Entre las redes sociales, LinkedIn tiene una posición bastante única. La plataforma está diseñada para la comunicación entre profesionales, lo que implica automáticamente el contacto con nuevas personas, una transparencia casi total de la información del usuario y un grado bastante alto de confianza en los desconocidos.
La desventaja de esto es la relativa facilidad de crear perfiles falsos plausibles. Por ejemplo, en el otoño de 2022, el experto en seguridad Brian Krebs descubrió un montón de cuentas falsas de LinkedIn que supuestamente pertenecían a los directores de seguridad de la información de varias empresas internacionales importantes. Además de varios miles de cuentas falsas que mencionan una empresa real como empleador.
Los motivos de los estafadores varían. Pero una cosa que tienen en común es que les importa un bledo la marca de RRHH o la reputación de las empresas donde supuestamente trabajan. Ante esto, surgen dos preguntas: ¿es posible deshacerse de las falsificaciones de LinkedIn? ¿Cómo puedes proteger la marca de tu empresa?
Cómo lucha LinkedIn contra los perfiles falsos
El problema de los perfiles falsos en LinkedIn no es nada nuevo. Cada seis meses, la red social informa , entre otras cosas, de cuántas cuentas falsas ha bloqueado. Las cifras exactas varían de un año a otro, pero estamos hablando de decenas de millones de perfiles en cada período del informe. Por ejemplo, desde principios de 2019 hasta mediados de 2022, la red social bloqueó casi 140 millones de cuentas falsas.
La mayoría de los perfiles falsos de LinkedIn (el 95,4 % de ellos en el primer semestre de 2022) se bloquean automáticamente. La mayoría de las veces, las falsificaciones se eliminan mientras aún se encuentran en la etapa de registro: según el período, del 70 al 90 % de las cuentas bloqueadas se eliminan en el momento del despegue. Los perfiles falsos bloqueados debido a la queja de un usuario representan menos del uno por ciento. Tampoco hay muchas en términos absolutos: por ejemplo, solo se bloquearon 190.000 falsificaciones porque después de las quejas en el primer semestre de 2022.
LinkedIn no especifica exactamente cómo identifica los perfiles sospechosos, pero da algunos detalles sobre lo que llama la atención. Una señal de alerta es el envío excesivo de mensajes. Otra es una discrepancia geográfica, cuando la “Ubicación” en el perfil muestra una región, pero la cuenta se registró en una completamente diferente. Además, una página se puede marcar como sospechosa si tiene algunos patrones comunes con otras falsificaciones que ya se han detectado y bloqueado.
A finales del año pasado, LinkedIn introdujo varias innovaciones configuradas para combatir las falsificaciones:
- La red social ahora verifica las fotos de perfil para ver si son generadas por IA.
- Los mensajes sospechosos ahora llevan advertencias.
- Otra característica nueva es la pestaña “Acerca de este perfil”. Muestra la fecha aproximada del registro de la cuenta y otra información para ayudar a los usuarios a decidir si es fiable.
¿Funciona?
Pero, ¿están teniendo éxito las medidas de LinkedIn para luchar contra los perfiles falsos? Para averiguarlo, la revista Wired realizó un pequeño experimento . Primero, los periodistas crearon dos perfiles completamente falsos llenos de textos y fotos generados por IA. Al día siguiente, LinkedIn pidió a ambos usuarios que confirmaran su identidad y finalmente bloqueó las cuentas.
A continuación, los periodistas probaron un enfoque diferente: crearon una copia completa del perfil de uno de los editores de Wired; con una sola diferencia: la foto de perfil fue reemplazada (con otra imagen real). Además, la única información de contacto que proporcionaron fue una dirección de correo electrónico registrada en Proton Mail (un servicio de correo web cifrado popular entre las personas que valoran el anonimato). Esta cuenta falsa existió en LinkedIn durante dos meses enteros, recibiendo y enviando mensajes, haciendo nuevos contactos y promocionando contenido de Wired, antes de que los propios periodistas la borraran.
¿Cuál es el resultado? Este experimento sugiere que LinkedIn es bastante bueno para lidiar con falsificaciones simples. Pero cualquiera que se tome un poco de tiempo y se preocupe por crear una falsificación más convincente, utilizando información real sobre una persona real, bien podría pasar desapercibido a los guardianes de LinkedIn.
Cómo eliminar las falsificaciones de la página de LinkedIn de tu empresa
Es posible que ya haya alguien usando el nombre de tu empresa, y la información de tus colegas reales, para sus propios propósitos. Por lo tanto, sería aconsejable eliminar los perfiles falsos de la lista de empleados de tu empresa. Comienza midiendo la magnitud del problema: simplemente compara la cantidad de perfiles de LinkedIn que mencionan a tu empresa como su empleador actual con la cantidad real de empleados.
Además, haz una evaluación geográfica: consulta cuántos de tus empleados figuran en ciertas regiones según LinkedIn y compáralo con la realidad. Esto debería ayudar a localizar el problema, ya que es muy probable que los perfiles falsos indiquen una región determinada donde los estafadores buscan víctimas. Por lo tanto, las cuentas falsas que dan a tu empresa como su lugar de trabajo probablemente no se distribuyan de manera uniforme en todo el mundo (lo más probable es que se concentren en una o varias regiones).
Dependiendo del resultado de estas comprobaciones y también del tamaño general de tu empresa, los siguientes pasos pueden variar. Si hay relativamente pocas falsificaciones y has logrado localizarlas geográficamente, será bastante fácil identificar la mayoría de ellas e informarlas al soporte de LinkedIn.
Si el problema es de mayor escala, tendría sentido iniciar la limpieza de arriba hacia abajo, priorizando los perfiles falsos que suplantan a los empleados de nivel superior. La forma más sencilla sería tomar una lista de altos directivos y buscar sus perfiles de LinkedIn por nombre. Si se encuentran duplicados, lo más probable es que la página real se distinga de una falsa por la fecha de registro. Presta también atención a las discrepancias geográficas, así como a las imágenes de perfil extrañas.
La propia plataforma puede resolver el problema al menos con las falsificaciones de alto nivel verificando las cuentas de figuras públicas y ejecutivos de empresas, por ejemplo, utilizando las conocidas insignias azules. Pero, desafortunadamente, LinkedIn no anunció planes para introducir dicho método hasta abril de 2023. Para empezar, la verificación solo estará disponible en modo de prueba para algunas grandes empresas estadounidenses. No se puede saber cuándo podrán confirmar otras organizaciones que los usuarios de la red son en realidad sus empleados.
El lado oscuro de la luna: falsos empleados de otras empresas
El problema tiene otra cara: los estafadores pueden atacar a tus empleados utilizando perfiles falsos de LinkedIn de personas que supuestamente trabajan para otra organización. No hace falta buscar muy lejos para ver un ejemplo de a dónde podría llevar esto: el año pasado, este tipo de ataque se llevó a cabo contra Sky Mavis, el desarrollador del juego para ganar dinero Axie Infinity .
Los atacantes contactaron con uno de los empleados de la empresa a través de LinkedIn, supuestamente con una oferta de trabajo. A continuación, enviaron al empleado un PDF infectado con el que pudieron acceder a la red de la empresa y robar las claves utilizadas para la validación de las transacciones. Con estas claves, limpiaron las cuentas de criptomoneda de la empresa. Las pérdidas ascendieron a más de 500 millones de dólares estadounidenses, lo que le valió a este incidente el título honorífico de uno de los mayores robos de criptomonedas de la historia.
Defenderse contra este tipo de ataques puede no ser complicado. Pero concienciar a tus empleados sobre la seguridad de la información puede marcar una gran diferencia. Y la mejor manera de hacerlo es mediante una formación periódica en ciberseguridad. La solución ideal para esto es la plataforma Kaspersky Automated Security Awareness.