ESET advierte que la sobreexposición en redes sociales puede convertir información corporativa en un arma para ciberdelincuentes, y explica cómo mitigar los riesgos y proteger a las organizaciones.
La defensa de los empleados como concepto lleva más de una década en práctica. Sin embargo, lo que comenzó como una iniciativa con buenas intenciones para mejorar el perfil corporativo, el liderazgo intelectual y las estrategias de marketing, también ha generado consecuencias no deseadas. Cuando los profesionales comparten información sobre su trabajo, empresa y funciones, buscan conectar con colegas, potenciales clientes y socios. ESET, líder en la detección proactiva de amenazas, alerta que los actores maliciosos también están atentos y que cuanto más datos estén disponibles, mayores serán las oportunidades para llevar a cabo actividades perjudiciales que podrían afectar gravemente a una organización. Una vez que esta información es pública, a menudo se utiliza para crear ataques de phishing o de compromiso de correo electrónico empresarial (BEC) más convincentes.
“La primera fase de un ataque de ingeniería social típico es la recopilación de información. La siguiente es emplear esos datos como arma en un ataque de phishing diseñado para engañar a la víctima e instalar, sin que lo sepa, malware en su dispositivo. O, potencialmente, para que comparta sus credenciales corporativas y se permita el acceso inicial. Esto puede lograrse a través de un correo electrónico, un mensaje de texto o incluso una llamada telefónica. Alternativamente, podrían utilizar la información para hacerse pasar por un ejecutivo de alto nivel o un proveedor en un correo electrónico, una llamada o una videollamada solicitando una transferencia bancaria urgente”, explica Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Las plataformas más utilizadas para compartir este tipo de información son las habituales. LinkedIn destaca como la más popular, funcionando como la mayor base de datos abierta de información corporativa a nivel mundial: un valioso recurso de puestos de trabajo, funciones, responsabilidades y relaciones internas. También es un espacio donde los reclutadores publican ofertas de empleo que pueden revelar detalles técnicos susceptibles de ser aprovechados en ataques de phishing.
GitHub es conocido en el ámbito de la ciberseguridad como un lugar donde los desarrolladores, sin querer, publican secretos codificados, direcciones IP y datos de clientes. No obstante, también pueden compartir información más inocua, como nombres de proyectos, nombres de canalizaciones CI/CD e información sobre las tecnologías y bibliotecas de código abierto que utilizan. Incluso pueden incluir direcciones de correo electrónico corporativas en las configuraciones de Git commit.
Plataformas sociales como Instagram y X también son relevantes. En ellas, los empleados suelen compartir detalles sobre sus planes de viaje a conferencias y otros eventos, información que podría ser utilizada en su contra y en contra de su organización. Incluso la información presente en el sitio web de la empresa puede ser útil para un posible estafador o hacker, incluyendo detalles sobre plataformas técnicas, proveedores, socios o anuncios corporativos importantes, como fusiones y adquisiciones, que podrían servir de base para un phishing sofisticado.
Estos ataques suelen combinar suplantación de identidad, urgencia y relevancia. Algunos ejemplos hipotéticos son:
● Un atacante encuentra en LinkedIn información sobre un nuevo empleado del departamento de TI de la empresa A, incluyendo sus funciones y responsabilidades. Se hace pasar por un proveedor tecnológico clave y afirma que es necesaria una actualización de seguridad urgente, mencionando el nombre, los datos de contacto y el puesto del objetivo. El enlace de la actualización es malicioso.
● Un agente malicioso encuentra información sobre dos compañeros de trabajo en GitHub, incluyendo el proyecto en el que colaboran. Se hace pasar por uno de ellos en un correo electrónico solicitando al otro que revise un documento adjunto que contiene malware.
● Un estafador encuentra un video de un ejecutivo en LinkedIn o en el sitio web de la empresa y observa en su perfil de Instagram/X que asistirá a una conferencia y estará fuera de la oficina. Sabiendo que puede ser difícil contactar con el ejecutivo, lanza un ataque BEC utilizando deepfake de video o audio para engañar a un miembro del equipo financiero y que transfiera fondos a un nuevo proveedor.
ESET ha documentado casos reales de actores maliciosos que utilizan técnicas de “inteligencia de fuentes abiertas” (OSINT) en las primeras etapas de sus ataques. Entre ellos se incluyen:
● Un ataque BEC que costó 3.6 millones de dólares a Children’s Healthcare of Atlanta (CHOA): es probable que los atacantes revisaran comunicados de prensa sobre la apertura de un nuevo campus para obtener más detalles, incluyendo al socio constructor del hospital. Posteriormente, utilizaron LinkedIn y/o el sitio web de la empresa para identificar a los principales ejecutivos y miembros del equipo financiero de la empresa constructora (JE Dunn). Finalmente, se hicieron pasar por el director financiero en un correo electrónico enviado al equipo financiero de CHOA solicitando la actualización de los datos de pago para JE Dunn.
● Los grupos SEABORGIUM, con sede en Rusia, y TA453, vinculado a Irán, utilizan OSINT para realizar reconocimientos previos a lanzar ataques de phishing dirigidos a objetivos específicos. Según el NCSC del Reino Unido, utilizan redes sociales y plataformas profesionales para “investigar los intereses de sus objetivos e identificar sus contactos sociales o profesionales en el mundo real”. Una vez establecida la confianza a través del correo electrónico, envían un enlace para recopilar las credenciales de las víctimas.
“Si bien los riesgos de compartir en exceso son reales, las soluciones son sencillas. La herramienta más poderosa es la educación. Actualizar los programas de concienciación sobre seguridad es fundamental para que los empleados comprendan la importancia de no compartir demasiada información en las redes sociales. Se debe instar al personal a evitar compartir información a través de mensajes directos no solicitados, incluso si reconocen al usuario (ya que su cuenta podría haber sido suplantada), y asegurarse de que sean capaces de detectar intentos de phishing, BEC y deepfake”, aconseja López de ESET Latinoamérica.
ESET Latinoamérica también recomienda complementar esto con una política estricta sobre el uso de las redes sociales, definiendo límites claros sobre lo que se puede y no se puede compartir, y estableciendo fronteras claras entre las cuentas personales y las profesionales/oficiales. Es posible que también sea necesario revisar y actualizar los sitios web y las cuentas corporativas para eliminar cualquier información que pueda ser utilizada como arma.
Además, la autenticación multifactorial (MFA) y el uso de contraseñas seguras (almacenadas en un gestor de contraseñas) deben ser prácticas habituales en todas las cuentas de redes sociales, en caso de que las cuentas profesionales sean comprometidas para atacar a los compañeros de trabajo.
Por último, se recomienda supervisar las cuentas de acceso público, siempre que sea posible, para detectar información que pueda ser utilizada para el spearphishing y el BEC, y realizar ejercicios de red team con los empleados para poner a prueba su nivel de concienciación.
“La IA está acelerando y facilitando a los actores maliciosos la creación de perfiles de sus objetivos, la recopilación de OSINT y la redacción de correos electrónicos/mensajes convincentes en un lenguaje natural perfecto. Los deepfake impulsados por IA amplían aún más sus opciones. La conclusión es que, si algo es de dominio público, se debe asumir que un ciberdelincuente también lo sabe y que pronto intentará aprovecharlo”, concluye Martina López.
Para obtener más información sobre seguridad informática, visite el portal corporativo de ESET: https://www.welivesecurity.com/es/seguridad-corporativa/oversharing-que-esta-en-juego-si-empleados-comparten-demasiado/
Además, ESET invita a descubrir Conexión Segura, su podcast para estar al día de lo que ocurre en el mundo de la seguridad informática. Para escucharlo, visite: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
