ESET advierte que el exceso de información compartida en redes sociales puede convertirse en un arma para los ciberdelincuentes y explica cómo mitigar los riesgos para proteger a las organizaciones.
La defensa de los empleados como pilar de la ciberseguridad corporativa existe desde hace más de una década. Sin embargo, lo que comenzó como una práctica bienintencionada para fortalecer el posicionamiento de marca, el liderazgo intelectual y el marketing, hoy también expone a las organizaciones a riesgos crecientes. Desde ESET, compañía líder en detección proactiva de amenazas, alertan que el oversharing —compartir información en exceso— puede facilitar el trabajo de los actores maliciosos, transformando datos aparentemente inofensivos en herramientas para ataques altamente dirigidos.
Cuando los profesionales publican sobre su trabajo, su empresa o su rol dentro de la organización, suelen buscar conectar con colegas, clientes potenciales o socios estratégicos. No obstante, esta información también es observada por ciberdelincuentes, quienes la utilizan para diseñar ataques de ingeniería social, como el spearphishing o el Business Email Compromise (BEC), con consecuencias potencialmente graves para las compañías.
“La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es convertir esos datos en un arma, mediante ataques de spearphishing diseñados para engañar a la víctima y lograr que instale malware o comparta credenciales corporativas. Incluso puede derivar en la suplantación de un ejecutivo o proveedor para solicitar transferencias bancarias urgentes”, explica Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Redes sociales y plataformas profesionales: un mapa abierto para los atacantes
Entre las principales fuentes de información se encuentra LinkedIn, considerada una de las mayores bases de datos abiertas de información corporativa del mundo. Puestos, responsabilidades, relaciones internas e incluso ofertas de empleo con detalles técnicos pueden ser explotados para construir ataques creíbles y altamente personalizados.
GitHub también representa un punto crítico. Además de los conocidos casos de exposición de claves, direcciones IP o datos sensibles, los desarrolladores suelen compartir nombres de proyectos, flujos CI/CD, pilas tecnológicas, bibliotecas utilizadas e incluso correos corporativos en los commits, información que puede resultar valiosa para un atacante.
A esto se suman plataformas sociales de uso masivo como Instagram o X, donde los empleados comparten viajes, participación en eventos o conferencias. Estos detalles pueden ser utilizados como contexto para ataques más sofisticados. Incluso la información disponible en los sitios web corporativos, como alianzas, proveedores, plataformas tecnológicas o anuncios de fusiones y adquisiciones, puede convertirse en el punto de partida para campañas de phishing avanzadas.
Cómo se construyen los ataques
Los ataques basados en oversharing suelen combinar suplantación de identidad, urgencia y relevancia. Algunos escenarios hipotéticos incluyen:
- Un atacante identifica en LinkedIn a un nuevo empleado del área de TI, se hace pasar por un proveedor tecnológico y envía un enlace malicioso bajo el pretexto de una actualización de seguridad urgente.
- Un actor malicioso obtiene información de un proyecto compartido en GitHub y suplanta a un compañero de trabajo para enviar un archivo infectado.
- Un estafador detecta que un ejecutivo estará fuera de la oficina y lanza un ataque BEC con deepfake de audio o video para engañar al área financiera y solicitar una transferencia urgente.
Casos reales y el uso de OSINT
Desde ESET destacan que estos escenarios no son teóricos. Diversos grupos criminales emplean técnicas de inteligencia de fuentes abiertas (OSINT) en las etapas iniciales de sus ataques. Un ejemplo es el ataque BEC que costó 3,6 millones de dólares a Children’s Healthcare of Atlanta, donde los atacantes habrían utilizado comunicados de prensa y redes profesionales para suplantar a un ejecutivo y modificar datos de pago.
Asimismo, grupos como SEABORGIUM (Rusia) y TA453 (alineado con Irán) utilizan redes sociales y plataformas profesionales para investigar a sus objetivos, identificar contactos clave y construir relaciones de confianza antes de lanzar ataques de spearphishing, según el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
Educación y políticas claras: la primera línea de defensa
“Si bien los riesgos de compartir en exceso son reales, las soluciones son relativamente sencillas. La herramienta más poderosa es la educación”, señala López. ESET recomienda reforzar los programas de concienciación en seguridad para que los empleados comprendan la importancia de limitar la información que comparten en línea y sepan identificar intentos de phishing, BEC o deepfakes.
Entre las principales recomendaciones también se incluyen:
- Definir y aplicar políticas estrictas de uso de redes sociales, con límites claros sobre qué se puede y no se puede publicar.
- Establecer una separación clara entre cuentas personales y profesionales.
- Revisar y actualizar periódicamente sitios web y perfiles corporativos para eliminar información sensible.
- Implementar autenticación multifactor (MFA) y contraseñas robustas, gestionadas mediante administradores de contraseñas.
- Supervisar las cuentas públicas y realizar ejercicios de equipo rojo para evaluar el nivel de concienciación de los empleados.
“La inteligencia artificial está haciendo que sea más rápido y sencillo para los actores maliciosos perfilar objetivos, recopilar información pública y crear mensajes convincentes. Con los deepfakes, las opciones se amplían aún más. La conclusión es clara: si algo es de dominio público, hay que asumir que un ciberdelincuente también lo sabe”, concluye Martina López.
Para conocer más sobre seguridad informática, ESET invita a visitar su portal corporativo WeLiveSecurity y a escuchar Conexión Segura, su podcast dedicado a analizar lo que ocurre en el mundo de la ciberseguridad.
Publicar un comentario