LinkedIn, bajo la lupa de ESET por su uso en espionaje y fraudes

En noviembre, el Servicio de Seguridad británico alertó a los miembros del Parlamento sobre un plan de recopilación de inteligencia extranjera: dos perfiles en LinkedIn contactaban a personas vinculadas a la política británica para solicitarles “información privilegiada”. A partir de esas revelaciones, el MI5 impulsó una iniciativa gubernamental de 170 millones de libras (230 millones de dólares) para abordar amenazas de espionaje contra el Parlamento.

El episodio volvió a poner en foco el rol de LinkedIn como repositorio público de información corporativa y, al mismo tiempo, como vector para campañas maliciosas. La red social profesional acumula más de mil millones de “miembros” en todo el mundo desde su fundación en 2003, un volumen que amplía el universo de objetivos posibles para actores de amenazas respaldados por Estados o con motivaciones financieras.

El atractivo para los atacantes parte de la exposición de datos laborales. En la plataforma es posible identificar funciones y responsabilidades de personas clave dentro de una empresa objetivo y reconstruir relaciones entre individuos y proyectos. Ese mapa de vínculos aporta contexto para diseñar contactos más creíbles, en un entorno donde la víctima suele estar más predispuesta a abrir un mensaje directo o un InMail que un correo electrónico no solicitado.

También se trata de un canal que puede eludir controles habituales de seguridad corporativa. Al operar dentro de una red profesional, no existe garantía de que mensajes de phishing, malware o spam no logren pasar. Además, cualquiera puede crear un perfil y comenzar a extraer inteligencia o enviar mensajes con señuelos, ya sea para fraude o para espionaje. A esto se suma la posibilidad de secuestrar cuentas existentes o crear identidades falsas para hacerse pasar por candidatos o reclutadores.

En ese marco, ESET enumeró modalidades de ataque que se apoyan en la información disponible en perfiles y publicaciones: phishing y spearphishing; ataques directos con enlaces maliciosos diseñados para desplegar malware como infostealers u ofertas laborales falsas para robar credenciales; fraudes BEC (Business Email Compromise), que buscan volver más convincentes las solicitudes fraudulentas; uso de deepfakes a partir de videos alojados; secuestro de cuentas mediante técnicas como credential stuffing; y ataques a proveedores para generar un “efecto dominó”.

“El desafío que plantean las amenazas en LinkedIn es que a los departamentos de IT les resulta difícil obtener información real sobre el alcance del riesgo”, dijo Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

“Para evitar el secuestro de cuentas, se debería seguir una política de actualización periódica de parches”, dijo Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.