Los ataques de suplantación de identidad ya no se limitan a la bandeja de entrada del correo electrónico, con 1 de cada 3 ataques de suplantación de identidad ahora se lleva a cabo a través de canales que no son de correo electrónico como las redes sociales, los motores de búsqueda y las aplicaciones de mensajería.
LinkedIn, en particular, se ha convertido en un hervidero de ataques de suplantación de identidad, y por una buena razón. Los atacantes están llevando a cabo sofisticados ataques de suplantación de identidad contra ejecutivos de empresas, y recientemente se han lanzado campañas dirigidas a empresas de servicios financieros y tecnología verticales.
Sin embargo, la suplantación de identidad fuera del correo electrónico sigue sin denunciarse, lo que no es de extrañar si tenemos en cuenta que la mayoría de las métricas de suplantación de identidad del sector provienen de herramientas de seguridad del correo electrónico.
Tu primer pensamiento podría ser «¿por qué me importa que los empleados sean objeto de suplantación de identidad en LinkedIn?» Bueno, aunque LinkedIn es una aplicación personal, se usa habitualmente con fines laborales, se accede a ella desde dispositivos corporativos y los atacantes atacan específicamente cuentas empresariales como Microsoft Entra y Google Workspace.
Por lo tanto, la suplantación de identidad en LinkedIn es una amenaza clave para la que las empresas deben estar preparadas hoy en día. Estas son las cinco cosas que debes saber sobre por qué los atacantes recurren a la suplantación de identidad en LinkedIn y por qué es tan eficaz.
1: Evita las herramientas de seguridad tradicionales
Los DM de LinkedIn eluden por completo las herramientas de seguridad del correo electrónico en las que confían la mayoría de las organizaciones para protegerse contra la suplantación de identidad. En la práctica, los empleados acceden a LinkedIn desde sus ordenadores portátiles y teléfonos del trabajo, pero los equipos de seguridad no pueden ver estas comunicaciones. Esto significa que personas ajenas pueden enviar mensajes a los empleados desde sus dispositivos de trabajo sin ningún riesgo de interceptación del correo electrónico.
Para empeorar las cosas, los kits de suplantación de identidad modernos utilizan una serie de técnicas de ofuscación, antianálisis y evasión de la detección para evitar los controles antisuplantación de identidad basados en la inspección de una página web (como los robots de seguridad que rastrean la web) o en el análisis del tráfico web (como un proxy web). Esto hace que la mayoría de las organizaciones se queden con la formación de los usuarios y la presentación de informes como su principal línea de defensa, lo que no es una buena situación.
Pero incluso cuando un usuario te descubre y denuncia, ¿qué puedes hacer realmente ante una suplantación de identidad en LinkedIn? No puedes ver qué otras cuentas de tu base de usuarios fueron atacadas o atacadas. A diferencia del correo electrónico, no hay forma de recuperar o poner en cuarentena el mismo mensaje que llega a varios usuarios. No hay ninguna regla que puedas modificar ni bloquear remitentes. Puedes denunciar la cuenta y, tal vez, la cuenta malintencionada se congele, pero es probable que el atacante ya haya conseguido lo que necesitaba y se haya ido.
La mayoría de las organizaciones simplemente bloquean las URL implicadas. Sin embargo, esto no ayuda mucho cuando los atacantes cambian rápidamente sus dominios de suplantación de identidad (cuando se bloquea un sitio, ya hay varios más en su lugar). Es un juego de golpear a un topo y está diseñado en tu contra.
2: Es barato, fácil y escalable para los atacantes
Hay un par de cosas que hacen que la suplantación de identidad a través de LinkedIn sea más accesible que los ataques de suplantación de identidad basados en el correo electrónico.
En el caso del correo electrónico, es habitual que los atacantes creen dominios de correo electrónico con antelación y pasen por un período de preparación para mejorar la reputación del dominio y pasar los filtros de correo. La comparación con las aplicaciones de redes sociales como LinkedIn consistiría en crear cuentas, establecer conexiones, añadir publicaciones y contenido, y disfrazarlos para que parezcan legítimos.
Excepto que es increíblemente fácil apoderarse de cuentas legítimas. El 60% de las credenciales de los registros de infostealer están vinculadas a cuentas de redes sociales , muchas de las cuales carecen de MFA (porque la adopción de la MFA es mucho menor en las aplicaciones nominalmente «personales», en las que su empleador no alienta a los usuarios a añadir MFA). De este modo, los atacantes disponen de una plataforma fiable para lanzar sus campañas, ya que se conectan a la red existente de una cuenta y se aprovechan de esa confianza.
Al combinar el secuestro de cuentas legítimas con la oportunidad que ofrecen los mensajes directos impulsados por la inteligencia artificial, los atacantes pueden ampliar fácilmente su alcance en LinkedIn.
3: Fácil acceso a objetivos de alto valor
Como cualquier profesional de ventas sabe, el reconocimiento de LinkedIn es trivial. Es fácil trazar los perfiles de LinkedIn de una organización y seleccionar los objetivos adecuados a los que dirigirse. De hecho, LinkedIn ya es una de las mejores herramientas tanto para los miembros del equipo rojo como para los atacantes a la hora de detectar posibles objetivos de ingeniería social, por ejemplo, revisar las funciones y las descripciones de los puestos de trabajo para estimar qué cuentas tienen los niveles de acceso y privilegios necesarios para lanzar un ataque exitoso.
Tampoco se filtran los mensajes de LinkedIn, no hay protección contra el spam ni un asistente que monitorea la bandeja de entrada por ti. Podría decirse que es la forma más directa de contactar con el contacto deseado y, por lo tanto, uno de los mejores lugares para lanzar ataques de suplantación de identidad altamente dirigidos.
4: Es más probable que los usuarios caigan en la trampa
La naturaleza de las aplicaciones de redes profesionales como LinkedIn es que esperas conectarte e interactuar con personas ajenas a tu organización. De hecho, es mucho más probable que un ejecutivo de alto nivel abra y responda a un mensaje directo de LinkedIn que a otro correo no deseado.
Especialmente cuando se combina con el secuestro de cuentas, es aún más probable que los mensajes de contactos conocidos obtengan una respuesta. Es el equivalente a apoderarse de la cuenta de correo electrónico de un contacto empresarial existente, que ha sido la fuente de muchas filtraciones de datos en el pasado.
De hecho, en algunos casos recientes, esos contactos han sido compañeros de trabajo — por lo que se parece más a un atacante que se apodera de una de las cuentas de correo electrónico de su empresa y la utiliza para engañar a sus ejecutivos de alto nivel. Si se combina con el pretexto adecuado (por ejemplo, solicitar una aprobación urgente o revisar un documento), las probabilidades de éxito aumentan considerablemente.
|
| Página de inicio para un estafa de oportunidad de inversión dirigido a ejecutivos de empresas de tecnología. |
|
| Página de inicio para un estafa de oportunidad de inversión dirigido a ejecutivos de servicios financieros. |
5: Las recompensas potenciales son enormes
El hecho de que estos ataques se produzcan a través de una aplicación «personal» no significa que el impacto sea limitado. Es importante pensar en el panorama general.
La mayoría de los ataques de suplantación de identidad se centran en las principales plataformas empresariales en la nube, como Microsoft y Google, o en proveedores de identidad especializados, como Okta. El control de una de estas cuentas no solo da acceso a las aplicaciones y los datos principales de la aplicación correspondiente, sino que también permite al atacante aprovechar el inicio de sesión único para iniciar sesión en cualquier aplicación conectada en la que el empleado inicie sesión.
Esto le da a un atacante acceso a casi todas las funciones empresariales y conjuntos de datos principales de su organización. Y a partir de este punto, también es mucho más fácil atacar a otros usuarios de estas aplicaciones internas, utilizando aplicaciones de mensajería empresarial como Slack para equipos , o técnicas como Hackeo de SAML para convertir una aplicación en un abrevadero para otros usuarios que intentan iniciar sesión.
En combinación con la suplantación de identidad por parte de los empleados ejecutivos, la recompensa es significativa. La intrusión de una sola cuenta puede convertirse rápidamente en una violación multimillonaria que afecte a toda la empresa.
Y aunque el atacante solo consiga contactar con tu empleado a través de su dispositivo personal, esto puede convertirse en un peligro para la cuenta corporativa. Basta con mirar el Brecha de Okta 2023 , donde un atacante aprovechó el hecho de que un empleado de Okta había iniciado sesión en un perfil personal de Google en su dispositivo de trabajo. Esto significaba que todas las credenciales guardadas en su navegador se sincronizaban con su dispositivo personal, incluidas las credenciales de 134 clientes arrendatarios. Cuando su dispositivo personal fue hackeado, también lo hizo su cuenta de trabajo.
Esto no es solo un problema de LinkedIn
Con el trabajo moderno que se lleva a cabo en una red de aplicaciones de Internet descentralizadas y canales de comunicación más variados fuera del correo electrónico, es más difícil que nunca impedir que los usuarios interactúen con contenido malicioso.
Los atacantes pueden enviar enlaces a través de aplicaciones de mensajería instantánea, redes sociales, SMS, anuncios maliciosos y utilizar la funcionalidad de mensajería integrada en la aplicación, así como enviar correos electrónicos directamente desde los servicios de SaaS para eludir las comprobaciones basadas en el correo electrónico. Del mismo modo, ahora hay cientos de aplicaciones por empresa a las que atacar, con distintos niveles de configuración de seguridad de la cuenta.
¿Le interesa obtener más información sobre cómo evolucionó el phishing en 2025? Inscríbase en el próximo seminario web de Push Security donde te mostraremos las principales estadísticas, tendencias y estudios de casos de suplantación de identidad de 2025.
|
| La suplantación de identidad ahora se distribuye a través de varios canales, no solo por correo electrónico, y se dirige a una amplia gama de aplicaciones SaaS y en la nube. |
Detenga la suplantación de identidad allí donde ocurre: en el navegador
La suplantación de identidad se ha extendido más allá del buzón de correo; es vital que la seguridad también lo haga.
Para hacer frente a los ataques de suplantación de identidad modernos, las organizaciones necesitan una solución que detecte y bloquee la suplantación de identidad en todas las aplicaciones y vectores de entrega.
Seguridad push ve lo que ven tus usuarios. Independientemente del canal de entrega o del método de detección que se utilice, Push detiene el ataque en tiempo real, ya que el usuario carga la página malintencionada en su navegador web, analizando el código de la página, el comportamiento y la interacción del usuario en tiempo real.
Esto no es todo lo que hacemos: Push bloquea los ataques basados en el navegador, como la suplantación de identidad AiTM, el robo de credenciales, las extensiones de navegador maliciosas, las concesiones de OAuth maliciosas, ClickFix y el secuestro de sesiones. También puedes usar Push para buscar y corregir de forma proactiva vulnerabilidades en las aplicaciones que utilizan tus empleados, como los inicios de sesión ocultos, las brechas de cobertura del SSO, las brechas de autenticación múltiple y las contraseñas vulnerables. Incluso puedes ver dónde han iniciado sesión los empleados en sus cuentas personales en su navegador de trabajo (para evitar situaciones como la violación de Okta en 2023 mencionada anteriormente).
Para obtener más información sobre Push, echa un vistazo a nuestro último resumen de productos o reserve algo de tiempo con un miembro de nuestro equipo para una demostración en vivo .