19 de diciembre de 2024
RRHHDigital - El periódico online referente en Recursos Humanos

Falsos mensajes en LinkedIn y cómo proteger tu cuenta de los robos de credenciales

Falsos mensajes en LinkedIn y cómo proteger tu cuenta de los robos de credenciales
  • Entre los distintos cebos que ha sido usados de forma recurrente por los delincuentes desde hace años encontramos el de los mensajes pendientes de lectura en plataformas como LinkedIn.
  • Descubre cómo crear códigos temporales de un solo uso para recibir en nuestro dispositivo móvil y asegurar tu cuenta ante la ciberdelincuencia.

Entre los distintos cebos que ha sido usados de forma recurrente por los delincuentes desde hace años encontramos el de los mensajes pendientes de lectura en plataformas como LinkedIn. Al tratarse de una red profesional, los usuarios suelen hacer más caso a este tipo de avisos que en otras redes sociales, y los delincuentes lo saben. Ahora bien, existe diferencia entre enviar un email genérico y otro donde se muestra la foto de un supuesto usuario de esta red con su nombre y cargo en la empresa donde trabaja.

Si además la persona que supuestamente nos contacta ostenta un cargo relevante y el mensaje se marca como importante, las prisas por ver qué tipo de mensaje nos ha dejado pueden jugarnos una mala pasada y llevarnos a pulsar sobre el enlace que los delincuentes han preparado, camuflado como un botón para visualizar el mensaje.

Como es de esperar en este tipo de situaciones, pulsar sobre ese enlace nos redirigirá a una web preparada por los atacantes que simula la página de acceso de LinkedIn y donde se nos solicitará nuestro nombre de usuario y contraseña. Obviamente, si el usuario cae en la trampa y proporciona estos datos, los delincuentes podrán acceder a su cuenta y realizar acciones maliciosas en su nombre.

Con respecto a la web utilizada por los delincuentes, podemos comprobar que se trata de un servicio de generación y alojamiento de webs legítimo, por lo que esta página aparece con su correspondiente certificado de seguridad HTTPS y su candado verde. Esto puede hacer que no pocos usuarios se confíen y piensen que se trata de la web legítima de LinkedIn, por mucho que este candado de seguridad solo garantiza que la comunicación entre nuestro dispositivo y dicha web se realiza cifrada.

Protegiendo nuestra cuenta

Esta no es la única estafa o engaño que se aprovecha de LinkedIn, y desde hace tiempo se han llegado a observar ataques sofisticados donde grupos APT han usado esta red social para contactar con sus objetivos y ofrecerles, por ejemplo, interesantes ofertas de trabajo que, finalmente, terminaban ejecutando malware en los equipos de la víctima. Ejemplos de este tipo de ataques los tenemos en, por citar un caso, la Operación In(ter)ception, descubierta inicialmente por investigadores de ESET en 2020.

En este tipo de operaciones, los atacantes tratan de convencer a empleados de empresas de sectores estratégicos como la defensa o el aeroespacial de que han sido elegidos como candidatos ideales para interesantes ofertas de trabajo, con la finalidad de que establezcan una conversación mediante email o el propio chat de LinkedIn que termine en el acceso a un enlace o la descarga de un fichero.

Si bien este tipo de ataques suelen estar muy dirigidos a usuarios concretos, la mayoría de nosotros no podemos obviar otras amenazas más comunes como el robo de credenciales que hemos analizado en este artículo, y por ese motivo, además de seguir los habituales consejos para evitar caer en este tipo de trampas, debemos hacer especial hincapié en implementar la verificación en dos pasos que tanto LinkedIn como otros muchos servicios online nos proporcionan.

LinkedIn seguridad

De esta forma, si alguien obtiene o roba nuestras credenciales y trata de acceder a nuestra cuenta de LinkedIn, además del usuario y contraseña deberá introducir un código temporal de un solo uso que nosotros recibiremos en nuestro dispositivo móvil. Esto limita mucho las posibilidades de que los atacantes consigan su objetivo, ya que además de obtener las credenciales de acceso también deberán comprometer la seguridad de nuestro teléfono móvil para hacerse con este código temporal.

La obtención de estos códigos de verificación en LinkedIn se realiza tanto por envío de mensajes SMS a nuestro número de teléfono como mediante el uso de una aplicación de autenticación (p.ej. Google Authenticator) que genere estos códigos temporales cada pocos segundos.

LinkedIn seguridad

De esta forma, estaremos añadiendo una capa más de seguridad a la protección del acceso a nuestra cuenta de LinkedIn y, en caso de sospechar haber sido víctima de un ataque de robo de credenciales, podremos tener tiempo de cambiar nuestra contraseña, algo que, de todas formas, se recomienda realizar cada cierto tiempo.

Conclusión

Casos como el que hemos analizado en este artículo aparecen de forma frecuente y siempre hay algún usuario que cae en la trampa. Por ese motivo debemos andar siempre con cuidado y revisar atentamente cualquier email que recibamos, por mucho que nos parezca enviado desde un remitente de confianza, evitando pulsar sobre enlaces incrustados o descargar ficheros adjuntos si no se tiene la absoluta certeza de que son inofensivos, pudiéndonos ayudar para ello por soluciones de seguridad diseñadas para detectar esta y otras amenazas.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital