Barracuda full logo

Suplantación de identidad en redes sociales: Tácticas de ataque y estrategias de mitigación

Temas:
26 feb 2025
|
Nihad Hassan

Las estafas existían mucho antes de internet. Los delincuentes utilizaban llamadas telefónicas y técnicas en persona para robar información de tarjetas de crédito u otra información sensible con fines económicos. Sin embargo, tras la transformación digital generalizada y la creciente dependencia de la tecnología de internet para realizar negocios, especialmente la banca en línea y el comercio electrónico, los estafadores han cambiado su enfoque hacia el aprovechamiento del medio digital como su principal vector de ataque.

Los ataques basados en correo electrónico suelen venir a la mente cuando se habla de phishing. Sin embargo, la proliferación de plataformas de redes sociales en los últimos años — con estadísticas que muestran que el 63.9% de la población mundial interactúa con plataformas de redes sociales — ha motivado a los ciberdelincuentes a ejecutar ataques de phishing a través de sitios web de redes sociales. Esta evolución ha creado un nuevo subtipo de ataques de phishing: el phishing en redes sociales.

¿Qué es el phishing en redes sociales?

El phishing en redes sociales es una forma especializada de ataque de phishing que explota plataformas de redes sociales como Facebook, Instagram, X, LinkedIn y sitios web similares. Estos ataques suelen ocurrir a través de funciones de mensajería como Facebook Messenger o Mensajes Directos de Instagram, o mediante enlaces de phishing compartidos en publicaciones y comentarios públicos. Los atacantes buscan robar información sensible de los usuarios, como información bancaria o de tarjetas de crédito, o acceder a sus cuentas de redes sociales (por ejemplo, a través de páginas de phishing que se asemejan a la página de inicio de sesión genuina de las redes sociales).

El phishing en redes sociales se ha convertido en una preocupación creciente en todo el mundo debido a la enorme base de usuarios en las plataformas sociales. Este artículo discutirá las diferentes técnicas de phishing en redes sociales utilizadas por los hackers y sugerirá contramedidas para detener este tipo de ataque. Sin embargo, antes de comenzar, hablemos brevemente de las fases de los ataques de phishing en redes sociales.

Un ataque de phishing en redes sociales típico se desarrolla en tres fases:

  1. Reconocimiento – Recopilación de información sobre el objetivo mediante técnicas de inteligencia de fuentes abiertas (OSINT), ingeniería social, o utilizando herramientas de escaneo automatizado. Esta fase implica mapear las conexiones, intereses y patrones de comportamiento del objetivo para diseñar ataques personalizados.
  2. Crear el cebo: desarrollar señuelos convincentes, como mensajes urgentes, ofertas promocionales o interacciones de perfil que convencen a los usuarios de hacer clic en enlaces de phishing o descargar software malicioso para infectar su dispositivo informático.
  3. Ejecución – Manipular a los usuarios para realizar acciones específicas, como ingresar sus credenciales de cuenta en páginas de inicio de sesión fraudulentas, instalar malware disfrazado de aplicaciones legítimas o conceder permisos de cuenta a aplicaciones maliciosas.

Técnicas de ataque de phishing en redes sociales

Existen diferentes técnicas para ejecutar phishing en redes sociales. Aquí están las más destacadas:

Solicitudes de amistad falsas

Las solicitudes de amistad falsas son una táctica común que los ciberdelincuentes utilizan para acceder a la información personal de los usuarios objetivo, propagar malware o cometer estafas. Estas solicitudes a menudo se originan en perfiles legítimos, pero son fabricadas o creadas utilizando la tecnología de IA de deepfake para ganar rápidamente la confianza del usuario objetivo. Un perfil fabricado típico puede presentar cualquiera de los siguientes temas:

  • Hacerse pasar por figuras de autoridad, como agentes de la ley que solicitan cooperación para resolver un caso urgente o ejecutivos de tu empresa que necesitan ayuda durante tus vacaciones por un asunto de negocios urgente
  • Hacerse pasar por celebridades conocidas, como modelos, blogueros de viajes o profesionales en industrias glamorosas como fotógrafos de renombre
  • Suplantación de perfiles de otras personas. Por ejemplo, un hacker puede robar fotos personales de alguien junto con sus imágenes publicadas en varias plataformas de redes sociales para crear un perfil detallado usando su nombre e intentar comunicarse con el objetivo utilizando esta personalidad altamente fabricada.
  • Explotar eventos actuales, como durante crisis políticas o desastres naturales, haciéndose pasar por periodistas, trabajadores humanitarios o coordinadores de respuesta a crisis que buscan asistencia o información urgente.
  • Crear intereses románticos ficticios que compartan intereses, experiencias y detalles de fondo similares con el objetivo

Es importante tener en cuenta que los hackers a menudo adaptan sus perfiles falsificados de redes sociales para alinearse con los valores o creencias de la comunidad objetivo. Por ejemplo, al hacerse pasar por alguien en LinkedIn, pueden presentarse como asesores financieros cuando intentan dirigirse a alguien en la industria bancaria. Estos perfiles frecuentemente muestran pruebas sociales sofisticadas, incluyendo respaldos, recomendaciones e historiales de actividad fabricados específicamente para establecer credibilidad.

Mensajes directos

Los ataques de phishing en redes sociales generalmente explotan los mensajes directos (DM) de las plataformas de redes sociales para engañar a los usuarios y hacer que revelen información sensible o descarguen programas maliciosos. Un DM malicioso puede usar cualquiera de los siguientes temas:

  • Solicitudes de autenticación urgentes: El remitente a menudo se hace pasar por uno de los amigos del objetivo u otro contacto de confianza. Por ejemplo, un usuario puede recibir un mensaje que afirma ser de su amigo que necesita ayuda para acceder a su cuenta bloqueada y solicitar un código de verificación enviado al número de teléfono del objetivo. El atacante puede haber clonado la cuenta o haberla comprometido y usar la urgencia para presionar al objetivo para que proporcione su código de verificación de autenticación en dos pasos (2FA).
  • Alertas de seguridad de la plataforma: Mensajes que pretenden originarse del equipo de soporte de la plataforma de redes sociales, notificando al usuario sobre problemas de seguridad de la cuenta que requieren acción inmediata. Ejemplos incluyen: "Tu cuenta ha sido marcada por actividad sospechosa. Haz clic aquí para asegurarla ahora" o "Tu cuenta será eliminada permanentemente en 24 horas a menos que verifiques tu identidad aquí." Los enlaces incrustados dentro de estos mensajes dirigen a los usuarios a páginas de inicio de sesión de phishing diseñadas para robar sus credenciales de cuenta o les incitan a instalar un malware que roba información.
  • Notificaciones de premios: Mensajes que prometen recompensas, ofertas exclusivas por tiempo limitado o premios para convencer a los usuarios de hacer clic en enlaces maliciosos. Ejemplos incluyen: "¡Has ganado una tarjeta de regalo de $300! Haz clic aquí para reclamar tu premio" o "Acceso VIP exclusivo concedido — reclama tu membresía premium ahora." Estas ofertas suelen llevar al usuario a páginas de robo de credenciales o sitios web de distribución de malware.

Publicaciones o comentarios de phishing

Las publicaciones o comentarios de phishing son otro tipo de phishing en redes sociales. Estos parecen legítimos a primera vista y utilizan diversas tácticas para convencer a los usuarios de hacer clic en los enlaces incrustados, tales como:

  • Trampas de contenido atractivo: Los ciberdelincuentes crean contenido convincente diseñado para atraer la interacción de los usuarios. Por ejemplo, una publicación podría afirmar: "¡Mira este vídeo divertido de un gato intentando bailar!" con una URL acortada que oculta su destino real. Al hacer clic, los usuarios son llevados a una página de inicio de sesión fraudulenta (imitando plataformas como YouTube) que les pide ingresar sus credenciales de cuenta o que promueve la instalación de malware disfrazado de reproductor de vídeo. Ambos métodos tienen como objetivo robar las credenciales de la cuenta del usuario o instalar malware que recolecta datos.
  • Titulares sensacionales: Publicaciones con contenido dramático o exclusivo diseñado para explotar la curiosidad del usuario. Los ejemplos incluyen supuestos escándalos de celebridades ("¡Celebridad X atrapada en escándalo impactante — imágenes exclusivas!") o afirmaciones de noticias de última hora ("¡No creerás lo que pasó hoy en la ciudad de Nueva York!"). Estos titulares pasan por alto la conciencia de seguridad normal de los usuarios al provocar respuestas emocionales inmediatas.
  • Cuentas empresariales comprometidas: Los atacantes secuestran cuentas legítimas de redes sociales empresariales para explotar relaciones de confianza establecidas con los seguidores. Por ejemplo, la página de Facebook de un minorista de deportes comprometido podría anunciar un sorteo de zapatos gratuito, requiriendo solo el pago del envío. El proceso de pago dirige a los usuarios a páginas de pago fraudulentas diseñadas para robar su información de tarjeta de crédito. Estos ataques son particularmente efectivos porque aprovechan la reputación existente de la empresa y sus seguidores.

Ofertas de trabajo falsas

Los estafadores utilizan ofertas de trabajo falsas para explotar a los solicitantes de empleo, con el objetivo de robar dinero e información personal de las víctimas o instalar malware en sus dispositivos informáticos para llevar a cabo otras acciones maliciosas. Aquí están las tácticas más comunes de ofertas de trabajo falsas:

  • Mensajes de reclutamiento fraudulentos: Los estafadores envían mensajes utilizando el correo electrónico o las funciones de mensajería directa de las plataformas de redes sociales, particularmente LinkedIn, para dirigirse a posibles víctimas. Afirman representar a empresas legítimas mientras ofrecen oportunidades laborales poco realistas. Por ejemplo, un usuario podría recibir un mensaje que diga: "¡Hola! Hemos visto tu perfil y estamos impresionados con tu experiencia. Queremos ofrecerte un puesto remoto con un salario mensual de $5,000. ¡No se requiere experiencia!" A diferencia de estas estafas, los reclutadores legítimos proporcionan descripciones detalladas del trabajo, información de la empresa, direcciones de correo electrónico corporativas verificables y números de contacto oficiales de negocios.
  • Ofertas de alto salario: Los estafadores explotan las aspiraciones financieras de los buscadores de empleo al anunciar paquetes de compensación poco realistas. Ejemplos incluyen "Gana $5,000 por semana trabajando desde la comodidad de tu hogar, ¡solo 1 hora al día!" o "¡Empieza a ganar $10,000 mensuales sin experiencia requerida!" Estas ofertas crean urgencia y emoción, haciendo que las víctimas pasen por alto las señales de alerta.
  • Recolección de información personal: Los estafadores solicitan datos sensibles a través de formularios de phishing sofisticados o comunicación directa. Pueden exigir "Documentación requerida para la configuración de nómina," incluyendo números de Seguridad Social, licencias de conducir, copias de pasaportes o detalles bancarios. Algunos esquemas implican tarifas iniciales disfrazadas como costos de registro, verificaciones de antecedentes o materiales de capacitación, que generalmente varían entre $50 y $200.
  • Estafas de verificación: Una nueva táctica implica pedir a los objetivos que verifiquen su identidad a través de aplicaciones o sitios web específicos. Estas plataformas a menudo contienen malware o están diseñadas para robar credenciales de autenticación de otras cuentas, como Google o Facebook. Los estafadores podrían decir: "Descarga nuestra aplicación de verificación segura para completar tu solicitud" o "Haz clic en este enlace para verificar tu elegibilidad laboral."

Estrategias de defensa

Para protegerse contra ataques de phishing en redes sociales, los usuarios deben implementar las siguientes medidas de protección:

  • Refuerza la seguridad de la cuenta: Usa 2FA en todas las cuentas de redes sociales y utiliza contraseñas únicas y complejas para cada cuenta. Puedes usar un gestor de contraseñas para generar credenciales de cuentas en línea. Recuerda no compartir los códigos de verificación con nadie, independientemente de su identidad declarada.
  • Verificación de conexión: Antes de aceptar solicitudes de amistad en plataformas de redes sociales, verifica la legitimidad de la cuenta comprobando las conexiones mutuas, el número de amigos, la fecha de creación del perfil (las cuentas recién creadas son una gran señal de advertencia) y los patrones de actividad reciente (las cuentas con poca actividad son sospechosas).
  • Seguridad de enlaces: Nunca hagas clic en URLs acortadas en publicaciones o mensajes de redes sociales. Pasa el cursor sobre los enlaces para previsualizar su destino real. Puedes usar un servicio de terceros para revelar los destinos reales de las URLs, como: CheckShortURL.
  • Autenticación de mensajes: Verifica los mensajes inesperados de amigos a través de canales de comunicación alternativos, como el correo electrónico o el teléfono, especialmente si solicitan acciones urgentes o información sensible.
  • Comunicación empresarial: Para comunicaciones relacionadas con el trabajo, comunique solo a través de direcciones de correo electrónico oficiales de la empresa y plataformas comerciales verificadas. Nunca pague tarifas por adelantado para oportunidades de trabajo ni comparta información personal sensible a través de mensajes en redes sociales.

A medida que las plataformas de redes sociales continúan dominando la comunicación en línea, los ciberdelincuentes están explotando cada vez más estos canales para ataques de phishing sofisticados. Comprender estos patrones de ataque y mantener una conciencia constante es crucial para protegerse contra las amenazas de phishing en redes sociales.

Suscríbase al blog de Barracuda
Nihad Hassan

Nihad Hassan es un autor técnico experimentado que ha publicado seis libros en el campo de la ciberseguridad. Sus áreas de especialización incluyen una amplia gama de temas relacionados con la ciberseguridad, como OSINT, inteligencia de amenazas, forense digital, ocultación de datos, privacidad digital, seguridad de redes, ingeniería social, ransomware, pruebas de penetración, seguridad de la información, cumplimiento y seguridad de datos.

Publicaciones relacionadas:
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Principales actores de amenazas de agosto: ransomware, espionaje y ladrones de información
Principales actores de amenazas de agosto: ransomware, espionaje y ladrones de información
 Resumen de malware: phishing astuto, BYOVD y RATs de Android
Resumen de malware: phishing astuto, BYOVD y RATs de Android
 Una encuesta revela un descenso mundial en los costes de las brechas de datos
Una encuesta revela un descenso mundial en los costes de las brechas de datos
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.