Desde LinkedIn hasta X, desde GitHub hasta Instagram, existen muchas oportunidades para compartir información relacionada con el trabajo. Pero publicar también podría causarle problemas a su empresa.
01 dic 2025
•
,
5 min. leer
La defensa de los empleados existe como concepto desde hace más de una década. Pero lo que comenzó como una forma bien intencionada de mejorar el perfil corporativo, el liderazgo intelectual y el marketing, también tiene algunas consecuencias no deseadas. Cuando los profesionales publican sobre su trabajo, su empresa y su función, esperan llegar a profesionales con ideas afines, así como a clientes potenciales y socios. Pero los actores de amenazas también están prestando atención.
Una vez que esa información es de dominio público, a menudo se utiliza para ayudar a crear ataques convincentes de estilo Spearphishing o de compromiso de correo electrónico empresarial (BEC). Cuanta más información, más oportunidades habrá de que se produzcan actividades nefastas que podrían terminar afectando duramente a su organización.
¿Dónde comparten sus empleados?
Las principales plataformas para compartir dicha información son los sospechosos habituales. LinkedIn es quizás el más obvio. Podría describirse como la base de datos abierta de información corporativa más grande del mundo: un verdadero tesoro de títulos de trabajo, roles, responsabilidades y relaciones internas. También es donde los reclutadores publican ofertas de trabajo, lo que puede compartir demasiado detalles técnicos que pueden aprovecharse más adelante en ataques de phishing.
GitHub es quizás más conocido en el contexto de la ciberseguridad como un lugar donde los desarrolladores distraídos publican secretos codificados, IP y detalles de los clientes. Pero también podrían compartir información más inocua sobre nombres de proyectos, nombres de canalizaciones de CI/CD e información sobre qué pilas de tecnología y bibliotecas de código abierto están utilizando. También pueden compartir direcciones de correo electrónico corporativas en configuraciones de confirmación de Git.
Luego están las plataformas sociales clásicas orientadas al consumidor, como Instagram y X. Aquí es donde es probable que los empleados compartan detalles sobre sus planes de viaje a conferencias y otros eventos que podrían usarse como arma contra ellos y su organización. Incluso la información contenida en el sitio web de su empresa podría resultar útil para un posible estafador o hacker. Piense: detalles sobre plataformas técnicas, proveedores y socios, o anuncios corporativos importantes, como actividades de fusiones y adquisiciones. Todo esto podría servir de pretexto para un phishing sofisticado.
LECTURA RELACIONADA: ¿Tu perfil de LinkedIn revela demasiado?
Información sobre armas
La primera etapa de un ataque típico de ingeniería social es la recopilación de inteligencia. El siguiente es utilizar esa inteligencia como arma en un ataque de phishing diseñado para engañar al destinatario para que, sin saberlo, instale malware en su dispositivo. O potencialmente compartir sus credenciales corporativas para el acceso inicial. Esto podría lograrse a través de un correo electrónico, un mensaje de texto o incluso una llamada telefónica. Alternativamente, podrían usar información para hacerse pasar por un ejecutivo o proveedor de nivel C en un correo electrónico, teléfono o videollamada solicitando una transferencia bancaria urgente.
Estos esfuerzos suelen requerir una combinación de suplantación, urgencia y relevancia. A continuación se muestran algunos ejemplos hipotéticos:
- Un adversario encuentra información de LinkedIn sobre un nuevo titular en un puesto de TI en la empresa A, incluidas su función y responsabilidades principales. Se hacen pasar por un proveedor de tecnología clave y afirman que se requiere una actualización de seguridad urgente, haciendo referencia al nombre, los detalles de contacto y la función del objetivo. El enlace de actualización es malicioso.
- Un actor de amenazas encuentra información sobre dos colegas en GitHub, incluido el proyecto en el que están trabajando. Se hacen pasar por uno en un correo electrónico y le piden al otro que revise un documento adjunto, que está lleno de malware.
- Un estafador encuentra un vídeo de un ejecutivo en LinkedIn o en un sitio web corporativo. Ven en el feed Instagram/X de ese objetivo que van a presentar en una conferencia y que estarán fuera de la oficina. Sabiendo que puede ser difícil contactar al ejecutivo, lanzan un ataque BEC falso usando video o audio, para engañar a un miembro del equipo de finanzas para que transfiera algunos fondos urgentes a un nuevo proveedor.
Cuentos de advertencia
Lo anterior son sólo hipotéticos. Pero existen muchos ejemplos reales de actores de amenazas que utilizan técnicas de “inteligencia de código abierto” (OSINT) en las primeras etapas de los ataques. Incluyen:
- Un ataque BEC que le costó a Children’s Healthcare of Atlanta (CHOA) $3,6 millones: los actores de amenazas probablemente revisaron los comunicados de prensa sobre un campus recientemente anunciado para conocer más detalles, incluido el socio de construcción del hospital. Luego habrían utilizado LinkedIn y/o el sitio web corporativo para identificar a los ejecutivos clave y a los miembros del equipo financiero de la empresa constructora involucrada (JE Dunn). Finalmente, ellos se hicieron pasar el director financiero en un correo electrónico al equipo financiero de CHOA solicitando que actualicen sus detalles de pago para JE Dunn.
- Los grupos SEABORGIUM con sede en Rusia y TA453 alineados con Irán utilizan OSINT para reconocimiento antes de ataques de phishing contra objetivos preseleccionados. De acuerdo a el NCSC del Reino Unidoutilizan las redes sociales y plataformas de redes profesionales para “investigar sus [targets’] intereses e identificar sus contactos sociales o profesionales en el mundo real”. Una vez que se ha establecido la confianza y la relación por correo electrónico, envían un enlace para recopilar las credenciales de las víctimas.
¿Detener la acción? Cómo mitigar el riesgo de phishing
Los riesgos de compartir demasiado son reales, pero afortunadamente las soluciones son sencillas. El arma más poderosa de tu arsenal es la educación. Actualice los programas de concientización sobre seguridad para garantizar que todos los empleados, desde los ejecutivos hacia abajo, comprendan la importancia de no compartir demasiado en las redes sociales. En algunos casos, esto requerirá un reequilibrio cuidadoso de las prioridades, lejos de la defensa de los empleados a toda costa. Advierta al personal que evite compartir a través de mensajes directos no solicitados, incluso si reconocen al usuario (ya que su cuenta puede haber sido secuestrada). Y asegúrese de que puedan detectar intentos de phishing, BEC y deepfake.
Respalde esto con una política estricta sobre el uso de las redes sociales, definiendo líneas rojas sobre lo que se puede y no se puede compartir, y aplicando límites claros entre cuentas personales y profesionales/oficiales. Es posible que también sea necesario revisar y actualizar los sitios web y las cuentas corporativas para eliminar cualquier información que pueda utilizarse como arma.
La autenticación multifactor (MFA) y las contraseñas seguras (almacenadas en un administrador de contraseñas) también deben ser un hecho en todas las cuentas de redes sociales, en caso de que las cuentas profesionales sean secuestradas para atacar a colegas.
Finalmente, monitoree las cuentas de acceso público siempre que sea posible para detectar cualquier información que pueda aprovecharse para phishing y BEC. Y realice ejercicios del equipo rojo contra los empleados para poner a prueba su conciencia.
Desafortunadamente, la IA está haciendo que sea más rápido y más fácil que nunca para los actores de amenazas perfilar objetivos, recopilar OSINT y luego crear correos electrónicos/mensajes convincentes en un lenguaje natural perfecto. Los deepfakes impulsados por IA aumentan aún más sus opciones. La conclusión debería ser, si es de dominio público, esperar que un ciberdelincuente también lo sepa… y llame a la puerta pronto.
Acerca del autor
