Tecnología

Oversharing y ciberseguridad: qué está en juego si los empleados comparten demasiado en línea

Published

5 meses ago

en

Compartir

La defensa de los empleados como concepto existe desde hace más de una década. Lo que comenzó como una estrategia para mejorar el perfil corporativo y el liderazgo intelectual, hoy también representa riesgos.

Según advierte ESET, compañía líder en detección proactiva de amenazas, los actores maliciosos aprovechan la información pública para ejecutar ataques de spearphishing y compromiso del correo electrónico empresarial (BEC).

“La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es utilizar esa información como arma en un ataque de spearphishing diseñado para engañar al destinatario y que instale sin saberlo malware en su dispositivo. O, potencialmente, para que comparta sus credenciales corporativas para obtener acceso inicial”, explicó Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica.

Plataformas más vulnerables

  • LinkedIn: considerada la mayor base de datos abierta de información corporativa, donde los atacantes pueden obtener detalles de puestos, funciones y relaciones internas.
  • GitHub: espacio donde desarrolladores pueden publicar inadvertidamente secretos codificados, direcciones IP o datos de clientes, además de información sobre proyectos y tecnologías utilizadas.
  • Instagram y X: empleados suelen compartir planes de viaje o participación en conferencias, datos que pueden ser usados para ataques de suplantación.
  • Sitios web corporativos: detalles sobre proveedores, fusiones o anuncios estratégicos pueden convertirse en pretextos para phishing sofisticado.

Ejemplos de ataques

  • Un atacante que se hace pasar por proveedor tecnológico clave tras obtener datos de un nuevo empleado en LinkedIn.
  • Un correo malicioso disfrazado de colaboración entre compañeros en GitHub.
  • Un ataque BEC deepfake contra un equipo financiero, aprovechando la ausencia de un ejecutivo anunciada en redes sociales.

ESET también recordó casos reales, como el ataque BEC que costó 3,6 millones de dólares a Children’s Healthcare of Atlanta (CHOA), y las operaciones de los grupos SEABORGIUM (Rusia) y TA453 (Irán), que utilizan OSINT para perfilar objetivos antes de lanzar ataques de spearphishing.

Recomendaciones de ESET

  • Educación y concienciación: actualizar programas de seguridad para que los empleados comprendan los riesgos de compartir en exceso.
  • Políticas claras de redes sociales: definir límites entre cuentas personales y corporativas.
  • Autenticación multifactorial (MFA) y contraseñas seguras.
  • Supervisión de cuentas públicas y ejercicios de equipo rojo para evaluar la preparación de los empleados.

“La IA está haciendo que sea más rápido y fácil que nunca para los actores maliciosos perfilar a sus objetivos, recopilar OSINT y redactar mensajes convincentes».

«Los deepfakes impulsados por IA aumentan aún más sus opciones. La conclusión debería ser que, si algo es de dominio público, hay que esperar que un ciberdelincuente también lo sepa y que pronto llamará a la puerta”, concluyó Martina Lopez.

 

NDP

Te invitamos a leer

Desorden Público cerrará la inauguración de la Serie de las Américas 2026

Infórmate al instante únete a nuestros canales 

WhatsApp ACN – Telegram NoticiasACN – Instagram acn.web – TikTok _agenciacn – X agenciacn

Related Topics:

Lo más leído

Salir de la versión móvil