Cuando los profesionales publican información sobre su trabajo, su empresa o su función, lo hacen con la intención de conectar con otros profesionales, clientes potenciales o socios estratégicos. Sin embargo, desde ESET, compañía líder en ciberseguridad, advierten de que los ciberdelincuentes también están atentos a este tipo de contenidos y que, cuanto mayor sea la cantidad de información disponible públicamente, mayores serán las oportunidades para llevar a cabo actividades maliciosas que pueden afectar gravemente a una organización.

Una vez que esta información se hace pública, puede utilizarse para construir ataques altamente convincentes, como campañas de spearphishing o de compromiso del correo electrónico empresarial (BEC), con el objetivo de engañar a la víctima y lograr que instale malware en su dispositivo o que comparta sus credenciales corporativas, facilitando así un acceso inicial a la organización.

Estos ataques pueden producirse a través de distintos canales, como el correo electrónico, mensajes de texto o incluso llamadas telefónicas. En otros casos, los ciberdelincuentes pueden suplantar la identidad de un directivo o de un proveedor en una comunicación aparentemente legítima para solicitar transferencias bancarias urgentes.

Redes sociales, una fuente de información para los ciberdelincuentes

Las principales plataformas donde se comparte este tipo de información son las habituales. LinkedIn destaca como una gran base de datos abierta sobre empresas, con información sobre puestos, funciones y relaciones internas, además de ofertas de empleo que a veces revelan detalles técnicos que pueden ser aprovechados para ataques de spearphishing.

GitHub, en el ámbito tecnológico, también puede exponer datos útiles, desde secretos o direcciones IP hasta información sobre proyectos, tecnologías utilizadas o correos corporativos incluidos en los registros de cambios del código.

A esto se suman redes sociales como Instagram o X, donde los empleados comparten viajes o asistencia a eventos, así como información publicada en las propias webs corporativas, sobre proveedores, plataformas tecnológicas o movimientos empresariales, que puede servir como base para fraudes o campañas de phishing más sofisticadas.

“Cada vez vemos más ataques que no empiezan explotando una vulnerabilidad técnica, sino explotando el contexto. Los atacantes dedican tiempo a entender cómo funciona una organización y quién toma decisiones dentro de ella, y esa información suele estar disponible públicamente”, señala Josep Albors, director de investigación y concienciación de ESET España. “Por eso la gestión de la exposición digital se está convirtiendo en un elemento clave de la ciberseguridad empresarial, y las organizaciones deben empezar a prestar más atención a qué información comparten y cómo puede ser utilizada por terceros”.

Casos reales de ataques basados en información pública

Desde ESET destacan varios ejemplos reales en los que los atacantes han utilizado técnicas de inteligencia de fuentes abiertas (OSINT) en las primeras fases de sus campañas maliciosas:

• Ataque BEC a Children’s Healthcare of Atlanta (CHOA): Este incidente provocó pérdidas de 3,6 millones de dólares. Los atacantes habrían analizado comunicados de prensa sobre la construcción de un nuevo campus hospitalario para identificar al socio constructor implicado. Después utilizaron LinkedIn y la web corporativa para localizar a ejecutivos y miembros del equipo financiero de la empresa constructora, JE Dunn. Finalmente, suplantaron al director financiero en un correo electrónico enviado al equipo financiero de CHOA solicitando actualizar los datos de pago del proveedor.
• Campañas de ciberespionaje con OSINT: Grupos como SEABORGIUM, vinculado a Rusia, y TA453, alineado con Irán, utilizan técnicas de inteligencia de fuentes abiertas (OSINT) para recopilar información antes de lanzar ataques de spearphishing. Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), estos actores analizan redes sociales y plataformas profesionales para investigar los intereses de sus objetivos e identificar contactos personales o profesionales. Tras generar confianza mediante intercambios de correo electrónico, envían enlaces maliciosos destinados a robar credenciales.

Cómo reducir la exposición a este tipo de ataques

Ante este escenario, desde ESET recomiendan a empresas y profesionales adoptar una serie de medidas para reducir la exposición de información sensible y minimizar el riesgo de ataques de ingeniería social:

• Limita la información profesional compartida públicamente, especialmente aquella relacionada con detalles técnicos sobre infraestructuras, herramientas o procesos internos.
• Revisa periódicamente la configuración de privacidad en redes sociales y plataformas profesionales.
• Evita publicar información sensible sobre proyectos, viajes de trabajo o actividades internas de la empresa.
• Aplica políticas de verificación en transferencias financieras, especialmente cuando se reciben solicitudes urgentes o inesperadas.
• Forma a los empleados en ciberseguridad y concienciación frente a ataques de ingeniería social.
• Implementa autenticación multifactor (MFA) y otras medidas de protección en cuentas corporativas y accesos críticos.