¿Peligros en Linkedin?

Quien tenga presencia en Linkedin sabrá que a veces se reciben ofertas de trabajo con muchos beneficios y buena remuneración mediante un mensaje en la plataforma o por una invitación para conectar. En general, Linkedin es utilizada mayormente por personas en el ambiente de Tecnología, IT, ciberseguridad, entre otros, aunque muchos otros rubros tienen presencia cada vez más masiva. Esto convierte a la red en una posible puerta de entrada hacia la organización a la que pertenecen las personas. En este post, vamos a tocar dos temas importantes a la hora de recibir una de estas ofertas en la plataforma o aplicar a cualquier posición laboral.

Falsos empleados

Como en toda red social, existen los perfiles falsos, que no son más que personas inexistentes, que simulan pertenecer a una organización en particular, usualmente trabajando para grandes corporaciones, como Meta (Facebook), Google, Netflix, Amazon, etc. Los motivos por los cuales existen estas cuentas son muchos, desde realizar inteligencia de fuentes abiertas (OSINT) hasta ataques más sofisticados como atacantes patrocinados por ciertos países robando curriculums de personas para infiltrarse en organizaciones vinculadas a las criptomonedas.

Si bien, esta problemática es conocida y usualmente es fácil detectar uno de estos perfiles falsos, dada la cantidad de conexiones, su foto de perfil generada por inteligencia artificial y otros factores que hacen dudar al usuario, no todos los atacantes actúan al mismo nivel de sofisticación.

No obstante, Linkedin hace un gran esfuerzo para disminuir la cantidad de cuentas falsas en la plataforma, como mencionan en su informe semestral de transparencia. En su último informe, que consta del último semestre de 2021, la compañía expone la cantidad de intentos de creación de perfiles falsos que se bloquearon, cerca de 12 millones de cuentas falsas bloqueadas al momento de la creación.

A su vez, Linkedin intenta asegurar a los usuarios de la mejor manera posible, utilizando herramientas avanzadas de machine learning, inteligencia artificial y agregando nuevas características a los perfiles como el nuevo apartado “Sobre este perfil”, donde podrás corroborar si el usuario verificó que su email organizacional posea el dominio de la organización a la cual realmente pertenece.

¡Tu perfil me ha dejado impresionado!

Cuántas veces nos han llegado este tipo de mensajes en la plataforma, del equipo de recursos humanos, talento, recruiters, etc. que siempre quedan “impresionados con nuestros perfiles” y ofreciéndonos la posibilidad de crecer dentro de una empresa espectacular con una cultura soñada, y todos los mensajes terminan de la misma forma, pidiendo que postulemos en una plataforma, enviándoles nuestro currículum u organizando una breve llamada para obtener más información respecto a la posición.

Esto no siempre debe significar algo malo o ser catalogado cómo spam, aunque algunas de las propuestas solo llegan a nosotros por una palabra clave en nuestro perfil. Muchas de ellas son ofertas legítimas, de organizaciones existentes y personal en búsqueda real de nuevos recursos..

Aprovechar el momento exacto

Estas ofertas no solo le llegan a empleados con un trabajo actual, sino que también le llegan a personas que se encuentran actualmente sin trabajo y están en la búsqueda activa de uno (incluso de su primer trabajo). Es en este último grupo que los atacantes juegan con un factor clave, las emociones del ser humano. Encontrar un trabajo puede llevar mucho tiempo, ser cansador y agotador, al pasar el tiempo uno puede bajar las defensas y aplicar a cuanta posición abierta haya. Pero, ¿sabemos a quién le estamos enviando nuestro curriculum? ¿Qué información le puede ser útil a un posible atacante?

Si nos ponemos a pensar, nuestro currículum es un resumen de datos importantes en nuestras vidas, con información que puede ser utilizada con fines maliciosos si cae en manos equivocadas. Entre la información que suele estar presente en los curriculums, se encuentra lo siguiente:

● Dirección de correo electrónico. Uno de los datos infaltables en un curriculum vitae. Qué pasaría si lo conoce un atacante. ¿Es el correo que utilizo para ingresar en alguna red social, plataforma, banco? ¿Está asociado a algún servicio? ¿Puedo recibir phishing?

● Número de teléfono. Otro de los datos comunes en los resúmenes. Nuevamente pensemos que podemos estar siendo víctimas de un ataque ¿Ese número telefónico es utilizado como doble factor de autenticación (2FA)? ¿Es posible que me roben ese número?

● Dirección exacta. Si bien es menos común ver la dirección exacta de residencia del aplicante, sigue siendo uno de los datos más comunes. Consideremos que tan necesario es darle la dirección exacta de mi hogar a un tercero. ¿Podemos dar una localización aproximada en su lugar?

● Documento Nacional de Identidad. El porcentaje de currículums con este dato presente es mucho menor en la actualidad que lo que ocurría hace algunos años, pero no es nulo. ¿Es imprescindible este dato para la postulación?

Estos son algunos ejemplos de datos sensibles que se suelen ver expuestos en currículums de aplicantes. ¿Alguno de ellos se encuentra presente en el tuyo? ¿Te hiciste estas preguntas antes de agregarlos?

Conclusiones

Hemos mencionado algunos de los riesgos a los que estamos expuestos todos los días dentro de esta misma red social. Esto no significa que luego de leer este post, ignoremos todas las ofertas laborales que nos llegan a nuestras casillas, pero sí buscamos concientizar y mantener alerta a todos los usuarios, no solo de grandes corporaciones, que pueden ser un objetivo más redituable para los atacantes, sino a cualquiera que utilice la red.

Mientras tanto, Linkedin intenta por todos los medios evitar la creación de perfiles falsos, para que su red no sea utilizada para cometer delitos o producir estafas, pero en última instancia, como en todo otro contexto, somos nosotros los responsables del uso que hacemos de nuestras herramientas.