Por revistaeyn.com
Desde ESET, compañía de detección proactiva de amenazas, aseguran que LinkedIn puede ser un verdadero tesoro de datos corporativos que pueden utilizarse para apoyar campañas de fraude o amenazas.
La red social acumula más de mil millones de “miembros” en todo el mundo desde su fundación en 2003. Eso representa una gran cantidad de posibles objetivos para actores de amenazas respaldados por Estados o con motivaciones financieras.
En primera instancia, se trata de una fuente de información extraordinaria en la que actores maliciosos pueden descubrir las funciones y responsabilidades de personas clave dentro de una empresa objetivo y reconstruir las relaciones entre individuos y de los proyectos en los que podrían estar trabajando.
Además, aporta credibilidad y cobertura ya que al tratarse de una red profesional, está frecuentada tanto por ejecutivos de alto nivel como por trabajadores de menor rango y es un contexto en el que una víctima está más propensas a abrir un mensaje directo o un InMail proveniente de alguien en la plataforma que un correo electrónico no solicitado.
Por otro lado, elude la seguridad “tradicional” porque no existe garantía de que no mensajes de phishing, malware o spam no logren pasar, y debido a la credibilidad que inspira el sitio, los objetivos pueden tener más probabilidades de hacer clic en contenido malicioso.
RIESGOS VARIADOS
Desde ESET destacan que existen varias maneras en que los actores de amenazas pueden operacionalizar sus campañas maliciosas a través de esta red, por ejemplo:
* Phishing y spearphishing: Al utilizar la información que los usuarios comparten en sus perfiles, los atacantes pueden personalizar campañas de phishing (correos falsos) para aumentar su tasa de éxito.
* Ataques directos: El contacto puede ser directamente con enlaces maliciosos diseñados para desplegar malware, como infostealers, o promover ofertas laborales falsas destinadas a robar credenciales.
* BEC: Al igual que en el caso del phishing, LinkedIn proporciona una gran cantidad de inteligencia que puede utilizarse para hacer que los ataques de Business Email Compromise luzcan más convincentes. Puede ayudar a los estafadores a identificar quién reporta a quién, en qué proyectos están trabajando y los nombres de socios o proveedores.
* Deepfakes: LinkedIn también puede alojar videos de los objetivos, que pueden utilizarse para crear deepfakes y emplearlos en posteriores ataques de phishing, BEC o estafas en redes sociales.
* Secuestro de cuentas: Páginas falsas de LinkedIn (phishing), infostealers, credential stuffing y otras técnicas pueden ayudar a los atacantes a tomar control de cuentas de usuarios. Estas cuentas secuestradas pueden usarse en ataques posteriores dirigidos a sus contactos.
* Ataques a proveedores: LinkedIn también puede rastrearse en busca de información sobre socios de una empresa objetivo, quienes pueden ser atacados con phishing como parte de un ataque en “efecto dominó”.
“El desafío que plantean las amenazas en LinkedIn es que a los departamentos de IT les resulta difícil obtener información real sobre el alcance del riesgo al que se exponen sus empleados y las tácticas que se utilizan para atacarlos. Sin embargo, tiene sentido incluir en los cursos de concientización en seguridad escenarios de amenazas en LinkedIn como los descritos anteriormente”, comenta Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
