Hoy el phishing ya no se queda solo en la bandeja de entrada. De hecho, más del 30 % de los ataques ocurren fuera del correo electrónico, aprovechando redes sociales, buscadores y aplicaciones de mensajería para engañar a las víctimas.
Y entre todas las plataformas, LinkedIn se ha convertido en el nuevo terreno favorito de los ciberdelincuentes. Desde TecnetOne hemos observado cómo los atacantes están lanzando campañas de spear phishing cada vez más sofisticadas, dirigidas especialmente a ejecutivos y empresas de sectores como finanzas, tecnología y servicios profesionales.
El problema es que este tipo de phishing apenas se detecta ni se documenta. La mayoría de los informes del sector se basan en datos de seguridad del correo electrónico, por lo que los ataques que ocurren fuera de ese entorno suelen pasar desapercibidos.
Quizás pienses: “¿por qué debería importarme si alguien cae en un mensaje falso en LinkedIn?”. Pues importa, y mucho. Aunque la red se use con fines personales, muchos trabajadores acceden desde dispositivos corporativos, y los atacantes lo saben. Su objetivo no es solo la cuenta de LinkedIn, sino acceder a sistemas empresariales como Microsoft Entra o Google Workspace.
Por eso, en TecnetOne consideramos que el phishing en LinkedIn es una de las amenazas más relevantes para las empresas actuales. En este artículo te contamos las 5 razones principales por las que los atacantes están utilizando LinkedIn para lanzar sus campañas de phishing — y qué puedes hacer para protegerte.
1. Elude las defensas tradicionales
Los mensajes directos de LinkedIn se cuelan por una rendija que muchas empresas no han cerrado: no pasan por los filtros de correo. Tus trabajadores pueden recibir mensajes sospechosos en sus portátiles o móviles corporativos, pero los equipos de seguridad no los ven porque las soluciones habituales se centran en la bandeja de entrada.
Para colmo, los kits de phishing modernos usan ofuscación y técnicas de evasión que burlan los análisis automáticos y los proxies web. En la práctica esto deja a las organizaciones dependiendo casi exclusivamente de la formación del usuario y de que alguien dé el aviso — una defensa frágil cuando el atacante está bien preparado.
Y si alguien reporta el ataque en LinkedIn, la cosa se complica: no hay forma fácil de rastrear a cuántos trabajadores llegó el mismo mensaje, ni de retirar en masa ese mensaje como harías en un correo.
Puedes denunciar la cuenta y, con suerte, la plataforma la congela, pero para ese momento el atacante ya puede haber conseguido su objetivo. Bloquear URLs ayuda, sí, pero los dominios maliciosos cambian rápido; es un juego del gato y el ratón que suele jugar a favor del atacante.
2. Barato, simple y fácil de escalar para el atacante
Comparado con montar una campaña por correo (crear dominio, “calentar” reputación, esquivar filtros), operar en LinkedIn puede ser más rápido y barato. Crear perfiles, conectarse con gente y generar apariencia de normalidad es suficiente en muchos casos.
Además, secuestrar cuentas legítimas es algo muy común: gran parte de las credenciales filtradas pertenecen a perfiles de redes sociales, y muchas de esas cuentas no tienen MFA activado. Eso entrega a los atacantes una “fachada” real que explota la confianza de la red de contactos.
Si sumas eso a herramientas que automatizan mensajes (o incluso a mensajes generados por IA) tienes una fórmula para escalar ataques con bajo coste y alto impacto.
Conoce más sobre: ¿Por qué siguen funcionando los ataques de phishing en 2025?
3. Acceso directo a objetivos de alto valor
LinkedIn es prácticamente una base de datos pública de cargos y responsabilidades: con unos clics puedes mapear quién tiene acceso a finanzas, a TI o a infraestructuras críticas dentro de una empresa. Para un atacante eso es oro: permite diseñar spear phishing extremadamente dirigidos y con contexto real.
No hay filtros robustos que controlen quién puede contactar a quién ni asistentes que verifiquen la autenticidad del mensaje. Por eso LinkedIn es ideal para localizar a la persona exacta que, si cae, abriría la puerta a cuentas empresariales (Microsoft Entra, Google Workspace, etc.). En pocas palabras: es el camino más directo para atacar a usuarios con privilegios y lanzar campañas exitosas de spear phishing.
4. Los usuarios tienden a bajar la guardia
En LinkedIn la interacción con desconocidos forma parte del juego: esperar y aceptar conexiones, recibir mensajes de reclutadores o colegas del sector es lo normal. Por eso es mucho más probable que un ejecutivo abra y responda un mensaje directo en LinkedIn que un correo “frío” que acabe en su bandeja de spam.
Si además el atacante usa una cuenta secuestrada (o se hace pasar por alguien conocido), la tasa de respuesta se dispara. Es lo mismo que si te llegara un correo desde la cuenta real de un proveedor o compañero: la confianza hace el resto. De hecho, varios incidentes recientes empezaron exactamente así — una cuenta comprometida dentro de la propia organización fue usada para lanzar ataques dirigidos a ejecutivos.
Y cuando el mensaje lleva el pretexto perfecto (“aprobación urgente”, “revisa este documento ahora”) la presión por responder rápido juega a favor del atacante. En resumen: en LinkedIn las señales sociales reducen la sospecha y aumentan la probabilidad de que la trampa funcione.
Página de destino de una estafa de oportunidad de inversión dirigida a ejecutivos de empresas tecnológicas.
5. Las recompensas para el atacante pueden ser gigantes
Que el ataque llegue por una app “personal” como LinkedIn no lo hace menos peligroso: en realidad puede ser la puerta de entrada a toda la infraestructura corporativa. Muchos ataques de phishing buscan una cosa concreta: entrar a plataformas en la nube (Microsoft 365, Google Workspace) o a proveedores de identidad (Okta, etc.). Una vez dentro, el atacante puede aprovechar SSO y credenciales para moverse lateralmente y acceder a cualquier servicio conectado.
Eso significa que comprometer una sola cuenta puede dar acceso a correos, documentos, backups, sistemas internos y todo tipo de datos críticos. Desde ahí es mucho más sencillo lanzar ataques internos (por ejemplo, mensajes en Slack o Teams), usar técnicas como SAMLjacking o incluso pivotar hacia cuentas con más privilegios.
Si el objetivo es un ejecutivo (spear-phishing bien dirigido) la recompensa puede ser enorme: lo que comienza como acceso a una cuenta puede terminar en una brecha de millones de dólares.
Incluso cuando el atacante solo compromete el dispositivo personal de un colaborador, el daño puede llegar a la empresa. Casos como el de Okta en 2023 mostraron cómo sesiones y credenciales guardadas en navegadores o dispositivos personales pueden sincronizarse y dar acceso a cuentas corporativas y a clientes.
Y ojo: esto no es un problema exclusivo de LinkedIn. El trabajo moderno usa cientos de aplicaciones SaaS y canales de comunicación (mensajería, SMS, redes sociales, anuncios maliciosos), muchos con configuraciones de seguridad dispares. Eso multiplica los puntos de entrada y complica la contención.
El phishing se ejecuta ahora por diversos canales y apunta a múltiples aplicaciones en la nube y servicios SaaS.
Detén el phishing justo donde ocurre: en el navegador
El phishing ya no vive solo en el correo electrónico, y tu estrategia de seguridad tampoco debería hacerlo. Los ataques actuales se mueven entre redes sociales, apps de mensajería, anuncios e incluso servicios SaaS, aprovechando cada rincón del entorno digital.
En TecnetOne, ayudamos a las empresas a detener el phishing directamente donde ocurre: en el navegador. Es ahí donde los usuarios realmente interactúan con sitios web, formularios y mensajes sospechosos, y donde se pueden identificar señales claras de comportamiento malicioso en tiempo real.
Nuestro enfoque va más allá de los filtros de correo o los bloqueos por listas negras. Utilizamos herramientas avanzadas de monitoreo y análisis en tiempo real, que permite examinar el comportamiento del usuario directamente en el navegador. Analizamos lo que el usuario ve y hace mientras navega (el código de la página, su comportamiento y los patrones de interacción) para detener el ataque justo en el momento en que intenta ejecutarse.
Además del phishing clásico, esta protección también bloquea:
-
Phishing AiTM (Adversary in The Middle), donde los atacantes interceptan sesiones activas.
-
Relleno de credenciales y extensiones maliciosas que intentan robar contraseñas.
-
Concesiones OAuth falsas o secuestros de sesión que buscan acceder a cuentas empresariales.
En TecnetOne también te ayudamos a identificar vulnerabilidades antes de que sean un problema, como inicios de sesión no controlados, brechas de SSO, contraseñas débiles o la falta de MFA en cuentas críticas.
Incluso podemos detectar cuando un trabajador inicia sesión en cuentas personales desde su navegador corporativo — un paso clave para evitar fugas de datos como las que han afectado a grandes compañías en los últimos años.
En resumen, la nueva frontera de la ciberseguridad está en el navegador, y en TecnetOne te ayudamos a proteger ese punto crítico antes de que un clic se convierta en una brecha.
