En noviembre, el Servicio de Seguridad británico comenzó alertó a los miembros del Parlamento sobre un plan de recopilación de inteligencia extranjera: dos perfiles en LinkedIn estaban contactando a personas que trabajaban en la política británica para solicitarles “información privilegiada”. Las revelaciones del MI5 precipitó una iniciativa gubernamental de 170 millones de libras (230 millones de dólares) para abordar las amenazas de espionaje contra el Parlamento. Si bien se trata de un caso de alto perfil desde ESET, compañía líder en detección proactiva de amenazas, aseguran que está lejos de ser el primero. El sitio también puede ser un verdadero tesoro de datos corporativos que pueden utilizarse para apoyar campañas de fraude o amenazas.
LinkedIn acumula más de mil millones de “miembros” en todo el mundo desde su fundación en 2003. Eso representa una gran cantidad de posibles objetivos para actores de amenazas respaldados por Estados o con motivaciones financieras. En primera instancia, se trata de una fuente de información extraordinaria en la que actores maliciosos pueden descubrir las funciones y responsabilidades de personas clave dentro de una empresa objetivo y reconstruir las relaciones entre individuos y de los proyectos en los que podrían estar trabajando. Además, aporta credibilidad y cobertura ya que al tratarse de una red profesional, está frecuentada tanto por ejecutivos de alto nivel como por trabajadores de menor rango y es un contexto en el que una víctima está más propensas a abrir un mensaje directo o un InMail proveniente de alguien en la plataforma que un correo electrónico no solicitado.
Por otro lado, elude la seguridad “tradicional” porque no existe garantía de que no mensajes de phishing, malware o spam no logren pasar, y debido a la credibilidad que inspira el sitio, los objetivos pueden tener más probabilidades de hacer clic en contenido malicioso. Por último, es fácil comenzar a operar, cualquiera puede crear un perfil y empezar a merodear por el sitio para extraer inteligencia o para el envío de mensajes de phishing y fraudes tipo BEC. Además, los atacantes pueden secuestrar cuentas existentes o crear identidades falsas antes de hacerse pasar por candidatos o reclutadores. La gran cantidad de credenciales comprometidas que circulan en foros de ciberdelincuencia (debido en parte a los infostealers) hace que esto no sea difícil.
Desde ESET destacan que existen varias maneras en que los actores de amenazas pueden operacionalizar sus campañas maliciosas a través de esta red, por ejemplo:
- Phishing y spearphishing:Al utilizar la información que los usuarios comparten en sus perfiles, los atacantes pueden personalizar campañas de phishing (correos falsos) para aumentar su tasa de éxito.
- Ataques directos: El contacto puede ser directamente con enlaces maliciosos diseñados para desplegar malware, como infostealers, o promover ofertas laborales falsas destinadas a robar credenciales.
- BEC:Al igual que en el caso del phishing, LinkedIn proporciona una gran cantidad de inteligencia que puede utilizarse para hacer que los ataques de Business Email Compromise luzcan más convincentes. Puede ayudar a los estafadores a identificar quién reporta a quién, en qué proyectos están trabajando y los nombres de socios o proveedores.
- Deepfakes:LinkedIn también puede alojar videos de los objetivos, que pueden utilizarse para crear deepfakes y emplearlos en posteriores ataques de phishing, BEC o estafas en redes sociales.
- Secuestro de cuentas:Páginas falsas de LinkedIn (phishing), infostealers, credential stuffing y otras técnicas pueden ayudar a los atacantes a tomar control de cuentas de usuarios. Estas cuentas secuestradas pueden usarse en ataques posteriores dirigidos a sus contactos.
- Ataques a proveedores:LinkedIn también puede rastrearse en busca de información sobre socios de una empresa objetivo, quienes pueden ser atacados con phishing como parte de un ataque en “efecto dominó”.
“El desafío que plantean las amenazas en LinkedIn es que a los departamentos de IT les resulta difícil obtener información real sobre el alcance del riesgo al que se exponen sus empleados y las tácticas que se utilizan para atacarlos. Sin embargo, tiene sentido incluir en los cursos de concientización en seguridad escenarios de amenazas en LinkedIn como los descritos anteriormente. También debería advertirse a los empleados sobre el riesgo de compartir información en exceso en la plataforma y brindarles orientación para detectar cuentas falsas y señuelos típicos de phishing.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
ESET informa sobre distintos grupos de amenazas que han utilizado algunas de estas tácticas:
- Lazarus Group (Corea del Norte) se ha hecho pasar por reclutadores en LinkedIn para instalar malware en los equipos de personas que trabajaban en una empresa aeroespacial, según descubrió ESET Research. De hecho, el equipo de investigacón también describió recientemente las campañas “Wagemole”, en las que individuos alineados con Corea del Norte intentan obtener empleo en empresas extranjeras.
- ScatteredSpider llamó a la mesa de ayuda de MGM haciéndose pasar por un empleado cuya identidad obtuvo en LinkedIn, con el fin de acceder a la organización. El posterior ataque de ransomware provocó pérdidas por 100 millones de dólares.
- Una campaña despearphishing denominada “Ducktail” apuntó a profesionales de marketing y recursos humanos en LinkedIn, entregando malware y robando información a través de enlaces enviados por DM. El malware se alojaba en la nube.
“Para evitar el secuestro de cuentas, se debería seguir una política de actualización periódica de parches, instalar software de seguridad en todos los dispositivos (proveniente de un proveedor confiable) y activar la autenticación multifactor. Además, en ámbitos corporativos, puede valer la pena organizar capacitaciones específicas para ejecutivos, que suelen ser objetivo de ataques con mayor frecuencia. Sobre todo, asegurarse de que el equipo de trabajo sea consciente de que, incluso en una red considerada confiable como LinkedIn, no todas las personas actúan en su mejor interés.”, recomienda el investigador de ESET.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/seguridad-corporativa/por-que-linkedin-terreno-caza-para-los-actores-maliciosos-y-como-protegerte/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
