El fenómeno de las redes sociales sigue experimentando alzas en cuanto al crecimiento de usuarios y la diversificación de opciones disponibles, de las cuales cada una ofrece características distintivas que atraen el interés de las personas y también el de los ciberdelincuentes, quienes ante este gran abanico de ofertas disponibles, buscan cómo engañar a los usuarios mediante Ingeniería Social para obtener algún rédito económico a través de la propagación de códigos maliciosos.
Si algunas redes sociales se distinguen por su sentido informativo, otras por ser más personales, o por contar la historia de una forma más gráfica, LinkedIn se diferencia del resto al ser un servicio enfocado principalmente al aspecto profesional y laboral, ofreciendo a sus usuarios la posibilidad de compartir con personas conocidas y generar nexos con varias compañías que pueden ofrecer empleo. De este modo, es común observar en los perfiles personales aspectos como estudios y grado académico, puestos de trabajos e información corporativa. También resulta útil para aquellos que buscan generar lazos profesionales con otras personas o compañeros de oficina.
Frente a tanta información publicada, los cibercriminales idean formas de manipulación que resulten más creíbles y por lo tanto efectivas para propagar malware y así obtener acceso a una organización. Perfectamente un atacante cuyo objetivo sea una empresa en particular, puede estudiar la información y el comportamiento de sus víctimas para luego crear una cuenta falsa que parezca pertenecer a un empleado real, pero que aparte de ser ilegítima, sirva como instrumento para ganarse la confianza de los compañeros, quienes no dudarían en ejecutar un código malicioso camuflado astutamente como algo de interés corporativo.
Por lo mismo, en ESET Latinoamérica hemos preparado una serie de medidas que puede adoptar el usuario para mejorar la protección de la cuenta con respecto a la privacidad y seguridad. Para acceder a las siguientes opciones se debe hacer clic sobre el nombre del usuario en la parte superior derecha y luego en configuración. Allí se encuentran agrupadas en cuatro categorías los parámetros disponibles:
- Perfil y privacidad:
Antes que todo es importante que las contraseñas de los diversos servicios a los que se accede sean cambiadas regularmente y que además, no sean fáciles de recordar. Para modificar la clave de acceso a LinkedIn se debe presionar sobre el enlace cambiar.
Uno de los temas que comparten los usuarios en esta red social, y que puede resultar provechoso para los ciberdelincuentes es la publicación de actividades en el perfil de la persona. Aunque viene configurado de forma predeterminada, es importante tener en cuenta que se debe limitar la visibilidad de este tipo de información sólo para los contactos o el usuario. Para los más preocupados por la seguridad, también es posible desactivar completamente la difusión de actividad.
Además, es posible seleccionar qué información será mostrada a los contactos cuando visiten el perfil. En base a las necesidades de cada persona, se puede seleccionar nombre y titular (predeterminado), información más genérica o el anonimato total.
Por otro lado, es importante que los contactos del usuario sólo puedan ser vistos por aquellos que este considera como conocidos.
Quienes deseen integrar Twitter a esta red social deberán tener cuidado con la información que se comparte entre esas dos plataformas. Un uso inadecuado podría resultar riesgoso si es información de carácter corporativo más reservado.
- Preferencias de correo electrónico
En esta sección el usuario puede cambiar parámetros relacionados al tipo y frecuencia de mensajes que desea recibir además de los anuncios propios de LinkedIn. Con respecto a la seguridad, y aunque disminuyan algunas características de este servicio como la posibilidad de ser encontrado, en determinados casos donde la privacidad es lo más importante, es recomendable limitar las personas que pueden enviarle invitaciones al usuario:
Allí se pueden configurar varios aspectos como la posibilidad de ser invitado a pertenecer a un grupo específico. Si lo que se desea es el máximo nivel de privacidad, es recomendable desactivar dicha opción.
Aunque podría limitar la funcionalidad de ciertas aplicaciones, es recomendable desactivar la opción que permite compartir datos del usuario con aplicaciones de terceros para evitar un posible uso malicioso de nuestra información.
Lo mismo se puede hacer con los plugins de terceros:
Finalmente está la sección cuentas, lugar que reúne parámetros relacionados a los avisos publicitarios que se visualizan tanto en LinkedIn como en sitios de terceros. La política de privacidad de esta red social establece claramente que la información del usuario no es compartida con nadie, sin embargo, existe la posibilidad de desactivar los anuncios.
Al igual que lo que ocurre con otras redes sociales y servicios de correo electrónico, es posible y recomendable activar la opción de conexión segura (HTTPS), de este modo, la información transmitida entre el cliente y servidor es encriptada con el fin de evitar que un atacante pueda obtener fácilmente las credenciales de acceso u otra información. Es importante mencionar que esta opción afectará el funcionamiento de las aplicaciones de la red social.
Más allá de la correcta configuración que puede aplicar el usuario en su cuenta, también es imprescindible que este adopte una conducta precavida e informada sobre las diversas amenazas informáticas evitando seguir enlaces engañosos, abriendo archivos dudosos, agregando personas desconocidas o publicando cualquier tipo de información sin antes meditarlo. Para las empresas es importante establecer una pauta segura que deben seguir los empleados con respecto al uso de redes sociales a fin de evitar cuantiosas pérdidas de información. Para la configuración de otros servicios, recomendamos la lectura de la Guía de seguridad en redes sociales.
André Goujon
Especialista de Awareness & Research