Cuando LinkedIn se convierte en el manual para atacarte

En marzo de 2022, un ingeniero senior de Sky Mavis —la empresa detrás del juego Axie Infinity— recibió una oferta de trabajo por LinkedIn. Era atractiva: buena empresa, buen sueldo, proceso profesional. Pasó por varias rondas de entrevistas y, al final, le llegó una oferta formal en PDF. La abrió.

Ese PDF contenía malware. Los atacantes eran el Lazarus Group, un equipo vinculado a Corea del Norte. Con ese acceso, comprometieron la red de Ronin —la blockchain que soporta Axie Infinity— y robaron 625 millones de dólares en criptomonedas. El FBI confirmó la atribución en abril de 2022. Sigue siendo uno de los robos más grandes en la historia del sector.

El punto de entrada no fue una vulnerabilidad técnica oscura. Fue una persona, identificada con nombre y apellido en LinkedIn, con su cargo, su empresa y sus responsabilidades claramente visibles.

El perfil público como superficie de ataque

LinkedIn, Twitter/X, los artículos en los que aparece un ejecutivo, las presentaciones que subió a SlideShare, los podcasts en los que participó: todo eso forma una imagen detallada de quién es alguien dentro de una organización, qué hace, a quién reporta y qué lenguaje usa.

Los ataques de spear phishing —correos fraudulentos diseñados específicamente para una persona— dependen de esa información. Cuanto más convincente es el mensaje, más probable es que funcione. Y para que sea convincente, el atacante necesita conocer a su objetivo.

En septiembre de 2023, el grupo Scattered Spider atacó a MGM Resorts. Antes de hacer cualquier movimiento técnico, buscaron en LinkedIn el nombre de un empleado del área de IT. Lo encontraron. Después llamaron al help desk de la empresa, se hicieron pasar por esa persona y solicitaron el reseteo de sus credenciales. El help desk cumplió. MGM tardó días en recuperar sus sistemas y la interrupción le costó alrededor de 100 millones de dólares, según el reporte 8-K presentado ante la SEC.

El cargo importa más de lo que parece

No todos los perfiles son igual de valiosos para un atacante. Los más buscados suelen ser los que tienen acceso a sistemas críticos o a finanzas:

• Personal de IT y soporte técnico, que tienen acceso a credenciales y sistemas internos

• Empleados de contabilidad o tesorería, objetivo de fraudes BEC (Business Email Compromise)

• Asistentes ejecutivos, que tienen acceso a la agenda, los correos y las decisiones del CEO o CFO

El FBI documentó en su reporte IC3 de 2023 que el fraude BEC generó pérdidas de 2.9 mil millones de dólares solo en Estados Unidos ese año. En la mayoría de los casos, el atacante no hackeó nada: convenció a alguien de transferir dinero o de entregar acceso.

El deepfake que llegó a videollamada

En enero de 2024, un empleado financiero de una empresa multinacional con sede en Hong Kong participó en una videollamada con quien creyó que era su CFO y otros colegas. Recibió instrucciones de realizar una serie de transferencias. Obedeció. Transfirió 25 millones de dólares.

Todos los participantes de la llamada, incluido el CFO, eran deepfakes. Los atacantes habían tomado videos públicos de los ejecutivos y reconstruido sus rostros y voces con inteligencia artificial. El caso fue reportado por CNN y cubierto por el South China Morning Post.

Para construir esos deepfakes necesitaron material audiovisual real. Discursos, entrevistas, presentaciones en conferencias. Todo público, todo disponible.

Qué se puede hacer

La exposición digital no desaparece, pero se puede gestionar:

• Auditar qué información está publicada sobre los perfiles de mayor riesgo dentro de la organización. No solo LinkedIn: registros de empresas, bases de datos de patentes, ponencias en eventos.

• Capacitar al personal de soporte y finanzas para verificar identidades por canales alternativos antes de cumplir solicitudes sensibles, especialmente si llegan de forma urgente o por canales inusuales.

• Establecer protocolos de verificación para transferencias y cambios de credenciales que no dependan únicamente de quien llama o escribe.

El ataque más costoso no siempre es el más técnico. A veces empieza con alguien que sabe exactamente a quién llamar, cómo hablarle y qué pedirle.