Los ataques de phishing ya no se limitan a la bandeja de entrada del correo electrónico: uno de cada tres ataques de phishing ahora se realiza a través de canales distintos del correo electrónico, como las redes sociales, los motores de búsqueda y las aplicaciones de mensajería.
LinkedIn en particular se ha convertido en un foco de ataques de phishing, y con razón. Los atacantes están llevando a cabo sofisticados ataques de phishing contra ejecutivos corporativos, con campañas recientes dirigidas a empresas de las industrias de servicios financieros y tecnología.
Sin embargo, el phishing no relacionado con el correo electrónico sigue estando muy subestimado, lo que no es precisamente sorprendente teniendo en cuenta que la mayoría de las métricas de phishing de la industria provienen de herramientas de seguridad del correo electrónico.
Su primer pensamiento podría ser: “¿Por qué me importa que los empleados sean objeto de phishing en LinkedIn?” Bueno, aunque LinkedIn es una aplicación personal, se utiliza habitualmente con fines comerciales y se accede a ella desde dispositivos corporativos. Los atacantes se dirigen específicamente a cuentas comerciales como Microsoft Entra y Google Workspace.
Por lo tanto, el phishing en LinkedIn es una amenaza clave para la que las empresas deben estar preparadas hoy en día. Aquí hay cinco cosas que necesita saber sobre por qué los atacantes realizan phishing en LinkedIn y por qué es tan efectivo.
1: pasa por alto las herramientas de seguridad tradicionales
Los mensajes directos de LinkedIn evitan por completo las herramientas de seguridad del correo electrónico en las que confían la mayoría de las empresas para protegerse contra el phishing. En la práctica, los empleados acceden a LinkedIn a través de portátiles y teléfonos de trabajo, pero los equipos de seguridad no tienen visibilidad de estas comunicaciones. Esto significa que los empleados pueden recibir mensajes de personas externas en sus dispositivos de trabajo sin riesgo de interceptación de correo electrónico.
Para empeorar las cosas, los kits de phishing modernos utilizan una variedad de técnicas de ofuscación, antianálisis y evasión de detección para eludir los controles antiphishing basados en la inspección de una página web (por ejemplo, robots de seguridad de rastreo web) o el análisis del tráfico web (por ejemplo, un proxy web). Esto deja a la mayoría de las empresas dependiendo de la capacitación y la presentación de informes de los usuarios como su principal línea de defensa, lo que no es una buena situación.
Pero, ¿qué se puede hacer realmente ante un ataque de phishing en LinkedIn, incluso si un usuario lo descubre y lo denuncia? No puede ver qué otras cuentas de su base de usuarios han sido objetivo o objetivo. A diferencia del correo electrónico, no hay forma de recuperar o poner en cuarentena el mismo mensaje que afecta a varios usuarios. No hay reglas que puedas cambiar ni remitentes que puedas bloquear. Puede denunciar la cuenta y tal vez la cuenta maliciosa se congele, pero el atacante probablemente tenga todo lo que necesitaba para entonces y haya seguido adelante.
La mayoría de las organizaciones simplemente bloquean las URL en cuestión. Sin embargo, esto no ayuda mucho si los atacantes cambian rápidamente sus dominios de phishing: cuando bloqueas un sitio web, varios otros ya han ocupado su lugar. Es un intercambio de golpes… y está dirigido contra ti.
2: Es barato, simple y escalable para los atacantes
Hay algunas cosas que hacen que el phishing en LinkedIn sea más accesible que los ataques de phishing basados en correo electrónico.
Con el correo electrónico, los atacantes suelen crear dominios de correo electrónico con antelación y pasar por una fase de preparación para construir la reputación del dominio y superar los filtros de correo electrónico. Compararlo con aplicaciones de redes sociales como LinkedIn implicaría crear cuentas, establecer conexiones, agregar publicaciones y contenido y diseñarlos para que parezcan legítimos.
Excepto que es increíblemente fácil hacerse cargo de cuentas legítimas. El 60% de las credenciales en los protocolos de Infostealer están vinculadas a cuentas de redes sociales, muchas de las cuales no tienen MFA (ya que la adopción de MFA es mucho menor en aplicaciones nominalmente “personales” donde su empleador no anima a los usuarios a agregar MFA). Esto les da a los atacantes un punto de partida creíble para sus campañas al infiltrarse en la red existente de una cuenta y explotar esa confianza.
Al combinar la toma de control de cuentas legítimas con las oportunidades que ofrece la mensajería directa impulsada por IA, los atacantes pueden ampliar fácilmente su alcance en LinkedIn.
3: Fácil acceso a objetivos de alto valor
Como sabe cualquier profesional de ventas, la educación en LinkedIn es trivial. Es fácil crear los perfiles de LinkedIn de una organización y seleccionar las audiencias adecuadas a las que dirigirse. De hecho, LinkedIn ya es una herramienta principal tanto para los miembros del equipo rojo como para los atacantes cuando se trata de identificar posibles objetivos de ingeniería social, por ejemplo. Por ejemplo, revisar las funciones y descripciones de los puestos de trabajo para estimar qué cuentas tienen los niveles de acceso y privilegios necesarios para un ataque exitoso.
Tampoco hay verificación ni filtrado de mensajes de LinkedIn, ni protección contra spam ni asistente que supervise la bandeja de entrada por usted. Podría decirse que esta es la forma más directa de llegar al contacto deseado y, por lo tanto, uno de los mejores lugares para lanzar ataques de phishing dirigidos.
4: Es más probable que los usuarios caigan en la trampa
La naturaleza de las aplicaciones de redes profesionales como LinkedIn es que espera conectarse e interactuar con personas ajenas a su empresa. De hecho, es mucho más probable que un alto ejecutivo abra y responda un mensaje directo de LinkedIn que otro correo electrónico no deseado.
Especialmente cuando se combina con el secuestro de cuentas, la probabilidad de que se respondan los mensajes de contactos conocidos es aún mayor. Esto equivale a hacerse cargo de una cuenta de correo electrónico de un contacto comercial existente, lo que ha sido la causa de muchas violaciones de datos en el pasado.
De hecho, en algunos casos recientes, estos contactos eran colegas, por lo que es más probable que un atacante se apodere de la cuenta de correo electrónico de su empresa y la utilice para lanzar ataques de phishing contra sus ejecutivos de alta dirección. Combinado con el pretexto adecuado (por ejemplo, obtener una aprobación urgente o comprobar un documento), las posibilidades de éxito aumentan significativamente.
5: Las recompensas potenciales son enormes
El hecho de que estos ataques ocurran a través de una aplicación “personal” no significa que el impacto sea limitado. Es importante pensar en el panorama más amplio.
La mayoría de los ataques de phishing se centran en plataformas centrales de nube empresarial como Microsoft y Google o proveedores de identidad especializados como Okta. Tomar el control de una de estas cuentas no solo le da al atacante acceso a las aplicaciones y datos principales dentro de esa aplicación, sino que también le permite usar SSO para iniciar sesión en cualquier aplicación conectada en la que inicie sesión el empleado.
Esto le da al atacante acceso a casi todas las funciones comerciales y conjuntos de datos principales de su empresa. Y a partir de ese momento, también es mucho más fácil dirigirse a otros usuarios de estas aplicaciones internas, utilizando aplicaciones de mensajería empresarial como Slack o Teams, o técnicas como SAMLjacking para convertir una aplicación en un abrevadero para otros usuarios que quieran iniciar sesión.
Cuando se combina con ataques de phishing dirigidos a ejecutivos, la recompensa es significativa. El compromiso de una sola cuenta puede convertirse rápidamente en una infracción multimillonaria en toda la empresa.
E incluso si el atacante sólo logra comunicarse con su empleado en su dispositivo personal, aún así puede comprometer la cuenta de la empresa. Basta mirar la violación de Okta en 2023, donde un atacante aprovechó el hecho de que un empleado de Okta había iniciado sesión en un perfil personal de Google en su dispositivo de trabajo. Esto significó que todas las credenciales almacenadas en su navegador se sincronizaron con su dispositivo personal, incluidas las credenciales de 134 inquilinos clientes. Cuando su dispositivo personal fue pirateado, su cuenta de trabajo también fue pirateada.
Esto no es sólo un problema de LinkedIn
A medida que el trabajo moderno se realiza a través de una red de aplicaciones de Internet descentralizadas y canales de comunicación más diversos fuera del correo electrónico, es más difícil que nunca impedir que los usuarios interactúen con contenido malicioso.
Los atacantes pueden entregar enlaces a través de aplicaciones de mensajería instantánea, redes sociales, SMS, publicidad maliciosa, funcionalidad de mensajería en la aplicación y enviar correos electrónicos directamente desde servicios SaaS para evitar la verificación basada en correo electrónico. Del mismo modo, ahora hay cientos de aplicaciones por empresa con diferentes niveles de configuración de seguridad de cuenta a las que apuntar.
¿Quiere saber más sobre cómo ha evolucionado el phishing en 2025? Regístrese en el próximo seminario web de Push Security, donde lo guiaremos a través de las principales estadísticas, tendencias y estudios de casos de phishing de 2025.
 |
| El phishing ahora se distribuye a través de múltiples canales, no solo por correo electrónico, y se dirige a una variedad de aplicaciones SaaS y en la nube. |
Detenga el phishing donde ocurre: en el navegador
El phishing ha salido del buzón de correo, y esto también se aplica a la seguridad.
Para combatir los ataques de phishing modernos, las organizaciones necesitan una solución que detecte y bloquee el phishing en todas las aplicaciones y canales de entrega.
Push Security ve lo que ven sus usuarios. No importa qué canal de entrega o métodos de evasión de detección se utilicen, Push detiene el ataque en tiempo real cuando el usuario carga la página maliciosa en su navegador web, analizando el código de la página, el comportamiento y la interacción del usuario en tiempo real.
Eso no es todo lo que hacemos: Push bloquea ataques basados en navegador como phishing AiTM, relleno de credenciales, extensiones de navegador maliciosas, concesiones OAuth maliciosas, ClickFix y secuestro de sesión. También puede utilizar Push para buscar y corregir de forma proactiva vulnerabilidades en las aplicaciones que utilizan sus empleados, como por ejemplo: inicios de sesión fantasmas, brechas de cobertura de SSO, brechas de MFA y contraseñas vulnerables. Incluso puede ver dónde iniciaron sesión los empleados en sus cuentas personales en su navegador de trabajo (para evitar situaciones como la violación de Okta de 2023 antes mencionada).
Para obtener más información sobre Push, vea nuestra descripción general de productos más reciente o reserve una cita con uno de los miembros de nuestro equipo para una demostración en vivo.
About The Author
