Una nueva campaña de phishing dirigida a ejecutivos financieros está siendo ejecutada a través de mensajes directos en LinkedIn, la red profesional más utilizada por líderes empresariales. Según los investigadores de Push Security, los atacantes se hacen pasar por representantes de un supuesto fondo de inversión llamado “Common Wealth”, invitando a los usuarios a unirse a su junta ejecutiva, con el fin de robar sus credenciales de Microsoft.
Este ataque representa una evolución preocupante en las tácticas de ingeniería social empleadas por los cibercriminales, que ahora están desplazando sus operaciones fuera del correo electrónico y hacia plataformas profesionales y redes sociales corporativas.
Phishing en LinkedIn: el gancho perfecto para engañar a ejecutivos
De acuerdo con el informe de Push Security, la campaña comenzó con mensajes directos enviados por LinkedIn a perfiles de alto nivel dentro de empresas financieras. En el mensaje, los hackers ofrecen una supuesta invitación para unirse a la Junta Ejecutiva del fondo de inversión Common Wealth, en colaboración con una falsa entidad llamada AMCO – Gestión de Activos.
El mensaje, redactado con un tono formal y convincente, comienza diciendo:
“Me complace extenderle una invitación exclusiva para que se una a la Junta Ejecutiva del fondo de inversión Common Wealth en América del Sur, en asociación con AMCO – nuestra sucursal de Gestión de Activos.”
El objetivo es despertar la curiosidad profesional del destinatario y motivarlo a hacer clic en un enlace malicioso que promete ofrecer más información sobre la supuesta oportunidad de negocio.
Redirecciones múltiples y páginas falsas de Microsoft
Una vez que el usuario hace clic en el enlace, comienza una cadena de redireccionamientos cuidadosamente orquestada. Según Push Security, el primer salto utiliza una redirección abierta de Google, lo que da una apariencia de legitimidad al enlace inicial. A continuación, la víctima es dirigida a un sitio controlado por los atacantes, y finalmente a una página de destino alojada en firebasestorage.googleapis[.]com, un servicio legítimo de Google Firebase, utilizado aquí de forma fraudulenta.
Algunas de las direcciones maliciosas detectadas incluyen:
-
1payrails-canaccord[.]uci
-
1BoardProposalMeet[.]com
-
1sqexclusiveboarddirect[.]uci
En esta fase, el sitio muestra una página que simula ser un portal de “LinkedIn Cloud Share”, supuestamente con documentos sobre las responsabilidades del cargo ejecutivo ofrecido. Sin embargo, al intentar abrir dichos documentos, se solicita al usuario hacer clic en un botón con la leyenda “Ver con Microsoft”, lo que inicia la etapa final del ataque.
Página de suplantación de identidad que captura credenciales
de Microsoft Fuente: Push Security
Phishing avanzado: Cloudflare, CAPTCHA y robo de sesiones
Al presionar el botón, la víctima es redirigida a un dominio controlado por los atacantes (
1 | login.kggpho[.]icu |
), donde se muestra un CAPTCHA de Cloudflare Turnstile. Este elemento se utiliza estratégicamente para bloquear el acceso de escáneres automatizados de seguridad, impidiendo que las plataformas detecten o analicen la página maliciosa.
Después de superar el CAPTCHA, se carga una página de inicio de sesión falsa de Microsoft, visualmente idéntica a la oficial, diseñada para capturar tanto las credenciales como las cookies de sesión del usuario. Esta técnica es conocida como Adversary-in-the-Middle (AITM) y permite a los atacantes interceptar sesiones activas incluso después de que el usuario haya completado una autenticación legítima.
Push Security explicó:
“Los atacantes están utilizando tecnologías comunes de protección contra bots como CAPTCHA y Cloudflare Turnstile para evitar que los sistemas automatizados accedan a sus páginas y así eludir la detección.”
El phishing se traslada fuera del correo electrónico
El director de producto de Push Security, Jacques Louw, advirtió que los ataques de phishing están experimentando una migración significativa hacia plataformas no tradicionales, como LinkedIn, Slack o redes profesionales internas.
“El phishing ya no solo ocurre en el correo electrónico. Durante el último mes, alrededor del 34% de los intentos de phishing ocurrieron a través de servicios como LinkedIn y otros canales fuera del correo electrónico, frente a menos del 10% hace tres meses.”
Este cambio demuestra que los ciberdelincuentes están adaptando sus métodos a los entornos donde los usuarios confían más y donde las alertas de seguridad tradicionales tienen menos presencia.
Segunda campaña en menos de dos meses
Esta no es la primera vez que LinkedIn se convierte en el blanco de este tipo de ataques. Push Security confirmó que es la segunda campaña de phishing observada en apenas seis semanas. La anterior, registrada en septiembre, se dirigió principalmente a ejecutivos de tecnología y directores de innovación (CTOs).
La recurrencia de estas campañas demuestra que LinkedIn se ha consolidado como un canal de ataque preferido para los actores de amenazas que buscan perfiles corporativos de alto nivel, especialmente aquellos con acceso a infraestructuras financieras, cuentas corporativas y sistemas Microsoft 365.
Cómo protegerse del phishing en LinkedIn
Los expertos en ciberseguridad recomiendan seguir una serie de buenas prácticas para evitar ser víctima de este tipo de ataques:
-
Desconfiar de invitaciones inesperadas o mensajes directos que ofrezcan oportunidades laborales o puestos ejecutivos.
-
Verificar la autenticidad del remitente, revisando el perfil, su historial y conexiones.
-
No hacer clic en enlaces acortados o desconocidos, incluso si parecen legítimos o incluyen dominios de servicios populares.
-
Activar la autenticación multifactor (MFA) en todas las cuentas corporativas, especialmente Microsoft 365.
-
Reportar cualquier mensaje sospechoso a los equipos de seguridad interna o al soporte de LinkedIn.
Además, se recomienda tratar con especial cautela los enlaces con TLD poco comunes como
1 | .top |
,
1 | .icu |
,
1 | .xyz |
, entre otros, ya que suelen ser utilizados con fines maliciosos.
El nuevo frente del phishing corporativo
El uso de LinkedIn como vector de ataque marca una nueva fase en la evolución del phishing corporativo. Las plataformas profesionales, tradicionalmente vistas como entornos seguros, se están convirtiendo en zonas de alto riesgo para los ejecutivos y responsables financieros.
La sofisticación técnica de estas campañas —combinando redirecciones legítimas, CAPTCHA, hosting en Firebase y páginas AITM— demuestra que los atacantes están profesionalizando sus operaciones para eludir las defensas automatizadas y explotar la confianza humana.
En un entorno digital donde la reputación y el acceso son activos críticos, la vigilancia constante y la educación en ciberseguridad son las herramientas más efectivas para detener el próximo ataque antes de que ocurra.
Fuente: Bleeping Compute
