En la era digital, compartir información sobre nuestro trabajo en redes sociales como LinkedIn, X, GitHub o Instagram se ha convertido en algo común.
El oversharing o la cultura de compartir demasiado en el trabajo
Esta práctica, conocida como oversharing, puede tener consecuencias negativas para la seguridad de las empresas.
¿Por qué es peligroso compartir información laboral?
Aunque la intención inicial del employee advocacy (promoción de la empresa por parte de los empleados) es mejorar la imagen corporativa, el liderazgo y el marketing, también atrae la atención de ciberdelincuentes. La información compartida en perfiles profesionales y personales puede ser utilizada para orquestar ataques de spearphishing (correos electrónicos fraudulentos dirigidos a personas concretas) o Business Email Compromise (BEC, suplantación de identidad en el ámbito empresarial).
¿Dónde están compartiendo información tus empleados?
Las plataformas más utilizadas para compartir información laboral son:
- LinkedIn: La mayor base de datos de información corporativa del mundo, con perfiles detallados de empleados, puestos de trabajo y relaciones internas.
- GitHub: Plataforma donde los desarrolladores pueden compartir información sobre proyectos, nombres de canalizaciones CI/CD, pilas tecnológicas y bibliotecas de código abierto que utilizan.
- Instagram y X: Redes sociales donde los empleados comparten detalles sobre viajes a conferencias y otros eventos, información que puede ser utilizada en su contra.
Incluso la información en la página web de tu empresa, como detalles sobre plataformas técnicas, proveedores, socios o anuncios importantes, puede ser útil para un ciberdelincuente.
¿Cómo se utiliza esta información en ataques?
La recopilación de información es la primera etapa de un ataque de ingeniería social. Los ciberdelincuentes utilizan esta información para:
- Ataques de spearphishing: Engañar a la víctima para que instale malware o comparta sus credenciales corporativas.
- Suplantación de identidad: Hacerse pasar por un ejecutivo o proveedor en correos electrónicos, llamadas telefónicas o videoconferencias para solicitar transferencias bancarias urgentes.
Estos ataques suelen combinar la suplantación de identidad, la urgencia y la relevancia para ser más convincentes.
Ejemplos reales de ataques
Existen numerosos casos en los que los ciberdelincuentes han utilizado técnicas de inteligencia de fuentes abiertas (OSINT) en las primeras etapas de los ataques. Por ejemplo:
- Un ataque BEC que costó 3,6 millones de dólares a Childrens Healthcare of Atlanta (CHOA).
- Grupos como SEABORGIUM (de origen ruso) y TA453 (alineado con Irán) utilizan OSINT para el reconocimiento previo a los ataques de spearphishing.
¿Cómo mitigar el riesgo de spearphishing?
Afortunadamente, existen medidas sencillas para reducir el riesgo de oversharing:
- Educación: Actualizar los programas de concienciación sobre seguridad para que los empleados comprendan la importancia de no compartir información en redes sociales.
- Políticas: Establecer una política estricta sobre el uso de redes sociales, definiendo qué se puede y no se puede compartir.
- Autenticación multifactor (MFA): Habilitar MFA y contraseñas seguras en todas las cuentas de redes sociales.
- Monitorización: Supervisar las cuentas públicas para detectar información que pueda ser utilizada en ataques.
- Ejercicios de red team: Simular ataques para evaluar la concienciación de los empleados.
La IA: una nueva amenaza
La inteligencia artificial (IA) facilita a los ciberdelincuentes la creación de perfiles de objetivos, la recopilación de OSINT y la redacción de mensajes convincentes en lenguaje natural. Los deepfakes impulsados por IA aumentan aún más las opciones de ataque. Recuerda: si la información está en el dominio público, es probable que un ciberdelincuente también la conozca.