Cómo detectar Remote Desktop y TeamViewer en entrevistas de codificación
La amenaza es real, pero no es lo que la mayoría de los equipos imaginan
La preocupación clásica: un candidato instala TeamViewer o AnyDesk, cede su sesión a un ingeniero más competente en otro país, y deja que ese ingeniero resuelva la entrevista de codificación mientras el candidato permanece en cámara asintiendo. Las variaciones incluyen Microsoft RDP, Chrome Remote Desktop, Parsec, y últimamente VS Code Live Share utilizado indebidamente para suplantación.
Ocurre. Los servicios pagos de finalización de entrevistas se anuncian en LinkedIn. La fracción de entrevistas técnicas remotas con participación de control remoto detectable se sitúa en los dígitos bajos del porcentaje — pequeña, pero absolutamente no nula, y concentrada en roles donde la oferta es lo bastante grande como para hacer que la tarifa sea económica.
Las malas noticias: un navegador bloqueado no detiene esto. El software de control remoto se ejecuta en el sistema operativo del candidato; el navegador bloqueado ve su propio DOM. Las buenas noticias: en el momento en que un segundo humano toma el control de la sesión, el comportamiento cambia de formas que tus datos capturan. Este artículo recorre las señales que detectan confiablemente la suplantación por escritorio remoto, y por qué los enfoques cargados de vigilancia tanto pierden los casos que importan como repelen a los candidatos que deseas contratar.
Qué aspecto tiene la "suplantación por escritorio remoto" en tus datos
Cuando un operador remoto toma el ratón y el teclado del candidato, varias cosas cambian simultáneamente:
- La huella de pulsación de teclas se desplaza a mitad de sesión. Los tiempos de permanencia, tiempos de vuelo y la estructura de ráfagas son diferentes según la persona; el operador es, por definición, una persona diferente.
- La latencia de entrada se dispara y se vuelve irregular. Incluso un enlace RDP rápido añade 30–120ms sobre la red subyacente del operador — y la varianza es la clave reveladora, no el promedio.
- Los micropatrones de movimiento del ratón cambian. Las curvas de aceleración, el tiempo de clic-liberación y la desviación en reposo son sorprendentemente individuales.
- La cámara web continúa mostrando al candidato original, que ahora visiblemente no es la persona que controla el cursor. El canal de audio a menudo se queda mudo durante tramos que no coinciden con el trabajo que ocurre en pantalla.
- El patrón de enfoque del navegador se desacopla del patrón de habla. El candidato explica lo que está "pensando" mientras la escritura se acelera o se pausa en un ritmo diferente.
Ninguno de estos por sí solo es prueba. Apilados juntos, sí lo son.
Señal 1: desviación de la huella de pulsación de teclas
Esta es la señal única más fuerte y la más barata de capturar. Biometría de pulsación de teclas construye una huella de escritura a partir de los primeros ~300 pulsaciones, luego observa si el resto de la sesión coincide. Cuando un operador remoto toma el control, las distribuciones de tiempo de permanencia y tiempo de vuelo se desplazan visiblemente, a menudo dentro de los primeros 30 segundos de la toma de control.
Lo que estás buscando:
- Divergencia de huella a mitad de sesión. Los primeros 10 minutos parecen de una persona; el minuto 25 en adelante parece de otra. La puntuación de autoría XGBoost se mueve bien fuera de la banda de ruido.
- Desajuste de línea de base. El ejercicio de calentamiento del candidato tenía un patrón de escritura relajado y propenso a errores; la ronda de codificación de repente tiene una escritura clara, confiada, sin borrados. La gente no cambia su personalidad de escritura en 5 minutos.
El informe de integridad de ClarityHire muestra ambas señales automáticamente con rangos de tiempo, lo que es lo que las hace procesables en una revisión de paso a paso.
Señal 2: latencia de entrada y fluctuación
Cuando el candidato escribe directamente en su máquina, la latencia de pulsación a renderizado está dominada por el bucle de eventos de su navegador — típicamente menos de 20ms con baja varianza. Cuando un operador remoto impulsa la sesión a través de RDP / TeamViewer / Parsec, dos cosas cambian:
- La latencia media aumenta. Las pulsaciones del operador viajan a través de su internet a la máquina del candidato, luego se renderizan. Un cambio de 40–120ms es común.
- La varianza explota. La fluctuación de red en el enlace del operador se suma a la del candidato. La desviación estándar crece mucho más rápido que el promedio.
Puedes capturar esto en el lado del cliente sin nada invasivo: registra la brecha de tiempo entre eventos keydown y la actualización correspondiente del DOM. Una sesión estable tiene una distribución ajustada. Una sesión con un operador remoto parece telemetría de red: ocasionales valores atípicos de 300ms, forma irregular, y el patrón comienza a mitad de sesión en lugar de estar presente desde la primera pulsación.
Señal 3: micropatrones del ratón
El teclado es la señal principal; el ratón es la corroborante. El movimiento del ratón tiene micropatrones individuales que cambian cuando se transfiere el control:
- Curvas de aceleración. Cada persona mueve el cursor de manera diferente — algunos lo chasquean a objetivos, otros lo arcan hacia ellos.
- Intervalos de clic-liberación. Algunas personas hacen doble clic en 80ms, otras en 220ms.
- Microdesviación en reposo. Cuando el cursor está "estacionario", en realidad no lo está — los dedos se desplazan en el ratón y producen minúsculos movimientos continuos. Estos desaparecen bajo RDP porque el cursor se renderiza remotamente.
El último es un indicador de RDP confiable. Una sesión de escritorio remoto típicamente tiene tramos donde el cursor está perfectamente inmóvil durante segundos a la vez, lo cual casi nunca sucede con entrada directa.
Señal 4: continuidad facial y sincronización de audio
La capa de integridad en entrevistas de vídeo rastrea la continuidad facial a lo largo de la sesión. En un intento de suplantación, la cara del candidato sigue en la cámara — esa parte no cambia. Lo que cambia es la relación entre lo que está en pantalla y lo que dice:
- Desincronización de audio-acción. El candidato narra "Voy a refactorizar este bucle" mientras el cursor ya lo ha hecho 6 segundos antes — están describiendo las acciones del operador con retraso, de la misma manera que un locutor de deportes se atrasa en la jugada.
- Dirección de la mirada. Su mirada se desplaza a un lugar diferente de su propia pantalla — a menudo a un teléfono o segundo monitor donde el operador está en una videollamada entrenándolo.
- Largos tramos con micrófono silenciado durante producción de código intenso. Los ingenieros reales narran o gruñen mientras trabajan. El silencio largo y completo durante ráfagas de codificación productivas es sospechoso.
Consulta nuestra nota sobre verificar la identidad del candidato en entrevistas en línea para ver cómo la continuidad facial se compone con las otras señales.
Señal 5: estructura de pegado y tiempo de ráfaga
Incluso cuando no hay escritorio remoto en juego, el mismo operador a menudo también está alimentando al candidato con código a través del chat. El resultado es el mismo patrón de coherencia de código que aparece en envíos pegados por IA:
- Pegados limpios grandes después de largos silencios
- Estilo de nombres de variables que se invierte entre funciones
- Código con manejo de errores defensivo para casos que el candidato nunca probó
Combinado con las señales de pulsación y latencia, esto te da un compuesto multicapa. Casi nunca necesitas una única "prueba irrefutable" — la puntuación compuesta es el veredicto.
Por qué los navegadores bloqueados son la respuesta incorrecta
El instinto es prohibir el software de escritorio remoto con un escaneo de procesos. Tres problemas:
- El escaneo no puede ejecutarse en un navegador. Un bloqueo basado en navegador ve su propio DOM. Detectar RDP a nivel de SO requiere instalar software nativo, que la mayoría de los candidatos correctamente rechazam.
- Los tramposos decididos usan un teléfono fuera de pantalla en su lugar. Si bloqueas TeamViewer, el siguiente intento es un teléfono con el problema en pantalla y una llamada de Telegram al operador. Has gastado la buena voluntad de tu candidato bloqueando el ataque equivocado.
- Los falsos positivos afectan a candidatos honestos. Muchos ingenieros ejecutan herramientas de accesibilidad, grabadores de pantalla, o portátiles de trabajo con MDM corporativo que activa advertencias de "software de control remoto detectado". Auto-rechazarlos es peor que perderse a los verdaderos suplantadores.
El modelo correcto es el delineado en nuestro artículo sobre herramientas de proctoring: recopilar señales de comportamiento continuamente y discretamente, exponer anomalías a un revisor humano, y nunca auto-rechazar.
Qué hacer durante la entrevista
Tres prácticas que detectan suplantación sin teatro de vigilancia:
- Configura una línea de base de 5 minutos. Pide al candidato que escriba un mensaje corto al inicio ("preséntate por escrito"). Esto calibra la huella de pulsación de teclas y la distribución de latencia. Cualquier cambio a mitad de sesión se mide entonces contra una línea de base que realmente tienes.
- Cámara encendida, pantalla completa visible. No porque verás TeamViewer en sus pestañas del navegador — no lo harás — sino porque el costo social de la coordinación obvia fuera de pantalla aumenta con la cámara encendida.
- Mezcla escritura con conversación. Haz preguntas de proceso mientras codifican: "habla sobre lo que estás haciendo ahora mismo." Un candidato impulsado por operador se desincroniza con las acciones en su pantalla.
El paso a paso sigue siendo tu mejor instrumento
Para cualquier candidato que las señales marquen, la resolución es la misma que es para asistencia de IA: un paso a paso de 10 minutos donde explican su propio código. Un candidato que lo escribió puede defenderlo. Un candidato cuyo operador lo escribió improvisa vagamente, se contradice a sí mismo, o tranquilamente pide que el problema se reformule. El paso a paso resuelve casi todos los casos señalados en una dirección u otra.
Si el paso a paso también es falso — operador en una llamada paralela entrenando la explicación — la huella de pulsación de teclas durante la sesión de seguimiento de codificación del paso a paso (¿realmente pides que escriban una pequeña modificación, verdad?) es tu control final.
Qué hacer a continuación
Tres movimientos concretos:
- Añade una línea de base mecanografiada de 60 segundos al inicio de tu ronda de codificación en vivo para que la biometría de pulsación de teclas tenga algo contra lo que comparar.
- Captura la latencia de pulsación a renderizado del lado del cliente y revísala como parte de tu informe posterior a la entrevista, no en tiempo real.
- Haz que la sesión de seguimiento de codificación del paso a paso sea obligatoria en cada ronda en vivo — ese cambio único cierra la brecha de suplantación más que cualquier herramienta anti-fraude.
La detección no se trata de atrapar a todo el mundo. Se trata de hacer que la suplantación sea lo suficientemente cara como para que la pequeña fracción de actores malos dejen de intentarlo, mientras el 97% de candidatos honestos nunca noten que la capa está ahí.