Seguridad en LinkedIn
read
Cómo LinkedIn puede ser utilizado por hackers, estafadores y con fines de ingeniería social
- Suplantación de identidad (phishing) - Como parte de tu red, un contacto de LinkedIn puede ver tu dirección de correo electrónico (si la has proporcionado). Dado que LinkedIn ayuda a crear una conexión comercial establecida, es más probable que abras un correo electrónico de phishing. Un delincuente puede personalizar mejor el correo electrónico de phishing si conoce tu perfil. Saber a qué te dedicas, qué tipo de trabajo tienes, etc. facilita la creación de un correo electrónico de phishing que parezca legítimo.
Los métodos de phishing pueden incluir: - Personas que te piden dinero y que no conoces personalmente. Esto puede incluir personas que le piden que les envíe dinero, criptomonedas o tarjetas de regalo para recibir un préstamo, un premio u otras ganancias.
- Ofertas de trabajo que parecen demasiado buenas para ser verdad o que te piden pagar algo por adelantado. Estas oportunidades pueden incluir puestos de comprador misterioso, imitador de empresas o asistente personal.
- Los mensajes o gestos románticos que no son apropiados en nuestra plataforma pueden ser indicadores de un posible intento de fraude. Esto puede incluir personas que utilizan cuentas falsas para desarrollar una relación personal con la intención de fomentar solicitudes financieras.
- Datos comprometidos - En 2012, LinkedIn perdió las direcciones de correo electrónico y las contraseñas de más de 100 millones de usuarios. Estos datos todavía están disponibles en la red oscura y son una mina de oro en materia de credenciales, ya que muchas personas son perezosas y no saben o no les importa la buena higiene de las contraseñas. De hecho, las credenciales reutilizadas son una de las causas más comunes de las filtraciones de datos.
- Visualización de todos los empleados - Una función como "ver todos los empleados" puede ayudar a un delincuente a identificar a sus objetivos. En cuanto a lo que hacen con esta información, un atacante podría usar su conocimiento de la estructura de una empresa para hacerse pasar por el jefe o colega de alguien y engañarlo para que comparta información confidencial o haga clic en un enlace malicioso.
- Visualización de todas las conexiones - Al revisar las numerosas conexiones de LinkedIn de una organización, un hacker puede comenzar a construir una imagen detallada de los proveedores, proveedores de tecnología y otros servicios de terceros de la organización. Esto puede ayudarlos a identificar posibles puntos de entrada dentro de la pila tecnológica de su objetivo, por ejemplo, sus sistemas de CRM, RR.HH. o nóminas. Comprender qué tecnologías se utilizan también puede ayudar a un hacker a comprender qué sistemas de seguridad pueden estar implementados y, lo que es más importante, qué sistemas son vulnerables.
Además, imaginemos el escenario en el que un atacante no puede infiltrarse directamente en su objetivo. Si es lo suficientemente ingenioso, puede intentar utilizar LinkedIn para averiguar qué proveedores y socios utiliza, en un intento de infiltrarse en ellos. Es fácil imaginar que la agencia de marketing de un banco tenga una seguridad más laxa que el propio banco, y es exactamente por eso que puede acabar siendo un punto de entrada involuntario a la red de su cliente.
- Nuevas ofertas de empleo ofrecen información sobre tecnología - Al contratar personal para puestos técnicos, en particular puestos de administración de sistemas o de TI, las ofertas de empleo de LinkedIn pueden revelar una gran cantidad de datos valiosos. Esto puede incluir la tecnología que sustenta las operaciones comerciales críticas, por ejemplo, qué bases de datos, sistemas operativos, almacenamiento y lenguajes de programación se utilizan en toda la organización. Para los piratas informáticos, esta es una información invaluable que puede ayudarlos a organizar un ataque exitoso.
Los anuncios de empleo también pueden revelar detalles de próximos proyectos de TI, como actualizaciones de infraestructura, por ejemplo, el traslado a un proveedor de servicios en la nube. Este tipo de proyectos pueden ser un buen punto de entrada, ya que los procesos de seguridad pueden ser menos maduros y un nuevo hacker que se infiltra en la red puede ser más difícil de detectar mientras la organización aún no ha creado una línea base de actividad normal.
- Utilizando la curiosidad para difundir malware Tal vez el mayor activo de LinkedIn sea su capacidad para aprovechar la curiosidad de sus usuarios, pero los piratas informáticos también pueden utilizar esto en su beneficio. Saben que si un desconocido visita el perfil de alguien, lo primero que probablemente hará es hacer clic en su perfil para intentar averiguar por qué. Por ejemplo, un pirata informático puede crear un perfil falso y ver los perfiles de varias personas. Podría colocar un enlace malicioso en su perfil con la esperanza de que un objetivo curioso haga clic en él, en cuyo caso LinkedIn se convierte en un mecanismo de distribución de malware.
- Influenciando la red y la reputación: Un hacker podría hacerse pasar por una conexión de confianza para difundir información errónea o convencer a la red de la víctima de que realice determinadas acciones. Esto podría tener repercusiones perjudiciales, dañando tanto la reputación personal como la profesional. Dicha manipulación podría incluso utilizarse para afectar negativamente el precio de las acciones de una empresa, causar trastornos internos o influir en la opinión de los accionistas.
- Uso indebido de InMail: El sistema de mensajería privada de LinkedIn, InMail, puede utilizarse de forma indebida para enviar enlaces de phishing o archivos maliciosos. Dado que se trata de una línea de comunicación directa, los piratas informáticos podrían aprovecharse de ello para engañar a los usuarios y conseguir que revelen información confidencial. Además, las personas podrían estar más inclinadas a confiar en un enlace enviado a través de LinkedIn que en uno enviado a través de un canal menos conocido.
- Respaldos y recomendaciones: Las recomendaciones y los comentarios falsos pueden utilizarse para generar credibilidad en un perfil fraudulento. Si se cuenta con un perfil bien elaborado y con recomendaciones, un hacker puede ganarse la confianza de los usuarios con mayor facilidad, lo que puede derivar en ataques de phishing o ingeniería social exitosos.
- Suplantación de identidad "Premium": Algunos piratas informáticos podrían ir un paso más allá y pagar por una cuenta LinkedIn Premium. La insignia "Premium" podría dar una capa adicional de credibilidad al perfil del pirata informático, lo que haría que sus ataques de phishing o ingeniería social fueran más efectivos.
- Recopilación de datos para ataques personalizados: Una forma más sutil de utilizar LinkedIn es para la "recolección de datos", es decir, la recopilación de información del perfil de una persona, como sus intereses, su historial laboral o sus conexiones. Esta información se puede utilizar para crear ataques de phishing o de phishing selectivo altamente personalizados y convincentes.
Precauciones para mantenerte más seguro
Los usuarios de LinkedIn deben comprender el valor de sus datos, ser más precavidos al publicar y ver contenido en línea y estar siempre atentos a las amenazas a la ciberseguridad. Los piratas informáticos están ahí fuera; son inteligentes, organizados y hábiles, y no dudarán en utilizar un servicio como LinkedIn para llegar a su objetivo, que fácilmente podría ser usted.
No acepte conexiones de LinkedIn de:
- Personas que no conoces o de las que no tienes idea: Debes evitar aceptar solicitudes de conexión de personas con las que no estás familiarizado. Si no reconoces a la persona o sus credenciales profesionales, es mejor no interactuar, ya que pueden ser spammers o actores maliciosos. Es especialmente recomendable evitar conectarte con personas de industrias o regiones completamente ajenas a tu ámbito profesional.
- Personas con las que no tienes al menos una conexión de segunda o tercera mano: En LinkedIn, una conexión de segundo grado es una conexión de tu conexión (es decir, un "amigo de un amigo"), y una conexión de tercer grado es una conexión de una conexión de segundo grado. Si alguien no es al menos una conexión de segundo o tercer grado, esto sugiere que no comparten ninguna conexión mutua, lo que podría indicar un mayor riesgo. Las conexiones mutuas actúan como una especie de sistema de "garantía", ya que es menos probable (aunque no imposible) que un estafador o spammer esté conectado con alguien en quien confías.
- Personas que no tienen conexiones de confianza: Este punto es similar al anterior. Si recibes una solicitud de alguien que no está conectado con ninguna persona en la que confíes o que conozcas, es más seguro ignorarla. Las conexiones de confianza suelen ser colegas, amigos o profesionales de la industria en cuyo criterio confías. Si el solicitante no está conectado con nadie de tu red de confianza, es más probable que sea un actor malicioso.
- Personas con muy pocas conexiones: LinkedIn es una plataforma de redes profesionales y la mayoría de los usuarios genuinos tendrán una cantidad considerable de conexiones (normalmente 100 o más) creadas a lo largo del tiempo. Si recibes una solicitud de alguien que solo tiene unas pocas conexiones, esto podría ser una señal de alerta. Es posible que se trate de una cuenta nueva, pero también podría ser un perfil falso. Los piratas informáticos o los spammers suelen crear cuentas falsas y enviar solicitudes de conexión masivas, y estas cuentas normalmente tendrán muy pocas conexiones.
- Perfiles incompletos: Puede que no sean necesariamente peligrosos, pero los perfiles que no tienen una foto de perfil, detalles sobre su puesto actual u otra información básica podrían indicar que se trata de una cuenta falsa o de spam. Tenga cuidado si no tienen actividad visible, como me gusta, comentarios o publicaciones.
- Perfiles con múltiples errores ortográficos o gramaticales: Si bien todos podemos cometer errores tipográficos ocasionales, un perfil plagado de errores puede ser una señal de alerta. Podría tratarse de una cuenta creada a las apuradas con la intención de enviar spam o estafar.
- Perfiles con títulos de trabajo genéricos: Tenga cuidado con los perfiles con títulos de trabajo demasiado genéricos, como "freelancer" o "autónomo", especialmente si el resto del perfil carece de detalles específicos. Pueden ser bots o personas que intentan parecer legítimas.
- Conexiones que solicitan información confidencial: Ninguna conexión legítima de LinkedIn debería pedirte que reveles información confidencial, como detalles de tarjetas de crédito, números de cuentas bancarias, números de seguro social, etc. No aceptes ni mantengas conexiones que soliciten este tipo de información.
- Perfiles con un historial laboral que cambia rápidamente: Si en un perfil se muestra que la persona cambia de trabajo cada pocos meses, esto podría ser una señal de alerta. Es especialmente preocupante si estos cambios de trabajo abarcan diversos campos, lo que podría indicar que el titular de la cuenta está inventando su historial laboral.
- Perfiles que parecen demasiado buenos para ser verdad: Si un perfil parece exagerado o demasiado bueno para ser verdad, trátelo con precaución. Algunos ejemplos podrían ser un puesto de alto rango inusual para una edad joven, recomendaciones de personas de perfil extremadamente alto o credenciales de instituciones prestigiosas sin los detalles o pruebas correspondientes.
- Contacto no solicitado con ofertas de trabajo: Desconfíe de las solicitudes de contacto no solicitadas que se acompañan inmediatamente de una oferta de trabajo, especialmente si la oferta parece demasiado buena para ser verdad. Los estafadores pueden utilizar este enfoque para convencerlo de que haga clic en un enlace malicioso o de que proporcione información personal.
Cómo investigar en LinkedIn
Si bien algunas de estas cosas también pueden ser resultado de un perfil mal escrito en lugar de uno falso, lo que debes buscar son patrones. Si ves alguna señal de alerta, entonces querrás usar su contenido y su red para verificar más.
- Como parte de esta prueba de perfil, LinkedIn creó una sección “Acerca de este perfil”. Esta sección muestra “cuándo se creó y actualizó por última vez un perfil” y “si el miembro ha verificado un número de teléfono o un correo electrónico de trabajo asociado con su cuenta”. Asegúrese de consultar esta sección como parte de su proceso de selección.
- Tómate un segundo para asegurarte de que el perfil de LinkedIn realmente pertenece a la persona que dice pertenecer. Comprueba si tienes contactos mutuos en LinkedIn y, si es así, ponte en contacto con esas personas para verificarlo.
- En caso de duda, utilice la función “Buscar por imagen” de Google para comprobar si la foto es de la persona que dice ser. A menudo, los perfiles falsos presentan fotos de anuncios o de modelos.
- Verifique periódicamente que nadie haya abierto una cuenta a su nombre o con una variante común de su nombre.
- Si ves perfiles, mensajes o contenido que parezca sospechoso, repórtalo a LinkedIn.
Prueba de contenido
Los perfiles se crean una sola vez, pero falsificar el contenido es más difícil y requiere más tiempo. Revisa sus publicaciones recientes y su historial para buscar estos indicios.
- ¿Están publicando regularmente?
- ¿Escriben una publicación con su contenido o solo comparten enlaces sin más información?
- ¿Sus publicaciones tienen respuestas y ellos interactúan con esas respuestas?
- ¿Hay otros comentarios que hayan escrito en las publicaciones de otras personas?
- ¿Le han enviado información con un lenguaje demasiado personal o formal? (Como “Hola querido” o “Estimado señor o señora”)
Prueba de red
El último aspecto que puedes comprobar en un perfil de LinkedIn es consultar su red.
- ¿Tienen menos de 100 conexiones en total?
- ¿El perfil tiene seguidores además de conexiones?
- ¿Hay algunas recomendaciones escritas en LinkedIn? ¿Parecen genuinas y relevantes para el resto del perfil?
- ¿Tenéis alguna conexión compartida en común?
Cómo proteger su cuenta e identidad
Detectar las falsificaciones es un buen primer paso, pero también conviene proteger los datos y la información. Su reputación y sus contactos en línea son activos comerciales valiosos y deben tratarse como tales.
Si aún no lo hace, asegúrese de descargar periódicamente sus datos e información de LinkedIn. Esto puede ayudarle en caso de que alguna vez sufra una vulneración de seguridad. Pero hay cosas que puede hacer para evitar que eso suceda.
- Utilice una contraseña segura que sea única para LinkedIn.
- Revise periódicamente su configuración de privacidad y seguridad.
- Activa la autenticación de dos factores para tus inicios de sesión.
- Periódicamente realiza una búsqueda de imágenes inversa con tu propia foto de perfil para ver si aparece en lugares donde no debería.
- Configura una alerta de Google para tu nombre.
- Verifique la cantidad de inicios de sesión activos para asegurarse de que ningún tercero acceda a su cuenta sin su permiso.
- Adquiera el hábito trimestral de revisar su perfil y actualizarlo.
- Mantén activa tu cuenta. Si no lo haces, podrías parecer un robot.
Cómo reportar abuso
- Busca los tres puntos en la esquina superior derecha, haz clic en denunciar y selecciona la mejor opción que describa tus inquietudes. También puedes comunicarte directamente con el equipo de atención al cliente de LinkedIn a través del Centro de ayuda.