Pocas organizaciones pueden permitirse vivir de espaldas a las redes sociales.
Plataformas como LinkedIn se utilizan para objetivos tan valiosos como generar oportunidades de negocio o reforzar la imagen de marca, proyectando valores apreciados en el ecosistema empresarial actual: innovación, dinamismo, transparencia, cercanía con clientes y socios, etc. Al margen de poder suponer también un recurso clave desde para el desarrollo de campañas de marketing hasta para el reclutamiento de talento.
Pero precisamente en una red profesional como LinkedIn se da una actividad de los miembros de las organizaciones a título particular, lo que dificulta el control de la información que se comparte. Aunque en realidad, tampoco la canalización centralizada a través de la cuenta corporativa gestionada por un community manager libra de patinazos ni errores a la hora de informar indebidamente sobre determinadas cuestiones internas, o de exponer información que, aun sin parecer sensible a primera vista, puede resultar relevante para terceros, incluyendo los ciberdelincuentes.
Además, en muchos casos, la frontera entre comunicación personal y exposición corporativa resulta difusa, lo que puede derivar en riesgos que van mucho más allá de una simple cuestión reputacional.
Errores en la gestión de la información traducibles en riesgos comerciales y legales
Sin entrar todavía en el ámbito de la ciberseguridad, la sobreinformación puede perjudicar la actividad de negocio y las relaciones con clientes o proveedores, cuando sabemos que es habitual encontrar publicaciones en LinkedIn donde los empleados comunican:
- La firma de nuevos contratos.
- La incorporación de nuevos clientes.
- Cambios organizativos, reestructuraciones o ampliaciones de equipos.
- Participación en proyectos relevantes aún no anunciados oficialmente.
Este tipo de anuncios prematuros, por más bienintencionados que resulten, pueden traer problemas al ser susceptibles de traducirse en tensiones con los nuevos clientes o socios que no querían comunicar todavía públicamente la relación, conflictos con los antiguos a los que aún nos une una relación contractual, o incluso suponer una baza para terceros, eventualmente la propia competencia directa, que así accede a información estratégica de manera anticipada.
En definitiva, estaríamos ante una pérdida de control del relato corporativo por parte de la empresa de potenciales consecuencias muy negativas. Un auténtico problema que conviene resolver con concienciación y la adopción de buenas prácticas que regulen quién comunica, qué se comunica y en qué momento.
Qué es información corporativa sensible (aunque no siempre se perciba como tal)
Si nos adentramos ya en prácticas de riesgo a efectos de seguridad, cabe destacar que uno de los factores clave que las propician es la percepción limitada de lo que supone información sensible.
A menudo se asocia la confidencialidad exclusivamente a contraseñas, datos financieros o información secreta, cuando también se puede poner a la empresa en la diana por la revelación de aspectos aparentemente ‘inocuos‘ como:
- La estructura organizativa interna.
- Las tecnologías utilizadas por la empresa.
- Los procesos operativos o flujos de trabajo.
- Las fases de proyectos en curso.
- Los proveedores estratégicos.
- La identidad de clientes clave.
Cabría tomar conciencia de que informaciones fragmentadas compartidas aquí y allá pueden conformar un cuadro completo, susceptible de ser explotado en un ataque sofisticado, al aportar contexto y coherencia a información que, analizada de forma aislada, carecería de relevancia.
Así, con una mera revelación dispersa de información se abre la puerta a que actores maliciosos sean capaces de inferir con bastante precisión todo el funcionamiento interno de la organización, identificar activos críticos y seleccionar sus objetivos con mayor probabilidad de éxito.
LinkedIn como fuente de inteligencia para ataques dirigidos
Es precisamente en este contexto donde redes profesionales como LinkedIn adquieren un papel especialmente relevante.
De hecho, existe abundante evidencia de que LinkedIn se utiliza de forma sistemática como fuente de inteligencia para ataques dirigidos.
A través de perfiles y publicaciones, los atacantes pueden identificar:
- Empleados con acceso a información sensible.
- Tecnologías concretas en uso, por ejemplo, cuando se publican post sobre migraciones a nuevos servicios cloud o implantaciones de softwares.
- Momentos de especial vulnerabilidad (auditorías, cambios internos, integraciones, etc.).
- Relaciones con proveedores y socios estratégicos.
Esta información permite diseñar ataques de ingeniería social y spear phishing altamente personalizados, con mensajes creíbles y excelentemente contextualizados, poniendo además la diana en los perfiles más críticos dentro de la organización.
Fotografías y capturas: cuando la imagen revela más de lo debido
Otra práctica de riesgo (en este caso no circunscrita especialmente a LinkedIn) es la publicación de imágenes vinculadas al entorno laboral.
Este tipo de contenidos con fotos del interior de las oficinas suelen tener las mejores intenciones celebratorias o motivacionales, pero pueden mostrar de manera inadvertida pantallas con herramientas internas, diagramas técnicos, listados de tareas o información sensible relacionada con proyectos y clientes.
Otro tanto ocurre con las capturas de pantallas compartidas que muestran datos reales, interfaces, nombres de sistemas, URLs internas…
Estos descuidos dan lugar a brechas peligrosas, que permiten a los atacantes identificar patrones de comportamiento y señales contextuales extraíbles a partir de los propios espacios de trabajo.
Hablamos de la distribución de las oficinas, la existencia de zonas con distintos niveles de acceso, los hábitos operativos del día a día o el grado real de concienciación en materia de seguridad, observable en detalles como sesiones abiertas, documentos visibles o el uso de credenciales físicas.
Además, este tipo de material visual facilita inferir el nivel de madurez organizativa y la cultura interna de la empresa; detectar momentos de relajación de las medidas de control (habituales en eventos, celebraciones o cambios de ubicación que suelen ser posteados recurrentemente) y, en definitiva, perfilar escenarios en los que la ingeniería social o incluso los asaltos directos podrían resultar más efectivos, especialmente cuando esta información se completa con otros indicios obtenidos también en las redes profesionales o sociales.
Conviene tener claro que no solo se obtiene información con lo que se ve, sino también con lo que se deduce.
Más allá de LinkedIn: otras redes, mismos riesgos
Aunque LinkedIn sea el lugar más propicio para incurrir en los riesgos que estamos viendo, no es la única plataforma donde se dan prácticas potencialmente peligrosas, pudiendo incluir aquí los comentarios en caliente sobre incidencias técnicas o caídas de sistemas que sintonizan tan bien con el espíritu de X /Twitter, las imágenes o reels en Instagram que muestran oficinas, reuniones internas, accesos, etc., o los videos en TikTok que puedan hacer lo propio con almacenes, áreas especiales, procesos de trabajo, etc.
Y ojo, porque en esta relación de plataformas también entrarían aquellas más específicas como GitHub y otros foros técnicos, donde se pueden compartir fragmentos de código o errores reales vinculados a la empresa.
Conviene valorar que es la suma de pequeñas exposiciones la que permite construir una imagen detallada de la organización para un actor malintencionado, mostrándole brechas sobre las que orquestar un ataque dirigido.
Recordemos tal y como hacemos en muchas publicaciones que el factor humano sigue siendo uno de los principales vectores de riesgo, que aumenta exponencialmente cuando se hace una exposición innecesaria de información en redes sociales.
La importancia de apostar por la concienciación
La solución no pasa por prohibir el uso de redes sociales, sino por establecer una cultura clara cimentada sobre la concienciación y la responsabilidad. Para ello, es necesario definir políticas internas claras, compresibles y realistas, apostando como en cualquier ámbito relacionado con la ciberseguridad por una formación práctica orientada a casos reales.
El objetivo último sería trasladar con claridad qué información puede compartirse y cuál no, incluyendo aquí aquella que estaría en una zona gris, y por tanto invita a una prudencia restrictiva. Pero es crucial explicar siempre los porqués, por la sencilla razón de que resulta más fácil asumir una práctica cuando se entiende su sentido que si se percibe como una mera imposición arbitraria.
La idea es hacer de la ciberseguridad una responsabilidad compartida, en la que cada miembro del equipo realiza su contribución desde la consciencia de lo que está en juego, el conocimiento de los riesgos existentes y la dotación de buenas prácticas como herramientas para combatirlos.