visibilidad. Hoy, se publicó el artículo completo en Wired con un análisis detallado de las operaciones locales de esta estafa.
Durante el proceso de contratación, como fundador en solitario, me fui frustrando cada vez más con el tiempo perdido revisando currículums para filtrar a los actores norcoreanos.
Primero, le pedí a nuestro amigo Feross de Socket si podía usar su proyecto AnnoyingSite para molestar a los actores norcoreanos e incentivarlos a postularse en otro lugar. Lo hicimos y me divirtió un poco, echa un vistazo a la "prueba para hacer en casa" aquí. Aunque no sirvió de mucho…
Entonces caí en la cuenta: dirijo una empresa de seguridad del lado del cliente. Así que, naturalmente, debería usar nuestra inteligencia client-side para identificar patrones que permitan filtrar este ruido desde el origen. Para mejorar el proceso de selección de candidatos, comenzamos a utilizar el fingerprinting de dispositivos como método para detectar de forma proactiva patrones sospechosos asociados a candidatos fraudulentos.
Por eso, hoy anunciamos nuestro servicio de detección de fraude en candidaturas en una BETA cerrada y anticipada. Nuestro software de detección de fraude ligero ofrece una solución de prevención adaptada específicamente para la verificación de candidatos.
Permitiendo a fundadores de startups y reclutadores dedicar su tiempo a revisar los currículums de candidatos legítimos.
