Compartir información profesional en internet se ha convertido en una práctica habitual. Publicaciones en redes sociales, actualizaciones en plataformas laborales o incluso notas corporativas forman parte de la estrategia de visibilidad de cualquier empresa. Sin embargo, ese mismo rastro digital es analizado con detalle por actores maliciosos que buscan puntos de entrada para ejecutar ciberataques cada vez más sofisticados.
Diversos estudios apuntan a que más del 70% de los incidentes de seguridad con impacto empresarial comienzan con técnicas de ingeniería social, según datos de Verizon en su informe anual DBIR. Este tipo de amenazas no explotan fallos técnicos, sino errores humanos, y se apoyan en la información disponible públicamente para resultar creíbles.
Cuanta más exposición existe, mayor es la superficie de ataque. Desde organigramas hasta herramientas utilizadas por una compañía, todo puede convertirse en una pieza útil para diseñar campañas de ciberataques dirigidos.
Redes sociales como base de inteligencia abierta
Plataformas como LinkedIn funcionan, en la práctica, como bases de datos abiertas sobre la estructura de las empresas. Los perfiles profesionales permiten identificar cargos, relaciones jerárquicas, cambios de puesto o incluso tecnologías utilizadas. Esto facilita que los ciberdelincuentes construyan escenarios muy realistas para lanzar ciberataques personalizados.
En el ámbito tecnológico, repositorios como GitHub también representan una fuente relevante. En ocasiones, los desarrolladores publican código con referencias a sistemas internos, direcciones IP o correos corporativos. Investigaciones de GitGuardian señalan que millones de credenciales se exponen cada año en repositorios públicos, lo que abre la puerta a accesos no autorizados.
A esto se suman redes como Instagram o X, donde los empleados comparten viajes, eventos o rutinas laborales. Este tipo de información permite identificar momentos de ausencia, relaciones profesionales o dinámicas internas que pueden ser explotadas en campañas de ciberataques.
De la información pública al spearphishing
El uso más habitual de estos datos es la creación de ataques de spearphishing, una variante del phishing tradicional mucho más dirigida. En lugar de enviar mensajes genéricos, los atacantes personalizan cada comunicación utilizando información real sobre la víctima.
Por ejemplo, un correo que mencione un proyecto reciente, un proveedor habitual o un evento corporativo tiene muchas más probabilidades de ser abierto. Según el FBI, las estafas de compromiso del correo empresarial (BEC) han provocado pérdidas superiores a 50.000 millones de dólares a nivel global entre 2013 y 2023.
Este tipo de ciberataques no solo busca robar credenciales, sino también inducir transferencias fraudulentas o instalar malware dentro de la red corporativa. La clave está en generar confianza utilizando datos aparentemente legítimos.
Canales múltiples y suplantación de identidad
Los ciberataques actuales no se limitan al correo electrónico. También se desarrollan a través de mensajes SMS, aplicaciones de mensajería o incluso llamadas telefónicas. En muchos casos, los atacantes suplantan la identidad de directivos o proveedores para dar mayor credibilidad a la solicitud.
Este fenómeno, conocido como vishing cuando se realiza por voz, ha crecido de forma significativa en los últimos años. Según ENISA, la combinación de distintos canales en una misma campaña incrementa notablemente la tasa de éxito de los ciberataques.
La información pública permite replicar patrones de comunicación reales, desde el tono hasta la firma de los correos. Esto dificulta que la víctima detecte la amenaza a simple vista.
Casos reales de ataques basados en OSINT
El uso de inteligencia de fuentes abiertas, conocida como OSINT, es habitual en la fase inicial de muchos ciberataques. Un caso relevante es el ataque BEC sufrido por Children’s Healthcare of Atlanta, que provocó pérdidas de 3,6 millones de dólares.
Los atacantes analizaron comunicados públicos sobre la construcción de un nuevo campus y, a partir de ahí, identificaron a los actores implicados y sus responsables financieros.
Otro ejemplo son las campañas de ciberespionaje atribuidas a grupos como SEABORGIUM o TA453. Según el Centro Nacional de Ciberseguridad del Reino Unido, estos actores estudian perfiles en redes sociales para identificar intereses, contactos y rutinas antes de lanzar ataques altamente personalizados.
En ambos casos, la clave no fue una vulnerabilidad técnica, sino el aprovechamiento de información accesible para cualquiera.
La exposición digital como nuevo vector de riesgo
“Cada vez vemos más ataques que no empiezan explotando una vulnerabilidad técnica, sino explotando el contexto. Los atacantes dedican tiempo a entender cómo funciona una organización y quién toma decisiones dentro de ella, y esa información suele estar disponible públicamente”, señala Josep Albors, director de investigación y concienciación de ESET España.
La exposición digital se ha convertido en un factor crítico dentro de la estrategia de seguridad. No se trata solo de proteger sistemas, sino de controlar qué información se publica y cómo puede ser interpretada por terceros.
En este escenario, los ciberataques evolucionan hacia modelos más silenciosos, donde la fase de reconocimiento puede durar semanas o meses antes de ejecutar la acción final.
Cómo reducir el riesgo sin renunciar a la visibilidad
Las empresas no pueden dejar de comunicar, pero sí pueden hacerlo de forma más estratégica. Limitar la publicación de detalles técnicos o información sensible es una de las primeras medidas recomendadas.
También es clave revisar la configuración de privacidad en redes sociales y establecer políticas claras sobre qué tipo de información pueden compartir los empleados. La formación en ciberseguridad sigue siendo uno de los pilares más efectivos para prevenir ciberataques, especialmente en lo que respecta a ingeniería social.
Además, la implementación de autenticación multifactor reduce significativamente el impacto de un posible robo de credenciales. Según Microsoft, esta medida puede bloquear más del 99% de los accesos no autorizados.
Por último, establecer protocolos de verificación en operaciones críticas, como transferencias bancarias, ayuda a evitar fraudes derivados de suplantaciones de identidad.
