Hace años, las empresas empezaron a animar a sus empleados a compartir logros, proyectos y hasta detalles de su día a día laboral en redes sociales.
La idea era clara: construir una imagen sólida, atraer talento y conectar con clientes. Pero lo que comenzó como una estrategia de marketing y networking se ha convertido, sin querer, en un mapa del tesoro para los ciberdelincuentes.
Cada publicación, cada actualización de perfil o incluso un comentario inocente puede ser la pieza que falta para armar un ataque personalizado, conocido como spearphishing.
No se trata ya de esos correos genéricos que prometen fortunas o alertan sobre herencias inesperadas. Hoy, los estafadores estudian a sus víctimas con paciencia de detective. Usan la información que los propios empleados comparten en plataformas como LinkedIn, GitHub, Instagram o X para crear mensajes tan convincentes que hasta el ojo más entrenado podría caer en la trampa.
“La primera etapa de un ataque típico de ingeniería social es la recopilación de información”, explica Martina López, experta en seguridad informática de ESET Latinoamérica.
Los atacantes recopilan datos públicos para diseñar engaños a medida: un correo que parece venir de un compañero, una llamada urgente de un supuesto proveedor o un mensaje que menciona un proyecto real en el que estás trabajando. El objetivo es que la víctima baje la guardia, haga clic en un enlace malicioso o revele credenciales de acceso.
Redes sociales: el escenario perfecto para el engaño
¿Dónde encuentran los ciberdelincuentes toda esta información? En los mismos lugares donde los profesionales construyen su reputación, de los cuales Eset señaló:
LinkedIn: la red profesional por excelencia, es una mina de oro. Aquí no solo se publican currículos y logros, sino también organigramas, responsabilidades y hasta detalles técnicos de los proyectos.
“También es el lugar donde los reclutadores publican ofertas de empleo, que pueden revelar demasiados detalles técnicos que luego pueden aprovecharse en ataques de spearphishing”, indica Eset.
GitHub: aunque menos obvio, es otro filón. Los desarrolladores a veces comparten sin querer datos sensibles: desde direcciones de correo corporativo hasta nombres de herramientas internas. Incluso los repositorios públicos pueden delatar la infraestructura tecnológica de una empresa.
Instagram y X son ideales para rastrear movimientos. Un post sobre un viaje de negocios o una conferencia puede ser la señal que un estafador necesita para actuar en el momento justo, cuando sabe que el ejecutivo clave no está en la oficina.
“Incluso la información que aparece en el sitio web de su empresa podría ser útil para un posible estafador o hacker”.
