Lo que para millones de personas es una vitrina laboral y un espacio para hacer contactos profesionales, para otros se ha transformado en un terreno fértil para el engaño.
Especialistas en seguridad de Eset han advertido que LinkedIn está siendo utilizado como un canal silencioso para recolectar información sensible, infiltrar fraudes y, en algunos casos, acceder a datos personales almacenados en los teléfonos móviles de las víctimas.
La alerta cobró fuerza luego de que, a finales del año pasado, el Servicio de Seguridad británico detectara intentos de contacto dirigidos a personas vinculadas al ámbito político. A través de perfiles aparentemente legítimos, se solicitaba información confidencial bajo excusas profesionales. El episodio encendió las alarmas y llevó al gobierno británico a reforzar sus estrategias contra el espionaje extranjero. Sin embargo, expertos señalan que este tipo de maniobras no se limita a escenarios de alto perfil ni a un solo país.
La red profesional que revela más de lo que parece
Eset explicó que LinkedIn reúne a más de mil millones de usuarios en todo el mundo y, aunque su objetivo es conectar talentos y empresas, también expone una enorme cantidad de datos.
Cargos, responsabilidades, relaciones laborales, proyectos en curso e incluso cambios recientes de empleo pueden reconstruirse con solo revisar algunos perfiles.
“Además, aporta credibilidad y cobertura, ya que al tratarse de una red profesional, está frecuentada tanto por ejecutivos de alto nivel como por trabajadores de menor rango, y es un contexto en el que una víctima está más propensa a abrir un mensaje directo o un InMail proveniente de alguien en la plataforma que un correo electrónico no solicitado”, comentó Eset.
Ese clima de credibilidad facilita que muchas personas abran enlaces, descarguen archivos o respondan solicitudes sin verificar su origen. Además, al tratarse de una plataforma externa a los sistemas corporativos tradicionales, estos intercambios suelen quedar fuera de los filtros de seguridad habituales de las empresas.
De falsas ofertas a cuentas tomadas: las trampas más comunes
Los métodos utilizados son variados y, en muchos casos, difíciles de detectar a simple vista. Uno de los más frecuentes consiste en mensajes personalizados que imitan comunicaciones reales, adaptados al perfil y trayectoria del destinatario.
Otros esquemas incluyen supuestas propuestas laborales que conducen a páginas falsas donde se roban claves de acceso.“Los atacantes pueden secuestrar cuentas existentes o crear identidades falsas antes de hacerse pasar por candidatos o reclutadores”, indica el comunicado de Eset.
También se han identificado casos en los que los delincuentes logran apoderarse de cuentas auténticas, ya sea mediante engaños previos o reutilizando contraseñas filtradas en internet. Una vez dentro, esas cuentas se convierten en herramientas para contactar a colegas y socios con mayor efectividad.
A esto se suma una tendencia más sofisticada: “LinkedIn también puede alojar videos de los objetivos, que pueden utilizarse para crear deepfakes y emplearlos en posteriores ataques de phishing, BEC o estafas en redes sociales”.
Incluso los vínculos comerciales de una empresa pueden verse comprometidos, ya que los atacantes analizan la red de contactos para avanzar de una organización a otra, como fichas de dominó.
“Debería advertirse a los empleados sobre el riesgo de compartir información en exceso en la plataforma y brindarles orientación para detectar cuentas falsas y señuelos típicos de phishing”, comenta Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.