Español | English
rss facebook linkedin Twitter

¿ Qué puede hacer LinkedIn por ti ?

A día de hoy es habitual leer acerca de Phishing, Spear Phishing, Spam, Web 2.0 y mezclas de varios de ellos para llegar a usuarios finales, los cuales suelen ser el punto más débil desde el punto de vista de la seguridad.

También es ya habitual ver cómo las redes sociales son el punto de partida para muchos tipos de ataques, o por lo menos un punto por el que la información suele pasar, ya sea como punto de partida, o de recepción de la información.

Por lo que intentemos reproducir uno de estos escenarios que a día de hoy se está utilizando, para intentar ver en la medida de lo posible el grado de concienciación que vamos a encontrar y qué resultados podría obtener un potencial atacante.

¿ Definición del punto inicial de ataque ?

Para empezar podríamos crear un perfil falso en LinkedIn, con un aspecto generalista, pero mínimamente enfocado a un tipo concreto de objetivos. Es importante escoger bien al inicio la imagen, el idioma, el último trabajo, los certificados o estudios y las habilidades. Estos puntos básicos harán que los primeros contactos que solicitemos ignoren la solicitud o no. Posteriormente los perfiles de los contactos que se vayan teniendo acabarán por dar credibilidad en mayor o menor medida a nuestro propio perfil.

Aunque la API de linkedin ofrece ciertas posibilidades para automatizar la solicitud de contactos, tiene sus limitaciones para evitar su abuso, por lo que aunque enviar invitaciones manualmente sea más costoso, permite controlar mejor los objetivos a los que se les envía inicialmente las invitaciones.

Podemos centrarnos en dos perfiles básicos, uno para ampliar los posibles objetivos alcanzables (contactos de 2nd nivel, Recruiters o perfiles de RRHH), y otro con objetivos concretos, ya sea por sector (Defensa/Tecnología), empresa (Partners gubernamentales), o persona individual (Militar/CEO/Manager), por acotar en cierta medida a modo de ejemplo un tipo de objetivo como podría ser cualquier otro.

Datos numéricos de aceptación.

Vamos a partir de un total de 114 invitaciones enviadas en todos los casos diciendo ser “amigos” de los destinos de las invitaciones, donde en el 100% de los casos es falso.




Antes de empezar a analizar como se podría llegar hasta este tipo de perfiles, veamos como están distribuidos.



Posibles vías de contacto masivo para envío de contenido malicioso.



A la hora de definir como vamos a ponernos en contacto con las victimas potenciales disponemos de varias alternativas que pueden hacer el mensaje más o menos creíble:
  • Mensajería interna de LinkedIn



  • Funcionalidad de compartir información de forma interna con nuestros contactos (o de modo global).


  • Exportar la lista de contactos, extraer los correos electrónicos y utilizar cualquier framework de Ingeniería Social para realizar una campaña de Spear Phishing tradicional.

En este punto lo importante mas que el medio, es la credibilidad de lo que se ofrezca (material o inmaterial), así como la credibilidad visual del mensaje.

Evidentemente el grado de éxito no solo dependerá de nuestro trabajo, también de la predisposición de las victimas potenciales a aceptar lo que se le envie, aunque no hemos de infravalorar a los usuarios finales, la experiencia nos dice que actualmente es el eslabón más débil en una infraestructura tecnológica.

Conociendo que en todo el ciclo de vida de un perfil de LinkedIn el número máximo de invitaciones que se pueden enviar está establecido en 3.000 y no garantizan que tras previa solicitud este número de forma individual lo vayan a aumentar (y tras analizar el uso que se le daría en este caso, menos), realizar un total de 3000 invitaciones parece un rango suficiente para poder llevar a cabo un ataque bastante amplio.

Curiosidades del proceso.

Solo un usuario de 114 contactados solicitó información previa, antes de aceptar (en este caso de ignorar) la invitación inicial, lo cual es la opción correcta.

Una vez alcanzado el medio centenar de contactos, dejó de ser necesario enviar invitaciones, el simple hecho de visitar perfiles hacía de reclamo para que visitaran nuestro perfil y así generar de forma indirecta que se nos solicitara ser uno de sus contactos.

Superado el centenar de contactos, se reciben ofertas de trabajo en empresas de reputación contrastada.



Eugenio Delfa
Advanced CyberSecurity Services S21sec





(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login