El exceso de información corporativa en redes sociales facilita ataques de ingeniería social. ESET explica cómo el oversharing expone a empleados y organizaciones.
En la era de la hiperconectividad, la frontera entre lo personal y lo profesional es cada vez más delgada. Lo que comenzó hace una década como una estrategia bienintencionada para mejorar el perfil corporativo y el marketing de las empresas, hoy se ha convertido en una puerta de entrada para los ciberdelincuentes. Esta práctica, conocida como oversharing o compartir información en exceso, está transformando datos aparentemente inofensivos en armas letales para las organizaciones.
Desde la compañía de ciberseguridad ESET, advierten que los actores maliciosos monitorean constantemente lo que los profesionales publican sobre sus funciones, proyectos y empresas. Cuanta más información existe en el dominio público, mayores son las oportunidades para ejecutar ataques de Spearphishing o comprometer el correo electrónico empresarial, modalidad conocida como Bec.
“La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es utilizar esa información como arma en un ataque de spearphishing diseñado para engañar al destinatario y que instale sin saberlo malware en su dispositivo”, explica Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica. Según la especialista, estos datos permiten incluso suplantar a ejecutivos de alto nivel para solicitar transferencias bancarias urgentes mediante llamadas o correos fraudulentos.
Las plataformas en la mira
LinkedIn se posiciona como la herramienta principal para los atacantes, funcionando como la mayor base de datos abierta de información corporativa del mundo. En este espacio, los reclutadores a veces revelan detalles técnicos excesivos en sus ofertas de empleo que los hackers aprovechan para diseñar sus ofensivas.
Por otro lado, plataformas como Github son críticas para los desarrolladores. Aunque es un sitio de colaboración, es común que se publiquen por error secretos codificados, direcciones Ip o datos de clientes. Incluso información más «inocente», como los nombres de proyectos o las pilas tecnológicas utilizadas, sirve para perfilar el entorno técnico de una víctima.
No se quedan atrás redes como Instagram y X. En ellas, los empleados suelen compartir planes de viaje a conferencias, lo que permite a los delincuentes saber cuándo alguien estará fuera de su oficina y lanzar ataques en el momento de mayor vulnerabilidad.
El uso de la inteligencia artificial
La situación se agrava con la evolución tecnológica. “La IA está haciendo que sea más rápido y fácil que nunca para los actores maliciosos perfilar a sus objetivos, recopilar Osint y luego redactar correos electrónicos o mensajes convincentes en un lenguaje natural perfecto”, advierte Martina Lopez. Los deepfakes impulsados por inteligencia artificial permiten crear videos o audios falsos extremadamente realistas, facilitando estafas financieras complejas.
Un caso real destacado por ESET involucra a Children’s Healthcare of Atlanta, donde una estafa Bec costó 3,6 millones de dólares. Los atacantes utilizaron comunicados de prensa y perfiles de LinkedIn para identificar ejecutivos y suplantar al director financiero de una constructora socia, logrando desviar pagos millonarios.
Cómo mitigar el riesgo
Para enfrentar esta amenaza, la educación es fundamental. Eset recomienda actualizar los programas de concienciación para que los equipos entiendan el peligro de publicar detalles operativos. Además, es vital establecer políticas estrictas sobre el uso de redes sociales, definiendo límites claros entre las cuentas personales y profesionales.
Finalmente, el uso de autenticación multifactorial (Mfa) y la supervisión constante de las cuentas de acceso público son pasos esenciales para proteger el patrimonio y la reputación de cualquier organización en el actual entorno digital.
*En la creación de este texto se usaron herramientas de inteligencia artificial
