Recientemente, algunos conocidos me han preguntado, en diferentes ocasiones, cómo acceden los delincuentes a sus datos de contacto. En los ejemplos que me llegaron, los datos de contacto a los que se referían eran su número de teléfono móvil y su dirección de correo electrónico principal.
Les dije que hay varias formas en que los delincuentes pueden obtener este tipo de información, la principal es a través de filtraciones de datos que ocurrieron en distintos sitios web que son vendidos entre los delincuentes. Aun así, empecé a considerar la posibilidad de que no sea necesaria una brecha de datos. ¿Qué caminos podría tomar un delincuente para crear una lista de contactos desde cero, con datos extremadamente actuales y válidos, sin recurrir a información filtrada?
Pues bien, si has leído el título de este artículo, habrás deducido que LinkedIn es la vía más rápida y eficaz para que un delincuente obtenga información como el nombre completo, el número de teléfono y la dirección de correo electrónico de posibles víctimas a las que quiera dirigirse en el futuro. Esto se debe a que, entre las redes sociales más utilizadas en la actualidad, LinkedIn tiende a ser usada con fines profesionales, y los usuarios intentan aumentar su red para obtener contactos o posibles propuestas profesionales. Con esto en mente, muchos de sus usuarios configuran sus perfiles para que sean receptivos y llenos de información de contacto, y los delincuentes sin duda lo aprovechan.
Un delincuente, sin necesidad de comprar un listado de información filtrada, solo necesitaría crear o usar uno de los Web Crawlers para LinkedIn que ya existen, para recopilar toda la información de contacto disponible de sus objetivos. En el resto de este artículo, supondré que el ciberdelincuente se centrará en la obtención de datos de personas, con el objetivo principal de atacar la empresa en la que trabajan y cómo la información podría resultar en un ataque más efectivo, ya que los ataques digitales personales podrían tener una serie de características distintas.
Entre las posibilidades de obtención de datos que realiza el Web Crawler, destacaría dos que se pueden obtener con la obtención de datos específicos:
Creación de una lista de los empleados actuales de la empresa
En este caso, lo único que tiene que hacer el delincuente es configurar el software de recogida para que vaya a la pestaña “Personas” de la empresa objetivo. Esto dará como resultado una lista de empleados muy actualizada, ya que es casi un procedimiento estándar realizar cambios en la red social para mostrar dónde se trabaja actualmente.
Lista de objetivos de la cadena de suministro relacionados con el objetivo
Además del esfuerzo inicial de recopilación, es posible repasar las interacciones realizadas en los posts de la empresa para identificar posibles proveedores y socios, obteniendo así nuevos objetivos principales o posibilidades de atacar la cadena de suministro del objetivo inicial.
Cabe señalar que, aunque se trata de un proceso que requiere más tiempo, puede llevarse a cabo de forma totalmente manual, lo que permite ejecutar ataques similares, incluso sin que el delincuente tenga conocimientos de programación o acceso a las herramientas ya disponibles para este fin.
Al examinar con más detalle las posibilidades de recopilación de datos, los delincuentes se enfrentarían básicamente a tres formas diferentes de proporcionar información. Es importante recordar que las formas mencionadas a continuación pueden ser reveladas al público en general o ser más restringidas, siendo reveladas solo a aquellos que pertenezcan a la lista de contactos:
Perfiles que no proporcionan ningún dato
Elegir no proporcionar ningún dato de contacto fuera de la plataforma significa que el número de informaciones que pueden recopilar los delincuentes se reduce considerablemente. Aun así, a menudo son capaces de recopilar datos como el nombre completo, el puesto de trabajo y la región en la que se encuentra la empresa.
Perfiles que solo proporcionan una dirección de correo electrónico de contacto
Aunque LinkedIn es una red enfocada a proporcionar información de contacto personal, algunos usuarios también proporcionan su dirección de correo electrónico corporativa actual. Independientemente del correo electrónico que se facilite, esto permite a las personas malintencionadas llevar a cabo interacciones más específicas con sus víctimas. Uno de los posibles agravantes de facilitar la dirección de correo electrónico corporativa en este caso es que los delincuentes sabrán con certeza cómo se componen los correos electrónicos pertenecientes a la empresa. Es bien sabido que la mayoría de las empresas utilizan el formato estándar “nombre.sobrenombre@empresa.com” o variaciones del mismo, como la primera letra del nombre seguida del apellido o todas las iniciales, además del apellido escrito completo. Disponer de esta información ahorra tiempo a los delincuentes.
Perfiles que facilitan números de teléfono
De las opciones mencionadas anteriormente, proporcionar números de teléfono es sin duda la más crítica, porque además de permitir interacciones en tiempo real, los delincuentes pueden recopilar estos datos para venderlos en forma de lista de clientes o algo equivalente.
Cómo proteger los datos
La propia naturaleza de este tipo de interacciones en las redes sociales, sean cuales sean, permite a los delincuentes acceder a algunos de nuestros datos si tenemos perfiles válidos registrados en ellas. Aun así, hay algunas medidas que se pueden tomar para evitar que los delincuentes accedan a información más valiosa. Entre ellas
- Configura tu privacidad en LinkedIn: Existen varias opciones de privacidad que ayudan a evitar que personas malintencionadas interactúen con éxito. La principal es configurar la red para que no dé demasiada información a nadie que no pertenezca a tu lista de contactos. Y conviene recordar que este consejo se aplica a todas las redes sociales.
- Sé juicioso: De nada sirve configurar correctamente todas las opciones de privacidad y seguridad si aceptas cualquier solicitud de contacto sin ningún criterio. Hay muchos bots y perfiles falsos registrados en la red, así que establece criterios que te parezcan válidos antes de aceptar una conexión.
- Limita la cantidad de información que el sistema tendrá sobre ti: Al tratarse de una red social, la propia plataforma ya permite que se produzcan interacciones entre los usuarios, ya sea para contactar o para ofrecer/buscar oportunidades laborales. Considera priorizar el contacto a través de las herramientas que proporciona la plataforma y evita proporcionar datos externos.
- Evalúa tus conexiones: Como he comentado, ya hay muchos perfiles falsos circulando por la red, así que revisa periódicamente tu lista de conexiones y limpia aquellos contactos que te parezcan sospechosos.
- Evalúa si la información en tiempo real es esencial: para algunas empresas esto puede estar incluso mal visto, pero analiza si es realmente necesario cambiar el estado del lugar donde trabajas el mismo día que empiezas Algunos delincuentes vigilan activamente este tipo de cambios y pueden aprovechar tu escaso conocimiento del entorno para enviar contenido malicioso.
Si tienes alguna pregunta o sugerencia sobre temas relacionados con la seguridad de la información que te gustaría que tratáramos en futuras entradas, háznoslo saber en los comentarios.