No hay nada inmediatamente sospechó de la página de LinkedIn de Camille Lons. La foto de perfil de la investigadora de política y seguridad es de ella dando una charla. Su red profesional está formada por casi 400 personas; ella tiene una historia profesional detallada y una biografía. Lons también ha compartido un enlace a una aparición reciente en un podcast, «siempre disfrutando de estas conversaciones», y le ha gustado publicaciones de diplomáticos de todo Oriente Medio.
Entonces, cuando Lons se puso en contacto con la periodista independiente Anahita Saymidinova el otoño pasado, su oferta de trabajo parecía genuina. Intercambiaron mensajes en LinkedIn antes de que Lons pidiera compartir más detalles de un proyecto en el que estaba trabajando por correo electrónico. “Acabo de enviar un correo electrónico a su bandeja de entrada”, escribió.
Lo que Saymidinova no sabía en ese momento era que la persona que le enviaba mensajes no era Lons en absoluto. Saymidinova, que trabaja para Iran International, un medio de comunicación en idioma persa que ha sido acosado y amenazado por funcionarios del gobierno iraní, estaba siendo atacado por un actor respaldado por el estado. La cuenta era un impostor que los investigadores vincularon desde entonces con el grupo de piratería iraní Charming Kitten. (La Camille Lons real es investigadora de política y seguridad, y desde 2014 existe un perfil de LinkedIn con detalles de contacto verificados. La Lons real no respondió a las solicitudes de comentarios de WIRED).
Cuando la cuenta falsa envió un correo electrónico a Saymidinova, un PDF que decía que el Departamento de Estado de EE. UU. había proporcionado $ 500,000 para financiar un proyecto de investigación suscitó sus sospechas. “Cuando vi el presupuesto, era tan poco realista”, dice Saymidinova.
Pero los atacantes fueron persistentes y le pidieron al periodista que se uniera a una llamada de Zoom para discutir más a fondo la propuesta, además de enviar algunos enlaces para revisar. Saymidinova, ahora en alerta máxima, dice que le contó a un miembro del personal de TI de Iran International sobre el enfoque y dejó de responder. “Estaba muy claro que querían hackear mi computadora”, dice ella. Amin Sabeti, el fundador de Certfa Lab, una organización de seguridad que investiga las amenazas de Irán, analizó el comportamiento del perfil falso y la correspondencia con Saymidinova y dice que el incidente imita de cerca otros enfoques en LinkedIn de Charming Kitten.
El incidente de Lons, del que no se ha informado anteriormente, se encuentra en el extremo más turbio del problema de LinkedIn con las cuentas falsas. Grupos sofisticados respaldados por el estado de Irán, Corea del Norte, Rusia y China aprovechan regularmente LinkedIn para conectarse con objetivos en un intento de robar información a través de estafas de phishing o mediante el uso de malware. El episodio destaca la batalla en curso de LinkedIn contra el «comportamiento inauténtico», que incluye todo, desde spam irritante hasta espionaje turbio.
Enlaces perdidos
LinkedIn es una herramienta inmensamente valiosa para la investigación, la creación de redes y la búsqueda de trabajo. Pero la cantidad de información personal que las personas comparten en LinkedIn, desde la ubicación y los idiomas hablados hasta el historial laboral y las conexiones profesionales, lo hace ideal para el espionaje patrocinado por el estado y esquemas de marketing extraños. Las cuentas falsas a menudo se utilizan para vender criptomonedas, engañar a las personas para que realicen esquemas de reenvío y robar identidades.
Sabeti, que analiza los perfiles de Charming Kitten en LinkedIn desde 2019, dice que el grupo tiene una estrategia clara para la plataforma. “Antes de iniciar una conversación, saben con quién se están comunicando, conocen todos los detalles”, dice Sabeti. En un caso, los atacantes llegaron a realizar una llamada de Zoom con alguien a quien apuntaban y usaron imágenes estáticas del científico al que se estaban haciendo pasar.