Mayor información click AQUÍ

Cuando los profesionales publican sobre su trabajo, su empresa y su función, esperan llegar a profesionales con ideas afines, así como a clientes potenciales y socios. Desde ESET, compañía en detección proactiva de amenazas, advierten que los actores maliciosos también están prestando atención y que cuanta más información haya, más oportunidades habrá para llevar a cabo actividades maliciosas que podrían acabar afectando gravemente a una organización. Una vez que esa información es de dominio público, a menudo se utiliza para ayudar a crear ataques convincentes de spearphishing o de compromiso del correo electrónico empresarial (BEC).

“La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es utilizar esa información como arma en un ataque de spearphishing diseñado para engañar al destinatario y que instale sin saberlo malware en su dispositivo. O, potencialmente, para que comparta sus credenciales corporativas para obtener acceso inicial. Esto podría lograrse a través de un correo electrónico, un mensaje de texto o incluso una llamada telefónica. Alternativamente, podrían utilizar la información para suplantar a un ejecutivo de alto nivel o a un proveedor en un correo electrónico, una llamada telefónica o una videollamada en la que soliciten una transferencia bancaria urgente.”, revela Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Las principales plataformas para compartir este tipo de información son las habituales. LinkedIn es quizás la más utilizada. Se podría describir como la mayor base de datos abierta de información corporativa del mundo: un auténtico tesoro de puestos de trabajo, funciones, responsabilidades y relaciones internas. También es el lugar donde los reclutadores publican ofertas de empleo, que pueden revelar demasiados detalles técnicos que luego pueden aprovecharse en ataques de spearphishing.

GitHub es quizás más conocido en el contexto de la ciberseguridad como un lugar donde los desarrolladores distraídos publican secretos codificados, direcciones IP y datos de clientes. Pero también pueden compartir información más inocua sobre nombres de proyectos, nombres de canalizaciones CI/CD e información sobre las pilas tecnológicas y las bibliotecas de código abierto que utilizan. También pueden compartir direcciones de correo electrónico corporativas en las configuraciones de Git commit.

Luego están las plataformas sociales clásicas orientadas al usuario final, como Instagram y X. Aquí es donde los empleados suelen compartir detalles sobre sus planes de viaje a conferencias y otros eventos, lo que podría utilizarse en su contra y en contra de su organización. Incluso la información que aparece en el sitio web de su empresa podría ser útil para un posible estafador o hacker. Piense en detalles sobre plataformas técnicas, proveedores y socios, o anuncios corporativos importantes, como actividades de fusiones y adquisiciones. Todo ello podría servir de pretexto para un phishing sofisticado.

Estos ataques suelen requerir una combinación de suplantación de identidad, urgencia y relevancia. A continuación se presentan algunos ejemplos hipotéticos:

• Un atacante encuentra información en LinkedIn sobre un nuevo empleado que ocupa un puesto en el departamento de TI de la empresa A, incluyendo sus funciones y responsabilidades principales. Se hace pasar por un proveedor tecnológico clave y afirma que es necesaria una actualización de seguridad urgente, haciendo referencia al nombre, los datos de contacto y el puesto del objetivo. El enlace de la actualización es malicioso.
• Un agente malicioso encuentra información sobre dos compañeros de trabajo en GitHub, incluido el proyecto en el que están trabajando. Se hace pasar por uno de ellos en un correo electrónico en el que le pide al otro que revise un documento adjunto, que contiene malware.
• Un estafador encuentra un video de un ejecutivo en LinkedIn o en el sitio web de una empresa. Ve en el feed de Instagram/X de esa persona que va a dar una conferencia y que estará fuera de la oficina. Sabiendo que puede ser difícil ponerse en contacto con el ejecutivo, lanza un ataque BEC deepfake utilizando video o audio para engañar a un miembro del equipo financiero y que transfiera fondos urgentes a un nuevo proveedor.

Dentro de las recomendaciones de seguridad de ESET Latinoamérica, se encuentra el respaldar esto con una política estricta sobre el uso de las redes sociales, definiendo límites claros sobre lo que se puede y no se puede compartir, y aplicando fronteras claras entre las cuentas personales y las profesionales/oficiales. Es posible que también sea necesario revisar y actualizar los sitios web y las cuentas corporativas para eliminar cualquier información que pueda ser utilizada como arma.

También, chequear la autenticación multifactorial (MFA) y las contraseñas seguras (almacenadas en un administrador de contraseñas) también deben ser una práctica habitual en todas las cuentas de redes sociales, por si las cuentas profesionales son comprometidas para atacar a los compañeros de trabajo.

Por último, supervisar las cuentas de acceso público, siempre que sea posible, para detectar cualquier información que pueda ser utilizada para el spearphishing y el BEC, y realizar ejercicios de equipo rojo con los empleados para poner a prueba su concienciación.

“La IA está haciendo que sea más rápido y fácil que nunca para los actores maliciosos perfilar a sus objetivos, recopilar OSINT y luego redactar correos electrónicos/mensajes convincentes en un lenguaje natural perfecto. Los deepfakes impulsados por IA aumentan aún más sus opciones. La conclusión debería ser que, si algo es de dominio público, hay que esperar que un ciberdelincuente también lo sepa y que pronto llamará a la puerta.”, cierra Martina Lopez de ESET.

Mayor información click AQUÍ