LinkedIn, bajo la lupa de ESET por su uso en espionaje y fraudes
El caso que involucró al Parlamento británico y una inversión de 170 millones de libras reactivó alertas sobre cómo la red profesional, con más de mil millones de miembros, puede facilitar phishing, BEC y secuestro de cuentas, con impacto directo en la gestión de riesgos y la ciberseguridad corporativa
En noviembre, el Servicio de Seguridad británico alertó a los miembros del Parlamento sobre un plan de recopilación de inteligencia extranjera: dos perfiles en LinkedIn contactaban a personas vinculadas a la política británica para solicitarles “información privilegiada”. A partir de esas revelaciones, el MI5 impulsó una iniciativa gubernamental de 170 millones de libras (230 millones de dólares) para abordar amenazas de espionaje contra el Parlamento.
El episodio volvió a poner en foco el rol de LinkedIn como repositorio público de información corporativa y, al mismo tiempo, como vector para campañas maliciosas. La red social profesional acumula más de mil millones de “miembros” en todo el mundo desde su fundación en 2003, un volumen que amplía el universo de objetivos posibles para actores de amenazas respaldados por Estados o con motivaciones financieras.
El atractivo para los atacantes parte de la exposición de datos laborales. En la plataforma es posible identificar funciones y responsabilidades de personas clave dentro de una empresa objetivo y reconstruir relaciones entre individuos y proyectos. Ese mapa de vínculos aporta contexto para diseñar contactos más creíbles, en un entorno donde la víctima suele estar más predispuesta a abrir un mensaje directo o un InMail que un correo electrónico no solicitado.
También se trata de un canal que puede eludir controles habituales de seguridad corporativa. Al operar dentro de una red profesional, no existe garantía de que mensajes de phishing, malware o spam no logren pasar. Además, cualquiera puede crear un perfil y comenzar a extraer inteligencia o enviar mensajes con señuelos, ya sea para fraude o para espionaje. A esto se suma la posibilidad de secuestrar cuentas existentes o crear identidades falsas para hacerse pasar por candidatos o reclutadores.
En ese marco, ESET enumeró modalidades de ataque que se apoyan en la información disponible en perfiles y publicaciones: phishing y spearphishing; ataques directos con enlaces maliciosos diseñados para desplegar malware como infostealers u ofertas laborales falsas para robar credenciales; fraudes BEC (Business Email Compromise), que buscan volver más convincentes las solicitudes fraudulentas; uso de deepfakes a partir de videos alojados; secuestro de cuentas mediante técnicas como credential stuffing; y ataques a proveedores para generar un “efecto dominó”.
“El desafío que plantean las amenazas en LinkedIn es que a los departamentos de IT les resulta difícil obtener información real sobre el alcance del riesgo”, dijo Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
“Para evitar el secuestro de cuentas, se debería seguir una política de actualización periódica de parches”, dijo Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Artículos relacionados
Fabricación inteligente: 90% de los fabricantes ve esencial la transformación digital global
El informe anual 2026 sobre fabricación inteligente relevó 1.560 encuestados en 17 países y registró el pasaje desde pruebas piloto hacia despliegues a escala, con mayor adopción de inteligencia artificial y foco en resultados medibles como calidad, costos, riesgos operacionales y eficacia total del equipo
Volanti integra datos e inteligencia artificial para mejorar la gestión en concesionarias
La plataforma desarrollada en Argentina apunta a centralizar la operación del taller y ordenar el seguimiento comercial, con presencia en el 12% de los concesionarios del país y una inyección de capital de US$ 500.000 para escalar y avanzar en la expansión regional
El 50% que nadie ve es el que define si una venta fue negocio o no
Por German Viceconti, Director Comercial de NeuralSoft