Un mensaje espera tu respuesta
Entre los distintos cebos que ha sido usados de forma recurrente por los delincuentes desde hace años encontramos el de los mensajes pendientes de lectura en plataformas como LinkedIn. Al tratarse de una red profesional, los usuarios suelen hacer más caso a este tipo de avisos que en otras redes sociales, y los delincuentes lo saben. Ahora bien, existe diferencia entre enviar un email genérico y otro donde se muestra la foto de un supuesto usuario de esta red con su nombre y cargo en la empresa donde trabaja.
Si además la persona que supuestamente nos contacta ostenta un cargo relevante y el mensaje se marca como importante, las prisas por ver qué tipo de mensaje nos ha dejado pueden jugarnos una mala pasada y llevarnos a pulsar sobre el enlace que los delincuentes han preparado, camuflado como un botón para visualizar el mensaje.
Como es de esperar en este tipo de situaciones, pulsar sobre ese enlace nos redirigirá a una web preparada por los atacantes que simula la página de acceso de LinkedIn y donde se nos solicitará nuestro nombre de usuario y contraseña. Obviamente, si el usuario cae en la trampa y proporciona estos datos, los delincuentes podrán acceder a su cuenta y realizar acciones maliciosas en su nombre.
Con respecto a la web utilizada por los delincuentes, podemos comprobar que se trata de un servicio de generación y alojamiento de webs legítimo, por lo que esta página aparece con su correspondiente certificado de seguridad HTTPS y su candado verde. Esto puede hacer que no pocos usuarios se confíen y piensen que se trata de la web legítima de LinkedIn, por mucho que este candado de seguridad solo garantiza que la comunicación entre nuestro dispositivo y dicha web se realiza cifrada.
Protegiendo nuestra cuenta
A pesar Esta no es la única estafa o engaño que se aprovecha de LinkedIn, y desde hace tiempo se han llegado a observar ataques sofisticados donde grupos APT han usado esta red social para contactar con sus objetivos y ofrecerles, por ejemplo, interesantes ofertas de trabajo que, finalmente, terminaban ejecutando malware en los equipos de la víctima. Ejemplos de este tipo de ataques los tenemos en, por citar un caso, la Operación In(ter)ception, descubierta inicialmente por investigadores de ESET en 2020.
En este tipo de operaciones, los atacantes tratan de convencer a empleados de empresas de sectores estratégicos como la defensa o el aeroespacial de que han sido elegidos como candidatos ideales para interesantes ofertas de trabajo, con la finalidad de que establezcan una conversación mediante email o el propio chat de LinkedIn que termine en el acceso a un enlace o la descarga de un fichero.
Si bien este tipo de ataques suelen estar muy dirigidos a usuarios concretos, la mayoría de nosotros no podemos obviar otras amenazas más comunes como el robo de credenciales que hemos analizado en este artículo, y por ese motivo, además de seguir los habituales consejos para evitar caer en este tipo de trampas, debemos hacer especial hincapié en implementar la verificación en dos pasos que tanto LinkedIn como otros muchos servicios online nos proporcionan.
De esta forma, si alguien obtiene o roba nuestras credenciales y trata de acceder a nuestra cuenta de LinkedIn, además del usuario y contraseña deberá introducir un código temporal de un solo uso que nosotros recibiremos en nuestro dispositivo móvil. Esto limita mucho las posibilidades de que los atacantes consigan su objetivo, ya que además de obtener las credenciales de acceso también deberán comprometer la seguridad de nuestro teléfono móvil para hacerse con este código temporal.
La obtención de estos códigos de verificación en LinkedIn se realiza tanto por envío de mensajes SMS a nuestro número de teléfono como mediante el uso de una aplicación de autenticación (p.ej. Google Authenticator) que genere estos códigos temporales cada pocos segundos.
De esta forma, estaremos añadiendo una capa más de seguridad a la protección del acceso a nuestra cuenta de LinkedIn y, en caso de sospechar haber sido víctima de un ataque de robo de credenciales, podremos tener tiempo de cambiar nuestra contraseña, algo que, de todas formas, se recomienda realizar cada cierto tiempo.
Conclusión
Casos como el que hemos analizado en este artículo aparecen de forma frecuente y siempre hay algún usuario que cae en la trampa. Por ese motivo debemos andar siempre con cuidado y revisar atentamente cualquier email que recibamos, por mucho que nos parezca enviado desde un remitente de confianza, evitando pulsar sobre enlaces incrustados o descargar ficheros adjuntos si no se tiene la absoluta certeza de que son inofensivos, pudiéndonos ayudar para ello por soluciones de seguridad diseñadas para detectar esta y otras amenazas.