En noviembre, el Servicio de Seguridad del Reino Unido, MI5, comunicó a miembros del parlamento y a su personal sobre un audaz esquema de recopilación de información por parte de inteligencia extranjera. Se identificaron dos perfiles en LinkedIn que contactaban a individuos en el ámbito político británico para solicitar «informaciones internas». Este descubrimiento desencadenó una iniciativa gubernamental de 170 millones de libras (230 millones de dólares) para abordar las amenazas de espionaje al parlamento.
Este caso resalta cómo LinkedIn se ha convertido en un lugar propicio para que actores maliciosos abusen de la plataforma con fines nefastos. La red social profesional no solo actúa como un recurso valioso de información corporativa, sino que también es susceptible a ser utilizada para fraudes y campañas amenazantes. Es necesario que los profesionales reconozcan los riesgos que implica el networking digital.
LinkedIn ha acumulado más de mil millones de “miembros” en todo el mundo desde su fundación en 2003, y esto lo convierte en un blanco atractivo para actores amenazantes, tanto respaldados por estados como motivados financieramente. Entre las razones de su popularidad se destacan:
-
Recurso informativo: Los actores maliciosos pueden descubrir roles y responsabilidades de individuos clave dentro de empresas, así como reconstruir relaciones y proyectos en los que podrían estar involucrados. Esta información es valiosa para ataques de spear-phishing.
-
Credibilidad y protección: Al ser una plataforma profesional, los ejecutivos y empleados de diversos niveles interactúan, lo que brinda una manera más efectiva de que los atacantes envíen mensajes directos que sean más creíbles que un correo electrónico no solicitado.
-
Evasión de la seguridad convencional: Los mensajes se transmiten a través de los servidores de LinkedIn, lo que dificulta la supervisión por parte de los departamentos de TI de las empresas. Las medidas de seguridad de LinkedIn no garantizan la protección total contra phishing y malware.
-
Facilidad de creación de perfiles: Los actores maliciosos pueden registrarse y comenzar a explorar la plataforma para extraer información o lanzar ataques de phishing. Pueden suplantar identidades o utilizar cuentas robadas para incrementar su legitimidad.
Entre los tipos de ataques más comunes en LinkedIn se incluyen:
-
Phishing y spear-phishing: Utilizando información de perfiles, los atacantes personalizan sus campañas para aumentar su tasa de éxito.
-
Ataques directos: Envíos de enlaces maliciosos destinados a desplegar malware o recoger credenciales a través de ofertas laborales fraudulentas.
-
Business Email Compromise (BEC): La riqueza de información disponible facilita que los fraudes sean más creíbles.
-
Deepfakes: Videos de objetivos pueden ser utilizados para crear manipulaciones que se utilicen en estafas posteriores.
-
Secuestro de cuentas: Mediante técnicas de phishing, los actores pueden hacerse con las cuentas de usuarios y utilizarlas en ataques a sus contactos.
Casos notorios incluyen a grupos como Lazarus de Corea del Norte, que se han hecho pasar por reclutadores para infiltrar malware en empresas, y el grupo ScatteredSpider, que utilizó la suplantación de identidad para acceder a MGM Resorts, causando pérdidas significativas.
Para protegerse en LinkedIn, es esencial que las empresas incluyan en sus programas de concienciación sobre seguridad los escenarios de amenazas mencionados. Los empleados deben ser advertidos sobre la sobreexposición de información y recibir formación sobre cómo identificar cuentas falsas y engaños típicos. Además, seguir políticas de parches regulares, instalar software de seguridad de proveedores confiables, y activar la autenticación multifactor son prácticas recomendadas. En concreto, es recomendable ofrecer cursos de capacitación para ejecutivos, quienes suelen ser objetivos preferentes. En última instancia, es fundamental que los empleados comprendan que, incluso en una red de confianza como LinkedIn, no todos actúan con las mejores intenciones.
Fuente: WeLiveSecurity by eSet.
