LinkedIn: Modalidades de estafa en las que caes sin saberlo

LinkedIn es una de las plataformas más utilizadas para buscar trabajo o ampliar la red de contactos a nivel profesional, sin embargo, su popularidad también la ha convertido en un punto de interés para ciberdelincuentes que aplican diversas modalidades de estafa para extraer información valiosa o hasta suplantar identidades. 

Es por ello que si bien LinkedIn es una ventana para mostrar un perfil profesional brillante, para un estafador es una base de datos pública de información corporativa lista para ser explotada.

¿Por qué tu perfil de LinkedIn es de interés para estafadores?

A diferencia de un correo electrónico sospechoso que llega a tu bandeja de entrada, en LinkedIn es posible bajar la guardia. Esto se debe a que la plataforma aporta una credibilidad y confianza que los ciberdelincuentes aprovechan para engañar incluso a ejecutivos de alto nivel.

Además, hay un riesgo invisible: cuando te contactan por mensaje directo, los sistemas de seguridad de tu empresa quedan "ciegos", ya que esos mensajes no pasan por los filtros de correos corporativos. Ello les permite a los atacantes:

Extraer inteligencia: Descubren quién reporta a quién, en qué proyectos trabajas y quiénes son tus proveedores.

Suplantar identidades: Es muy sencillo crear perfiles falsos de reclutadores o incluso secuestrar cuentas reales para generar confianza.

¿Qué modalidades de estafa existen en LinkedIn?

De acuerdo a ESET, compañía especializada en seguridad digital, existen varias maneras en que los actores de amenazas pueden operacionalizar sus campañas maliciosas a través de LinkedIn, por ejemplo:

1. Phishing y spearphishing

Al utilizar la información que los usuarios comparten en sus perfiles, los atacantes pueden personalizar campañas de phishing (correos electrónicos falsos) para aumentar su tasa de éxito.

2. Ataques directos

El contacto puede ser directamente con enlaces maliciosos diseñados para desplegar malware, como “infostealers”, o promover ofertas laborales falsas destinadas a robar credenciales.

3. BEC

Al igual que en el caso del phishing, LinkedIn proporciona una gran cantidad de inteligencia que puede utilizarse para hacer que los ataques de Business Email Compromise luzcan más convincentes. Puede ayudar a los estafadores a identificar quién reporta a quién, en qué proyectos están trabajando y los nombres de socios o proveedores.

4. Deepfakes

LinkedIn también puede alojar videos de los objetivos, que pueden utilizarse para crear deepfakes y emplearlos en posteriores ataques de phishing, BEC o estafas en redes sociales.

5. Secuestro de cuentas

Páginas falsas de LinkedIn (phishing), infostealers, credential stuffing y otras técnicas pueden ayudar a los atacantes a tomar control de cuentas de usuarios. Estas cuentas secuestradas pueden usarse en ataques posteriores dirigidos a sus contactos.

Casos reales: De un mensaje amable a pérdidas millonarias

Aquí te presentamos algunos casos reales en torno a grupos de amenazas internacionales que ya están operando en la red y a los que debes estar alerta:

• El engaño del reclutador: El grupo Lazarus de Corea del Norte ha creado perfiles falsos de reclutadores para enviar archivos infectados a empleados de empresas aeroespaciales.
• El fraude de los 100 millones: El grupo ScatteredSpider utilizó información obtenida en LinkedIn para engañar a un soporte técnico y robar la identidad de un empleado de MGM con el fin de acceder a la organización. El posterior ataque de ransomware provocó pérdidas por 100 millones de dólares.
• Espionaje político: El MI5 británico alertó sobre perfiles como "Amanda Qiu" o "Shirly Shen", que contactaban a personas en la política para solicitar "información privilegiada".
• Una campaña de spearphishing denominada “Ducktail”: Apuntó a profesionales de marketing y recursos humanos en LinkedIn, entregando malware y robando información a través de enlaces enviados por DM. El malware se alojaba en la nube.
   

¿Cómo proteger tu información de estafas en LinkedIn?

Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica, señala que el mayor desafío es que muchas personas no son conscientes del alcance de este riesgo. Por ello, para navegar seguro, sugiere:

• Activar la "Llave Maestra" (Autenticación Multifactor): No confíes solo en tu contraseña. Activar el segundo factor de verificación es la mejor defensa contra el secuestro de tu cuenta.
• Evitar el "Oversharing" (Compartir en exceso): No publiques detalles minuciosos sobre tus responsabilidades diarias o la estructura interna de tu oficina. Menos es más cuando se trata de tu seguridad.
• Desconfiar de los "cazatalentos" extraños: Si recibes una oferta increíble pero el perfil de quien te escribe parece nuevo o el mensaje tiene errores gramaticales, podría ser un "señuelo" de phishing.
• Mantener tus escudos actualizados: Instala siempre los parches de seguridad en tus dispositivos y utiliza software de seguridad de un proveedor confiable.
   

“En ámbitos corporativos, puede valer la pena organizar capacitaciones específicas para ejecutivos, que suelen ser objetivo de ataques con mayor frecuencia. Sobre todo, asegurarse de que el equipo de trabajo sea consciente de que, incluso en una red considerada confiable como LinkedIn, no todas las personas actúan en su mejor interés.”, recomiendan.

Toma en cuenta estas recomendaciones y evita caer en estafas incluso en plataformas que son consideradas confiables como LinkedIn. Que la búsqueda de trabajo no se convierta en un señuelo para perder información valiosa.