Panda SecurityPhishing fuera del correo electrónico: la nueva amenaza en LinkedIn
Los ataques de phishing ya no se limitan al correo electrónico. Uno de cada tres se produce ahora a través de canales distintos, como las redes sociales, los motores de búsqueda y las aplicaciones de mensajería. LinkedIn se ha convertido en un importante foco de intentos de phishing. Recientemente se ha informado de sofisticados ataques de spear-phishing (ciberataque dirigido y personalizado contra ejecutivos). Además de varias campañas dirigidas a empresas de los sectores de servicios financieros y tecnología.
No obstante, los expertos creen que el phishing fuera del correo electrónico es una amenaza de la que no se habla lo suficiente. Un problema agravado por el hecho de que la mayoría de métricas de detección de phishing del sector provienen de herramientas de seguridad enfocadas exclusivamente al correo electrónico.
El phishing en LinkedIn o en plataformas dedicadas al mundo profesional es una amenaza importante para la que las empresas deben estar preparadas hoy en día. Aunque se trata de una aplicación personal, se utiliza habitualmente con fines profesionales. Se accede a ella desde dispositivos corporativos y los atacantes se centran específicamente en cuentas empresariales. A veces ligadas a Microsoft Entra y Google Workspace.
Limitaciones de las defensas tradicionales
Los mensajes directos de LinkedIn eluden por completo las herramientas de seguridad del correo electrónico. Una defensa en la que confían la mayoría de las organizaciones para protegerse contra el phishing. Los empleados acceden a LinkedIn desde los ordenadores portátiles y teléfonos de trabajo, pero los equipos de seguridad no tienen visibilidad sobre estas comunicaciones. Esto significa que los empleados pueden recibir mensajes de personas ajenas a la empresa en sus dispositivos de trabajo sin riesgo alguno de que se intercepte el correo electrónico.
Para complicar aún más las cosas, los kits de phishing modernos utilizados por los grupos de hackers incorporan una serie de técnicas de evasión antianálisis para eludir los controles antiphishing. Estos se basan en la inspección de una página web (como bots de seguridad de rastreo) o el análisis del tráfico web (como un proxy). Eso hace que la mayoría de las organizaciones dependan de la formación y la notificación de los usuarios como principal línea de defensa. Lo que no es una situación ideal.
Porque, incluso cuando un usuario detecta y denuncia un intento de phishing en LinkedIn, a menudo no es posible ver qué otras cuentas de su red de usuarios han sido objeto de ataques o se han visto afectadas. A diferencia del correo electrónico, no hay forma de retirar o poner en cuarentena el mismo mensaje que afecta a varios usuarios. No hay ninguna regla que se pueda modificar ni remitentes que se puedan bloquear. Puedes denunciar la cuenta —y tal vez la cuenta maliciosa se bloquee— pero es probable que, para entonces, el atacante ya haya conseguido su objetivo.
¿Por qué son tan efectivos?
Hay algunos elementos que hacen que el phishing a través de LinkedIn sea más exitoso para los hackers que los basados en el correo electrónico. En el caso del e-mail, es habitual que los atacantes creen dominios de correo con antelación. Además, pasan por un periodo de preparación para construir la reputación del dominio y superar los filtros.
En LinkedIn, sin embargo, los hackeos pueden hacerse de forma relativamente fácil con el control de cuentas legítimas. Algunas investigaciones apuntan a que el 60 % de las credenciales sustraídas en los registros de infostealers (programas informáticos maliciosos del tipo troyano) están vinculadas a cuentas de redes sociales. Muchas de ellas carecen de autenticación multifactor, ya que su adopción es mucho menor en las aplicaciones de uso “personal”.
Esto proporciona a los atacantes una plataforma de lanzamiento creíble para sus campañas. Ya que se introducen en la red existente de una cuenta y se aprovechan de esa confianza. La combinación del robo de cuentas legítimas con la oportunidad que ofrecen los mensajes directos impulsados por la IA significa que los atacantes pueden ampliar fácilmente su alcance en LinkedIn.
Es mucho más probable que un ejecutivo de alto nivel abra y responda a un mensaje directo de LinkedIn que a otro correo electrónico no deseado. Especialmente si los mensajes vienen de contactos conocidos. Y si a esto le añadimos el pretexto adecuado (por ejemplo, solicitar una aprobación urgente o revisar un documento), las posibilidades de éxito aumentan aún más.
