La exposición excesiva de información profesional en redes sociales y plataformas colaborativas se convirtió en una preocupación creciente para los equipos de ciberseguridad.
Desde ESET alertan que el fenómeno conocido como oversharing puede transformar datos aparentemente inofensivos en una herramienta estratégica para ciberdelincuentes.
Aunque la promoción del perfil profesional y la visibilidad corporativa forman parte de las estrategias modernas de marca empleadora y liderazgo intelectual, los especialistas advierten que los actores maliciosos también analizan activamente este tipo de publicaciones.
Una vez que la información se vuelve pública, puede ser utilizada para diseñar ataques altamente convincentes de spearphishing o esquemas de Business Email Compromise.
“La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es utilizar esa información como arma en un ataque diseñado para engañar al destinatario y lograr que instale malware o comparta sus credenciales corporativas. Esto puede ocurrir a través de correos electrónicos, mensajes de texto o incluso llamadas telefónicas. También puede derivar en la suplantación de ejecutivos o proveedores para solicitar transferencias urgentes”, explicó Martina López, investigadora de seguridad informática de ESET Latinoamérica.
LinkedIn figura entre las principales fuentes de inteligencia para este tipo de ataques. La plataforma concentra información sobre cargos, responsabilidades, estructuras internas y relaciones laborales que permite a los atacantes reconstruir mapas organizacionales con alto nivel de detalle.
Las ofertas laborales publicadas por reclutadores también pueden revelar tecnologías utilizadas, procesos internos o necesidades operativas críticas.
GitHub, por su parte, representa otro punto de exposición relevante. Allí, desarrolladores pueden compartir inadvertidamente secretos codificados, direcciones IP, datos de clientes o información vinculada a proyectos, canalizaciones CI/CD y pilas tecnológicas. Incluso configuraciones de Git commit pueden dejar visibles direcciones de correo corporativas.
Las redes sociales orientadas al usuario final, como Instagram o X, también forman parte del ecosistema de riesgo.
Publicaciones relacionadas con viajes, eventos o conferencias pueden ofrecer señales valiosas para ataques dirigidos, especialmente cuando los ciberdelincuentes combinan esta información con técnicas de suplantación de identidad o deepfakes.
Los especialistas advierten que estos ataques suelen apoyarse en una combinación de credibilidad, urgencia y relevancia contextual.
La información pública puede ser utilizada para simular comunicaciones internas, falsificar actualizaciones de seguridad o crear solicitudes fraudulentas que aparentan provenir de ejecutivos o socios estratégicos.
Desde ESET recuerdan que la inteligencia de fuentes abiertas, conocida como OSINT, es ampliamente utilizada en las primeras fases de ataques reales.
Un caso documentado involucró un fraude BEC que provocó pérdidas millonarias a Children’s Healthcare of Atlanta, donde los atacantes habrían utilizado información pública para suplantar identidades y manipular instrucciones de pago.
Grupos de amenazas como SEABORGIUM o TA453 también fueron vinculados a campañas de reconocimiento basadas en OSINT antes de ejecutar ataques de spearphishing.
“Si bien los riesgos del oversharing son reales, la principal herramienta de defensa sigue siendo la educación. Es fundamental actualizar los programas de concientización para que los empleados comprendan la importancia de limitar la información que comparten, evitar interacciones con mensajes directos no solicitados y detectar intentos de phishing, fraude o deepfake”, señaló López.
Además, los especialistas recomiendan respaldar estas prácticas con políticas claras sobre el uso de redes sociales, establecer límites sobre la información que puede divulgarse y reforzar la autenticación multifactor junto con el uso de contraseñas seguras.
La revisión periódica de sitios web y cuentas corporativas también resulta clave para minimizar datos que puedan ser utilizados como vector de ataque.
“La inteligencia artificial está haciendo que sea más rápido y sencillo perfilar objetivos, recopilar OSINT y generar mensajes convincentes en lenguaje natural. Los deepfakes amplían aún más el alcance del engaño. Si algo es de dominio público, es razonable asumir que también está disponible para un ciberdelincuente”, concluyó López.
