El uso de las redes sociales por parte de los empleados para compartir información relacionada con su trabajo ha generado un fenómeno conocido como «defensa del empleado». Esta práctica, que nació con la intención de mejorar la visibilidad de las empresas y fomentar el liderazgo de pensamiento, ha llevado a consecuencias inesperadas. Si bien los empleados buscan conectar con otros profesionales y potenciales socios, los ciberdelincuentes también están atentos a esta información.
Cuando los detalles sobre un puesto, una empresa o un proyecto se difunden públicamente, se vuelven un recurso valioso para aquellos que desean llevar a cabo ataques de phishing. Cuanta más información se comparte, mayor es el riesgo de que se produzca una actividad maliciosa que pueda afectar a la organización de manera severa.
Las plataformas más utilizadas para el intercambio de esta información son conocidas: LinkedIn, GitHub, Instagram y X (anteriormente Twitter). LinkedIn, en particular, se considera una de las fuentes más ricas de datos corporativos, con títulos de trabajo, funciones y relaciones internas que pueden ser explotadas fácilmente. Por su parte, GitHub se ha convertido en un punto crítico en el ámbito de la ciberseguridad, donde desarrolladores pueden, sin intención, revelar detalles sensibles a través de sus proyectos.
Asimismo, redes como Instagram y X se utilizan para compartir detalles de conferencias y otros eventos, lo que ofrece a los atacantes la oportunidad de planear acciones en función de la ausencia de ciertos empleados. La información disponible en los sitios web de las empresas, como plataformas tecnológicas o anuncios importantes, también puede ser utilizada para preparar ataques sofisticados.
El proceso de un ataque típico de ingeniería social involucra la recopilación de información, seguida de la «arma» de esa información en un ataque diseñado para engañar a la víctima. Esto puede llevar a la instalación de malware o a la divulgación accidental de credenciales corporativas. Por ejemplo, un atacante puede encontrar detalles sobre un nuevo empleado de IT en LinkedIn y hacerse pasar por un proveedor de tecnología, creando una urgencia falsa para que el objetivo haga clic en un enlace perjudicial.
Las historias reales muestran cómo la inteligencia de código abierto (OSINT) se ha utilizado para llevar a cabo ataques exitosos. En uno de los casos más notables, un fraude de compromiso de correo electrónico (BEC) le costó a Children’s Healthcare of Atlanta 3,6 millones de dólares, al hacerse pasar por el CFO de la empresa constructora asociada mediante el uso de información extraída de comunicados y perfiles en redes sociales.
Aunque los riesgos son alarmantes, existen medidas preventivas que las organizaciones pueden implementar para mitigar el riesgo de spearphishing. La educación es fundamental. Implementar programas de concienciación sobre seguridad que informen a todos los empleados sobre la importancia de no compartir demasiado en redes sociales es crucial. Además, es esencial establecer políticas claras sobre el uso de las redes, delineando lo que es apropiado compartir.
La autenticación de múltiples factores y contraseñas robustas deben ser prácticas estándar en todas las cuentas de redes sociales, y es recomendable monitorear las cuentas públicas en busca de información que podría ser utilizada en ataques. Dado que la inteligencia artificial facilita la recopilación de información y mejora la calidad de los mensajes maliciosos, se requiere un enfoque proactivo en la gestión de la información que se comparte en los entornos digitales. Al final del día, si la información está en el dominio público, es probable que los ciberdelincuentes también la conozcan y estén al acecho.
Fuente: WeLiveSecurity by eSet.
