Cada foto, cada check-in de ubicación, cada dato en tu perfil público de LinkedIn o Instagram es una pieza de información que un atacante puede usar para construir un ataque de ingeniería social creíble. No hace falta hackear nada: basta con mirar lo que ya publicas tú mismo.
Este proceso de recopilar información pública dispersa para construir un perfil de alguien se llama OSINT (Open Source Intelligence), y no requiere ninguna habilidad técnica especial — cualquiera con tiempo puede hacerlo.
Publicas en LinkedIn que empiezas un nuevo trabajo como responsable de compras en una empresa. Tres días después recibes un email "del CEO" (en realidad suplantado) pidiéndote una transferencia urgente a un proveedor, con detalles que suenan creíbles porque el atacante ha investigado tu empresa, tu cargo y tu jefe real en cuestión de minutos. Es la base del fraude del CEO — ver nuestro expediente de Ingeniería Social & OSINT.
¿Qué tipo de información es la más peligrosa si está expuesta?
- ① Tu cargo y empresa actual — base de cualquier fraude del CEO o suplantación corporativa dirigida.
- ② Rutinas y ubicaciones habituales — dónde vives, dónde trabajas, cuándo viajas — información útil para robos físicos y para dar credibilidad a estafas de "he tenido un accidente cerca de X".
- ③ Relaciones familiares visibles — nombres de hijos, pareja, padres — usados en estafas de deepfake de voz familiar (ver nuestro caso real).
- ④ Respuestas de seguridad "obvias" — nombre de mascota, colegio, ciudad natal — visibles a menudo en publicaciones de nostalgia o presentaciones personales.