Compartir logros profesionales, funciones laborales o detalles del día a día en redes sociales se ha convertido en una práctica habitual entre los trabajadores. Sin embargo, esta conducta —conocida como oversharing— puede transformarse en una amenaza directa para la seguridad de las organizaciones, según alertó la empresa de ciberseguridad ESET.
De acuerdo con la compañía, la información que los empleados publican de forma abierta puede ser aprovechada por actores maliciosos para diseñar ataques de ingeniería social, como spearphishing o compromiso del correo electrónico empresarial (BEC), con alto nivel de personalización y credibilidad.
De la visibilidad profesional al riesgo digital
La llamada “defensa del empleado”, impulsada desde hace más de una década para fortalecer la marca personal y corporativa, ha derivado en un escenario donde los ciberdelincuentes también observan. Cuanto mayor es la información disponible sobre roles, jerarquías, proyectos o proveedores, mayor es la superficie de ataque.
“La primera etapa de un ataque de ingeniería social es la recopilación de información. Luego, esa información se convierte en un arma para engañar a la víctima y lograr que instale malware o entregue sus credenciales”, explica Martina Lopez, investigadora de Seguridad Informática de ESET Latinoamérica.
Plataformas que concentran información sensible
Entre las redes más utilizadas para este tipo de publicaciones se encuentra LinkedIn, considerada por ESET como una de las mayores bases de datos abiertas de información corporativa. Allí se exponen cargos, responsabilidades, relaciones internas e incluso detalles técnicos a través de ofertas laborales.
Otras plataformas también representan riesgos:
- GitHub: además de errores como publicar credenciales o direcciones IP, los desarrolladores pueden revelar nombres de proyectos, tecnologías utilizadas o correos corporativos.
- Instagram y X: los empleados suelen compartir viajes, eventos o ausencias laborales, información útil para fraudes o suplantaciones.
Incluso los sitios web corporativos pueden aportar datos valiosos para los atacantes, como alianzas estratégicas, proveedores o procesos de fusiones y adquisiciones.
Cómo se construyen los ataques dirigidos
ESET describe escenarios frecuentes en los que la información pública es utilizada para engañar a las víctimas:
- Suplantación de proveedores tecnológicos para enviar falsas “actualizaciones urgentes” a empleados de TI.
- Correos falsos entre supuestos compañeros de trabajo, basados en proyectos reales, con archivos infectados.
- Ataques BEC con deepfakes, aprovechando la ausencia de ejecutivos para solicitar transferencias bancarias urgentes.
La empresa recuerda casos reales, como el ataque BEC que costó 3.6 millones de dólares a Children’s Healthcare of Atlanta, donde los atacantes utilizaron información pública para suplantar al director financiero de un proveedor.
También se han identificado grupos como SEABORGIUM y TA453, que emplean técnicas de inteligencia de fuentes abiertas (OSINT) para ataques de spearphishing dirigidos.
Recomendaciones para reducir el riesgo
Para ESET, la clave está en la prevención y la concienciación. Entre las principales recomendaciones se incluyen:
- Actualizar los programas de capacitación en ciberseguridad.
- Evitar compartir información laboral sensible en redes sociales.
- Desconfiar de mensajes directos no solicitados, incluso de contactos conocidos.
- Implementar autenticación multifactor (MFA) y contraseñas robustas.
- Definir políticas claras sobre el uso de redes sociales.
- Supervisar la información pública disponible y realizar simulaciones de ataques.
“La inteligencia artificial está facilitando que los atacantes recopilen información y creen mensajes cada vez más convincentes. Si algo es público, hay que asumir que un ciberdelincuente también lo conoce”, concluye Lopez.
