Marc Sureda
Históricamente, diversos grupos de ciberespionaje han utilizado la inteligencia de fuentes abiertas para perfilar a sus objetivos antes de lanzar cualquier ataque. Entidades como el Centro Nacional de Ciberseguridad del Reino Unido han documentado cómo actores de amenazas, entre los que se encuentran el grupo SEABORGIUM, vinculado a Rusia, y TA453, alineado con Irán, analizan exhaustivamente las plataformas personales y profesionales para investigar los intereses de sus víctimas. El procedimiento habitual de estos grupos consiste en identificar contactos y generar confianza mediante el intercambio de correos electrónicos aparentemente normales para, posteriormente, enviar enlaces maliciosos destinados a sustraer las credenciales corporativas.
Un ejemplo notable de la repercusión económica de estas tácticas de investigación previa es el incidente sufrido por el centro Children’s Healthcare of Atlanta, que resultó en pérdidas de 3,6 millones de dólares. Este caso de compromiso del correo electrónico empresarial se gestó tras el análisis de varios comunicados de prensa sobre la construcción de un nuevo hospital. Permitiendo a los atacantes identificar a la empresa constructora responsable, JE Dunn. Mediante el rastreo de redes profesionales y el sitio web corporativo, localizaron a los responsables financieros de ambas entidades y lograron suplantar la identidad del director financiero de la constructora para solicitar un cambio en los datos de pago.
Los investigadores de la firma de ciberseguridad ESET advierten que los ciberdelincuentes aprovechan la gran cantidad de datos públicos disponibles para diseñar campañas fraudulentas altamente convincentes. El objetivo de estas acciones, que pueden llegar a través de correos electrónicos, mensajes de texto o llamadas telefónicas, es engañar a los profesionales para que instalen programas maliciosos en sus dispositivos o revelen sus datos de acceso. En los casos más sofisticados, se suplanta la identidad de directivos o proveedores para ordenar transferencias bancarias de carácter urgente.
Josep Albors, director de investigación y concienciación de ESET España señala: «Cada vez vemos más ataques que no empiezan explotando una vulnerabilidad técnica, sino explotando el contexto. Los atacantes dedican tiempo a entender cómo funciona una organización y quién toma decisiones dentro de ella, y esa información suele estar disponible públicamente. Por eso la gestión de la exposición digital se está convirtiendo en un elemento clave de la ciberseguridad empresarial, y las organizaciones deben empezar a prestar más atención a qué información comparten y cómo puede ser utilizada por terceros”.
Plataformas profesionales, repositorios de código y redes sociales funcionan como bases de datos abiertas que exponen desde jerarquías corporativas hasta detalles técnicos. Redes como LinkedIn revelan funciones internas y relaciones entre empleados, además de ofertas de trabajo que a menudo desvelan las tecnologías que utiliza la empresa. En el plano técnico, los entornos como GitHub pueden exponer involuntariamente direcciones IP, correos electrónicos e incluso fragmentos de código sensibles. A esta huella digital se suma la actividad en plataformas como X o Instagram, donde la publicación de viajes de negocios o la asistencia a ferias sectoriales proporciona el contexto necesario para que los atacantes construyan sus engaños con un alto grado de verosimilitud.
Los analistas de seguridad subrayan un cambio de tendencia en las estrategias delictivas, donde los perpetradores priorizan la explotación del contexto humano y organizativo frente a la búsqueda de fallos puramente técnicos. Al dedicar tiempo a comprender quién toma las decisiones y cómo opera una organización, la gestión de la exposición digital se erige como una disciplina fundamental dentro de los departamentos de TI. Obligando a las empresas a controlar de cerca la información que se proyecta al exterior.
Estrategias de mitigación frente a la exposición digital
Para minimizar estos riesgos, los especialistas aconsejan a las organizaciones restringir la publicación de datos sensibles e implementar protocolos estrictos de verificación y autenticación. Es fundamental limitar la difusión de información profesional que revele detalles sobre herramientas internas, infraestructuras o proyectos en curso. Así como evitar la publicación de los desplazamientos de trabajo en tiempo real. Esto debe complementarse con una revisión periódica de los ajustes de privacidad en todas las plataformas utilizadas por el personal.
A nivel corporativo, las empresas deben establecer políticas inquebrantables de verificación para cualquier tipo de transferencia financiera, prestando especial atención a aquellas solicitudes que se presenten como urgentes o imprevistas. Así mismo, resulta imperativo desplegar sistemas de autenticación multifactor y controles de acceso estrictos en las cuentas críticas. A la par que se mantiene una formación continua para que los empleados adquieran los conocimientos necesarios para detectar e interceptar los intentos de ingeniería social.
