Descubre el Ecosistema IT [Information Technology] y todo sobre Inteligencia Artificial

Home » IT/SECURITY & BIOMETRICS » Oversharing y ciberseguridad: qué está en juego si los empleados comparten demasiado online | IT/USERS
IT/SECURITY & BIOMETRICS

Oversharing y ciberseguridad: qué está en juego si los empleados comparten demasiado online | IT/USERS

by jzm-in-scene-itaw17-300pixJosé Zegarra
by jzm-in-scene-itaw17-300pixJosé Zegarra 5 minutes read
A+A-
Reset

Cómo el oversharing en redes sociales amplifica riesgos de spearphishing, BEC y ataques impulsados por IA

Lima, Perú, 6 de febrero de 2026.— El oversharing —la práctica de compartir información laboral o corporativa en exceso en entornos digitales— se ha convertido en un factor crítico de riesgo para la ciberseguridad empresarial. De acuerdo con ESET, datos publicados por empleados en redes sociales, repositorios de código o incluso en sitios web corporativos pueden ser utilizados por actores maliciosos para diseñar ataques de ingeniería social, spearphishing, Business Email Compromise (BEC) y deepfakes, cada vez más sofisticados y difíciles de detectar.

Oversharing: de la visibilidad corporativa al riesgo operativo

Durante más de una década, la participación de los empleados en redes sociales ha sido promovida como una estrategia para fortalecer el liderazgo intelectual, el marketing y la reputación de marca. Sin embargo, ESET advierte que esta práctica también genera consecuencias no deseadas: cuanta más información se encuentra disponible públicamente, mayores son las oportunidades para que los ciberdelincuentes la conviertan en un vector de ataque.

Una vez expuesta, esta información suele emplearse para crear ataques dirigidos, especialmente spearphishing o BEC, diseñados con alto grado de personalización y credibilidad.

La ingeniería social como punto de partida del ataque

La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es utilizar esa información como arma en un ataque de spearphishing diseñado para engañar al destinatario y que instale sin saberlo malware en su dispositivo. O, potencialmente, para que comparta sus credenciales corporativas para obtener acceso inicial. Esto podría lograrse a través de un correo electrónico, un mensaje de texto o incluso una llamada telefónica. Alternativamente, podrían utilizar la información para suplantar a un ejecutivo de alto nivel o a un proveedor en un correo electrónico, una llamada telefónica o una videollamada en la que soliciten una transferencia bancaria urgente.”, revela Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Según la especialista, estos ataques pueden materializarse mediante correos electrónicos, mensajes de texto, llamadas telefónicas o incluso videollamadas, incluyendo la suplantación de ejecutivos o proveedores para solicitar transferencias bancarias urgentes.

Plataformas donde el oversharing se convierte en OSINT

Las principales plataformas digitales funcionan, en la práctica, como fuentes abiertas de inteligencia (OSINT):

  • LinkedIn: considerada una de las mayores bases de datos abiertas de información corporativa, expone cargos, funciones, relaciones internas y detalles técnicos a través de ofertas laborales.

  • GitHub: además de secretos o credenciales filtradas, puede revelar nombres de proyectos, pipelines CI/CD, stacks tecnológicos y correos corporativos.

  • Instagram y X: utilizadas para compartir viajes, eventos o actividades personales que pueden ser explotadas en ataques dirigidos.

  • Sitios web corporativos: comunicados de prensa, alianzas, proveedores o procesos de fusiones y adquisiciones pueden servir como pretexto para campañas de phishing avanzadas.

Ejemplos hipotéticos de ataques basados en oversharing

Entre los escenarios descritos por ESET se incluyen:

  • Suplantación de proveedores tecnológicos tras identificar roles y responsabilidades en LinkedIn.

  • Correos internos falsificados entre colaboradores tras analizar repositorios en GitHub.

  • Ataques BEC con deepfakes cuando un ejecutivo se encuentra fuera de la oficina, información detectada en redes sociales.

Casos reales: cuando el OSINT cuesta millones

ESET también documenta incidentes reales donde el oversharing jugó un papel clave:

  • Children’s Healthcare of Atlanta (CHOA) sufrió un ataque BEC con pérdidas de 3.6 millones de dólares, presuntamente tras el análisis de comunicados públicos y perfiles ejecutivos vinculados a un proyecto de expansión.

  • Grupos como SEABORGIUM (Rusia) y TA453 (Irán) utilizan OSINT para perfilar objetivos antes de lanzar ataques de spearphishing, según el National Cyber Security Centre del Reino Unido.

Cómo mitigar los riesgos del oversharing

Desde ESET Latinoamérica recomiendan un enfoque integral que combine tecnología, políticas internas y concienciación:

  • Actualizar programas de concienciación en seguridad para empleados.

  • Evitar compartir información sensible vía mensajes directos no solicitados.

  • Capacitar al personal para identificar phishing, BEC y deepfakes.

  • Implementar políticas estrictas de uso de redes sociales, separando cuentas personales y profesionales.

  • Revisar y depurar información expuesta en sitios web y cuentas corporativas.

  • Utilizar autenticación multifactor (MFA) y gestores de contraseñas en todas las plataformas.

  • Supervisar perfiles públicos y realizar ejercicios de equipo rojo para evaluar la preparación interna.

IA, deepfakes y un nuevo escenario de amenaza

La IA está haciendo que sea más rápido y fácil que nunca para los actores maliciosos perfilar a sus objetivos, recopilar OSINT y luego redactar correos electrónicos/mensajes convincentes en un lenguaje natural perfecto. Los deepfakes impulsados por IA aumentan aún más sus opciones. La conclusión debería ser que, si algo es de dominio público, hay que esperar que un ciberdelincuente también lo sepa y que pronto llamará a la puerta.”, cierra Martina Lopez de ESET.

La premisa es clara: si una información es pública, un ciberdelincuente también la conoce.

Nota de Redacción

¿Qué es OSINT y por qué es relevante para la Ciberseguridad?

OSINT es el acrónimo de Open Source Intelligence (Inteligencia de Fuentes Abiertas). Se refiere a la recopilación y análisis de información pública y legalmente accesible —como redes sociales, sitios web corporativos, comunicados de prensa, ofertas laborales o repositorios abiertos— con el fin de obtener conocimiento contextual y operativo.

En el ámbito de la ciberseguridad, el OSINT es utilizado por analistas y equipos defensivos para identificar riesgos y anticipar amenazas. Sin embargo, los mismos métodos pueden ser explotados por actores maliciosos para perfilar organizaciones y empleados, diseñar ataques de ingeniería social, spearphishing o Business Email Compromise (BEC), especialmente cuando existe oversharing de información en entornos digitales.

En esta nota, el término OSINT se emplea para explicar cómo datos aparentemente inocuos, al ser públicos y combinados, pueden convertirse en un vector de riesgo para las organizaciones, más aún en un contexto donde la inteligencia artificial acelera el análisis y la explotación de estas fuentes abiertas.

Tu Opinión Importa 🗣️

¿Crees que las organizaciones están subestimando el impacto del oversharing en su estrategia de ciberseguridad?
Comenta con los hashtags #itusers28aniversario y #superfan.

Apoya al Periodismo Independiente

Ad-apoya-PLIN-itusers-portal

¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457

Apoya a ITUSERS-qrcode

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Puntuación media 5 / 5. Recuento de votos: 1

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

You Might Be Interested In
Spread the love
jzm-in-scene-itaw17-300pix

Director y Fundador de IT/USERS®, 28 años liderando la comunicación tecnológica en el mercado hispano. Consultor especializado en IA Ética y Resiliencia Digital, con más de dos décadas de experiencia en Comunicación Organizacional, Digital Media y plataformas CMS. Apasionado por la convergencia entre la tecnología, la ética corporativa, el cosmocentrismo andino y la singularidad cuántica.

You may also like

Hunter y LoJack renuevan alianza estratégica para reforzar...

Páginas falsas de Spotify se ocultan en dominios...

Un nuevo enfoque multiplica la ciberseguridad en los...

Robo de autos en Lima: cinco formas en...

Por qué LinkedIn es un terreno de caza...

Grubhub confirma brecha de datos ligada a Salesforce...

Día Internacional de la Protección de Datos Personales:...

Cómo ser más proactivos ante las amenazas de...

Estafas comunes a usuarios de Apple Pay y...

Brushing: la estafa detrás de los paquetes que...

Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Este sitio utiliza cookies propias y de terceros para mejorar su experiencia, analizar el tráfico y mostrar anuncios personalizados. This website uses first and third-party cookies to improve your experience, analyze traffic, and display personalized ads. Accept Read More