El riesgo de hacer pública información personal

Muy a menudo se produce la paradoja de que evitamos compartir unos datos mínimos para acceder a un servicio, pero libremente utilizamos información personal en medios de acceso público. Sigue siendo así, pese a que la mayor parte de redes sociales ha incorporado opciones de privacidad que limitan la posibilidad de acceso. Pero no solo sucede en el entorno personal, también en plataformas profesionales o webs corporativas.

Desde ESET, nos recuerdan que cuanta mayor sea la información sobre nosotros que está disponible públicamente, mayor será la posibilidad de que esos datos sean utilizados crear ciberataques convincentes. En otros ejemplos, la compañía destaca las “campañas de spearphishing o de compromiso del correo electrónico empresarial (BEC), con el objetivo de engañar a la víctima y lograr que instale malware en su dispositivo o que comparta sus credenciales corporativas”.

De hecho, ESET comparte ejemplos de casos reales en los que se utilizaron técnicas de inteligencia de fuentes abiertas (OSINT) al inicio de las campañas maliciosas. Uno de ellos fue un ataque BEC a Children's Healthcare of Atlanta, que generó pérdidas de 3,6 millones de dólares. También señala el uso que hacen estas técnicas grupos como SEABORGIUM, que se vincula a Rusia, o TA453, vinculado a Irán.

Josep Albors, director de investigación y concienciación de ESET España, explica que “cada vez vemos más ataques que no empiezan explotando una vulnerabilidad técnica, sino explotando el contexto. Los atacantes dedican tiempo a entender cómo funciona una organización y quién toma decisiones dentro de ella, y esa información suele estar disponible públicamente. Por eso la gestión de la exposición digital se está convirtiendo en un elemento clave de la ciberseguridad empresarial”.