Durante esta semana, estafadores están inundando LinkedIn con comentarios fraudulentos que simulan respuestas oficiales de la propia plataforma, advirtiendo a los usuarios sobre supuestas infracciones de políticas y animándolos a visitar enlaces externos maliciosos. La campaña representa una evolución peligrosa del phishing tradicional, ya que aprovecha la confianza que los usuarios depositan en la red profesional más grande del mundo.
Los mensajes imitan de forma convincente la marca, el lenguaje y el diseño visual de LinkedIn. En algunos casos, los atacantes incluso utilizan el acortador oficial de URL de LinkedIn (lnkd.in), lo que hace que distinguir enlaces legítimos de enlaces de phishing sea considerablemente más difícil, especialmente en dispositivos móviles.
“El acceso a tu cuenta está temporalmente restringido”
En los últimos días, numerosos usuarios han reportado actividad similar a bots desde perfiles temáticos o páginas empresariales falsas que comentan directamente en sus publicaciones. Estos comentarios afirman falsamente que el usuario ha realizado “actividades que no cumplen con las políticas de LinkedIn” y que su cuenta ha sido “restringida temporalmente”.
El mensaje suele instar a la víctima a hacer clic en un enlace para revisar el supuesto problema o verificar su identidad, bajo la amenaza implícita de perder el acceso a su cuenta profesional.
El contenido del comentario fraudulento, acompañado del logo de LinkedIn, resulta especialmente creíble dependiendo de cómo se visualicen los comentarios y del dispositivo utilizado. En muchos casos, la respuesta aparece integrada de forma natural en la conversación, aumentando la probabilidad de interacción.
Enlaces engañosos y abuso del acortador lnkd.in
Uno de los aspectos más preocupantes de esta campaña es el uso del acortador oficial de URLs de LinkedIn (lnkd.in) para ocultar los dominios finales de phishing. Esto dificulta que incluso usuarios experimentados detecten la estafa sin hacer clic en el enlace.
Algunos ejemplos analizados muestran dominios alfanuméricos terminados en “.app” o alojados en plataformas legítimas como Netlify, lo que reduce aún más las sospechas iniciales. En otros casos, la vista previa del enlace no se muestra correctamente, especialmente en aplicaciones móviles, eliminando otra capa de advertencia visual.
El mensaje falso incluye textos como:
“Tomamos medidas para proteger tu cuenta cuando detectamos signos de posible acceso no autorizado. Esto puede incluir accesos desde ubicaciones desconocidas o actividad sospechosa…”
Este lenguaje replica casi exactamente las notificaciones reales de seguridad que LinkedIn envía por correo electrónico, lo que refuerza la ilusión de legitimidad.
Cómo funciona la cadena de phishing
Uno de los sitios identificados, very1929412[.]netlify[.]app, presenta inicialmente una página que describe una falsa “restricción temporal” de la cuenta. Desde allí, se solicita al usuario que verifique su identidad para recuperar el acceso.
Al pulsar el botón “Verificar tu identidad”, la víctima es redirigida a otro dominio de phishing, very128918[.]site, donde se produce el verdadero objetivo del ataque: el robo de credenciales de LinkedIn.
Este enfoque en múltiples etapas permite a los atacantes:
-
Evadir filtros automáticos
-
Generar mayor confianza
-
Separar la fase de engaño de la fase de exfiltración de credenciales
Páginas empresariales falsas suplantando a LinkedIn
Los comentarios maliciosos no suelen provenir de cuentas personales, sino de páginas de empresas falsas que utilizan el logo oficial de LinkedIn y variaciones del nombre de la plataforma, como “Linked Very”.
Varios miembros de LinkedIn, entre ellos Ratko Ivekovic, Jocelyn M., Candyce Edelen y Adama Coulibaly, han compartido ejemplos de estas cuentas fraudulentas aparecidas durante la última semana.
Candyce Edelen documentó múltiples páginas “Linked Very” activas simultáneamente, lo que sugiere una operación automatizada y coordinada. Al momento de redactar este artículo, al menos una de estas páginas ya ha sido eliminada por LinkedIn, lo que confirma que la plataforma está actuando contra la campaña.
Una página de la empresa de LinkedIn que se hace pasar por LinkedIn (BleepingComputer)
LinkedIn reconoce el problema
BleepingComputer se puso en contacto con LinkedIn para confirmar si la empresa estaba al tanto de esta actividad maliciosa. Un portavoz de la compañía respondió:
“Puedo confirmar que somos conscientes de esta actividad y que nuestros equipos están trabajando para actuar”.
LinkedIn también fue claro al recalcar un punto crítico para los usuarios:
“LinkedIn no comunica ni comunicará violaciones de políticas a nuestros miembros mediante comentarios públicos”.
La plataforma anima a los usuarios a denunciar cualquier comportamiento sospechoso, lo que permite a los equipos de seguridad investigar y eliminar cuentas abusivas con mayor rapidez.
Un patrón conocido en redes sociales
Este tipo de estafa no es nuevo. En 2023, BleepingComputer informó sobre una campaña similar en X (antes Twitter), donde cuentas falsas que se hacían pasar por bancos importantes respondían públicamente a quejas de clientes, redirigiéndolos a números de teléfono controlados por estafadores.
El patrón es claro: los atacantes explotan los canales públicos de interacción, donde los usuarios esperan respuestas oficiales, para maximizar la visibilidad y credibilidad del engaño.
Recomendaciones de seguridad para usuarios de LinkedIn
Para evitar caer en este tipo de ataques, los expertos recomiendan:
-
No interactuar con comentarios que afirmen ser avisos oficiales de LinkedIn
-
Desconfiar de cualquier mensaje que genere urgencia o miedo
-
No hacer clic en enlaces externos, incluso si usan lnkd.in
-
Acceder siempre a LinkedIn escribiendo la URL manualmente
-
Denunciar comentarios y páginas sospechosas
-
Activar autenticación multifactor (MFA)
Los usuarios deben recordar que LinkedIn nunca notificará infracciones mediante comentarios públicos, y que cualquier comunicación legítima se realiza a través de canales internos o correos electrónicos oficiales claramente identificables.
Fuente: BleepingComputer
