LinkedIn se consolidó como una de las mayores bases de datos públicas de información corporativa del mundo. Sin embargo, esa misma característica la transformó en un entorno atractivo para actores maliciosos.
Desde ESET, advierten que no todas las personas que interactúan en la plataforma son quienes dicen ser.
En noviembre, el MI5, servicio de seguridad del Reino Unido, alertó a miembros del Parlamento sobre un esquema de recopilación de inteligencia extranjera.
Dos perfiles en LinkedIn estaban contactando a personas vinculadas a la política británica para solicitarles “información privilegiada”. El episodio derivó en una iniciativa gubernamental de 170 millones de libras destinada a reforzar la protección frente a amenazas de espionaje.
Desde ESET señalan que, si bien se trata de un caso de alto perfil, está lejos de ser un hecho aislado.
Desde su fundación en 2003, LinkedIn superó los mil millones de usuarios a nivel global. Este volumen representa una superficie de ataque considerable para grupos con motivaciones financieras o respaldados por Estados.
La plataforma permite identificar funciones, jerarquías y responsabilidades dentro de organizaciones objetivo, así como reconstruir relaciones laborales y proyectos en curso, facilitando la elaboración de mapas internos de empresas y organismos públicos.
El contexto profesional de la red también aporta un nivel adicional de credibilidad.
Ejecutivos, mandos medios y empleados operativos conviven en el mismo espacio, lo que incrementa la probabilidad de que una víctima abra un mensaje directo o un InMail, algo que difícilmente ocurriría con un correo electrónico no solicitado.
LinkedIn también permite eludir mecanismos de seguridad tradicionales. No existen garantías absolutas de que mensajes de phishing, malware o spam no logren circular y, debido a la confianza que inspira la plataforma, los usuarios pueden ser más propensos a interactuar con contenido malicioso.
Crear un perfil falso es sencillo y los atacantes también pueden secuestrar cuentas legítimas mediante credenciales robadas que circulan en foros de ciberdelincuencia, muchas veces como consecuencia de infecciones con infostealers.
Desde ESET explican que los actores de amenazas pueden operacionalizar sus campañas de distintas maneras. El phishing y el spearphishing se apoyan en la información pública de los perfiles para personalizar mensajes y aumentar su efectividad.
También se observan ataques directos mediante enlaces maliciosos destinados a desplegar malware o a promocionar falsas ofertas laborales diseñadas para robar credenciales.
La información disponible en LinkedIn facilita además ataques de Business Email Compromise, al revelar jerarquías, relaciones internas, proyectos activos y vínculos con socios o proveedores.
A esto se suma el uso de videos publicados en la plataforma para la creación de deepfakes, que luego se emplean en estafas más elaboradas.
El secuestro de cuentas, mediante phishing, credential stuffing o malware, permite reutilizar perfiles confiables para atacar a contactos cercanos, mientras que los proveedores de una empresa pueden convertirse en objetivos dentro de ataques en cadena.
“El desafío que plantean las amenazas en LinkedIn es que a los departamentos de IT les resulta difícil dimensionar el alcance real del riesgo al que se exponen sus empleados y las tácticas utilizadas para atacarlos”, explica Mario Micucci, investigador de seguridad informática de ESET Latinoamérica.
El especialista remarca la importancia de incluir escenarios de ataque en LinkedIn dentro de los programas de concientización en seguridad, advertir sobre los riesgos de compartir información en exceso y capacitar a los empleados para detectar cuentas falsas y señuelos típicos de phishing.
ESET también documentó casos concretos de grupos de amenazas que utilizaron LinkedIn como vector.
Lazarus Group se hizo pasar por reclutadores para instalar malware en empleados del sector aeroespacial y ejecutar campañas como “Wagemole”.
Scattered Spider utilizó información obtenida en la plataforma para suplantar a un empleado y facilitar un ataque de ransomware con pérdidas millonarias.
Además, la campaña Ducktail apuntó a profesionales de marketing y recursos humanos mediante spearphishing, distribuyendo malware alojado en la nube.
Para reducir el riesgo, ESET recomienda mantener los sistemas actualizados, instalar software de seguridad confiable en todos los dispositivos, activar la autenticación multifactor y realizar capacitaciones específicas para ejecutivos y personal clave.
“Incluso en una red considerada confiable como LinkedIn, es fundamental asumir que no todos los contactos actúan en el mejor interés del usuario”, concluye Micucci.
