Las redes sociales profesionales tampoco pasan desapercibidas para los ciberdelincuentes. Al igual que existe la posibilidad de sufrir un robo de cuentas en Instagram o Facebook y entregar credenciales gracias a la trampa de un correo electrónico, en Linkedin también es posible recibir un mensaje malintencionado.
Según explica Josep Albors, director de investigación y concienciación de ESET España, la mayor lectura que realizan los usuarios de los mensajes que llegan a su perfil en Linkedin frente a otras plataformas sociales ha incentivado a más ciberdelincuentes a enviar mensajes por esta red social en la que incluyen enlaces a formularios que, de ser rellenados, les permiten acceder a la información personal y/o del dispositivo de los usuarios.
Esta urgencia por abrir y leer el mensaje resulta mayor “si además la persona que supuestamente nos contacta ostenta un cargo relevante y el mensaje se marca como importante, las prisas por ver qué tipo de mensaje nos ha dejado pueden jugarnos una mala pasada y llevarnos a pulsar sobre el enlace que los delincuentes han preparado, camuflado como un botón para visualizar el mensaje”, señala Albors.
Al pulsar sobre el enlace, se despliega una página que simula a aquella de acceso a Linkedin y donde se solicita el nombre de usuario y la contraseña. Al ser rellenado y enviado, los ciberdelincuentes pueden aprovechar estos datos para acceder a la cuenta del usuario en la red social profesional.
“Desde hace tiempo se han llegado a observar ataques sofisticados donde grupos APT han usado esta red social para contactar con sus objetivos y ofrecerles, por ejemplo, interesantes ofertas de trabajo que, finalmente, terminaban ejecutando malware en los equipos de la víctima”, asegura el investigador.
En este tipo de operaciones, los atacantes tratan de convencer a empleados de empresas de sectores estratégicos como la defensa o el aeroespacial de que han sido elegidos como candidatos ideales para interesantes ofertas de trabajo, con la finalidad de que establezcan una conversación mediante email o el propio chat de Linkedin que termine en el acceso a un enlace o la descarga de un fichero.
Para evitar caer en este tipo de trampas, Albors recomienda implementar la verificación en dos pasos que ofrecen Linkedin y otros servicios online y evitar pulsar sobre enlaces incrustados o descargar ficheros adjuntos si no se tiene la certeza de que sean inofensivos.
