Seguridad en LinkedIn
Page Article
Cómo puede utilizar LinkedIn un hacker, un phisher y para la ingeniería social
- Phishing - Como parte de tu red, un contacto de LinkedIn puede ver tu dirección de correo electrónico (si la has puesto a disposición). Dado que LinkedIn ayuda a crear una conexión comercial establecida, puede ser más propenso a abrir un correo electrónico de phishing. Un delincuente puede adaptar mejor el correo electrónico de phishing si conoce su perfil. Saber a qué te dedicas, qué tipo de trabajo tienes, etc. facilita la creación de un correo electrónico de phishing de aspecto legítimo.
Los métodos de phishing pueden incluir: - Personas que te piden dinero y que no conoces en persona. Esto puede incluir a personas que te piden que les envíes dinero, criptomonedas o tarjetas de regalo para recibir un préstamo, un premio u otras ganancias.
- Los anuncios de trabajo que suenan demasiado bien para ser verdad o que le piden que pague algo por adelantado. Estas oportunidades pueden incluir puestos de comprador misterioso, suplantador de empresa o asistente personal.
- Los mensajes o gestos románticos, que no son apropiados en nuestra plataforma, pueden ser indicadores de un posible intento de fraude. Esto puede incluir a personas que utilizan cuentas falsas con el fin de desarrollar una relación personal con la intención de fomentar las solicitudes financieras.
- Datos comprometidos - En 2012, LinkedIn perdió las direcciones de correo electrónico y las contraseñas de más de 100 millones de usuarios. Estos datos siguen estando disponibles en la web oscura y son una mina de oro de credenciales porque mucha gente es perezosa y no sabe o no se preocupa por una buena higiene de las contraseñas. De hecho, las credenciales reutilizadas son una de las causas más comunes de las violaciones de datos.
- Ver todos los empleados - Una función como "ver todos los empleados" puede ayudar a un delincuente a identificar objetivos. En cuanto a lo que hacen con esta información, un atacante podría utilizar su conocimiento de la estructura de una empresa para hacerse pasar por el jefe o colega de alguien y engañarlo para que comparta información confidencial o haga clic en un enlace malicioso.
- Ver todas las conexiones - Al revisar las numerosas conexiones de una organización en LinkedIn, un hacker puede comenzar a construir una imagen detallada de los proveedores de una organización, los proveedores de tecnología y otros servicios de terceros. Esto puede ayudarles a identificar posibles puntos de entrada dentro de la pila tecnológica de su objetivo, por ejemplo, sus sistemas de CRM, RRHH o nóminas. Comprender qué tecnologías se utilizan también puede ayudar a un pirata informático a entender qué sistemas de seguridad pueden estar en funcionamiento y, lo que es más importante, qué sistemas son vulnerables.
Además, imagine el escenario en el que un atacante no puede infiltrarse directamente en su objetivo. Si tiene suficientes recursos, puede intentar utilizar LinkedIn para averiguar qué proveedores y socios utilizan, en un intento de infiltrarse en ellos. Es fácil imaginar que la agencia de marketing de un banco tenga una seguridad más laxa que el propio banco, y es precisamente por eso que puede acabar siendo un punto de entrada involuntario a la red de su cliente.
- Las nuevas ofertas de empleo ofrecen información sobre la tecnología - Cuando se contratan puestos técnicos, especialmente de TI o de administración de sistemas, las ofertas de empleo de LinkedIn pueden revelar muchos datos valiosos. Esto puede incluir la tecnología en la que se basan las operaciones críticas del negocio, por ejemplo, qué bases de datos, sistemas operativos, almacenamiento y lenguajes de scripting se utilizan en la organización. Para los piratas informáticos, esta información no tiene precio y puede ayudarles a montar un ataque con éxito.
Los anuncios de empleo también pueden revelar detalles de los próximos proyectos de TI, como actualizaciones de la infraestructura, por ejemplo, el cambio a un proveedor de servicios en la nube. Este tipo de proyectos puede ser un buen punto de entrada, ya que los procesos de seguridad pueden ser menos maduros y un nuevo hacker que se infiltre en la red puede ser más difícil de detectar mientras la organización todavía no ha creado una línea de base de la actividad normal.
- Utilizar la curiosidad para propagar el malware - Tal vez el mayor activo de LinkedIn sea su capacidad para aprovechar la curiosidad de sus usuarios, pero los hackers también pueden utilizar esto en su beneficio. Saben que si un desconocido visita el perfil de alguien, lo primero que probablemente hará será hacer clic en su perfil en un intento de averiguar el motivo. Por ejemplo, un hacker puede crear un perfil falso y ver los perfiles de varios objetivos. Podría colocar un enlace malicioso en su perfil con la esperanza de que un objetivo curioso haga clic en él, momento en el que LinkedIn se convierte en un mecanismo de entrega de malware.
Precauciones para su seguridad
Los usuarios de LinkedIn deben comprender el valor de sus datos, ser más precavidos al publicar y ver contenidos en línea, y ser siempre conscientes de la amenaza de la ciberseguridad. Los hackers están ahí fuera; son inteligentes, organizados y con recursos, y no se lo pensarán dos veces a la hora de utilizar un servicio como LinkedIn para llegar a su objetivo, que podría ser fácilmente usted.
No aceptes conexiones de LinkedIn de:
- gente que no conoce o sabe.
- personas que no tienen al menos una conexión de segunda o tercera mano con usted.
- personas que no tienen conexiones de confianza.
- personas con muy pocas conexiones.
Cómo investigar en LinkedIn
- Tómate un segundo para asegurarte de que el perfil de LinkedIn pertenece realmente a la persona que dice que pertenece. Comprueba si tenéis conexiones mutuas en LinkedIn y, si es así, ponte en contacto con esas personas para verificarlo.
- En caso de duda, utiliza la función "Buscar por imagen" de Google para ver si la foto es de la persona que dice ser. A menudo los perfiles falsos presentan fotos de anuncios o de modelos.
- Compruebe periódicamente que nadie ha abierto una cuenta a su nombre, o con una variante común de su nombre.
- Si ves perfiles, mensajes o contenidos que parezcan sospechosos, infórmalo a LinkedIn.
Cómo denunciar los abusos
- Busca los tres puntos en la esquina superior derecha, haz clic en informar y selecciona la mejor opción que describa tus preocupaciones. También puedes ponerte en contacto con el equipo de atención al cliente de LinkedIn directamente a través del Centro de ayuda.