Archive for junio 2015
Redes Sociales en Internet: amenazas y soluciones
Escribo esto días después de uno de los ataques más perturbadores que virus alguno, hasta ahora, ha esparcido por la red de Facebook.
La naturaleza del ataque da mucho que pensar sobre la motivación del autor y los beneficios que pueda haber obtenido de tan efetivo como molesto ataque.
El miércoles pasado (hoy es Sábado) algunos de mis amigos (los que lo son en el mundo real, claro) comenzaron a publicar en su muro mensajes en los que pedían perdón por haber etiquetado, involuntariamente, a sus contactos en el enlace una película porno o una fotografía de contenido sexual.
Los que hacían clic en el enlace se instalaban un virus que les secuestraba la cuenta de Facebook y comenzaba, a su vez a enviar el mismo mensaje a sus contactos.
Por eso creo que este es el momento adecuado para hacer un resumen de uno de los artículos científicos que mejor y con más detalle enumeran los peligros que en las redes sociales nos acechan a nosotros y, muy especialmente a los niños.
“Online Social Networks: Threats and Solutions” fue publicado en mayo del 2014, por la editorial del IEEE (Instituto de Ingenieros Electricos y Electrónicos) la mayor asociación mundial creada para el avance de la tecnología.
Introducción
Los usuarios de Facebook tienen más de 150.000 millones de conexiones y suben más de 350 millones de fotos cada día. Desafortunadamente muchos usuarios de Redes Sociales en Internet (RSI, para abreviar y para diferenciarlas de las redes sociales tradicionales de las que casi todos formamos parte, como amigos de la infancia, de nuestras parejas, compañeros de trabajo, de estudios, de intereses compartidos, etc.), como iba escribiendo, muchos no conocen los riesgos que existen para la seguridad en ese tipo de comunicaciones, por ejemplo riesgos para la privacidad, robo de identidad, malware, falsos perfiles, social bots (programas informáticos que imitan el comportamiento de personas) y acoso sexual entre otros.
Muchos usuarios de RSI exponen información personal e íntima con gran lujo de detalles sobre sí mismos, sus amigos y personas con las que se relacionan, al publicar fotos o al proveer información como la dirección y el teléfono.
Se ha visto que, con frecuencia, los usuarios de Facebook aceptan invitaciones de amistad de personas que no conocen.
A mí mismo me ha pasado invitar a alguien equivocado porque el nombre era el mismo que el de alguien a quien había conocido en una fiesta. Su aspecto físico era parecido, remotamente como pude comprobar a volver a ver a esa persona (si, había bebido). Sin embargo quién había recibido mi invitación la aceptó y al hacerlo, inadvertidamente, expuso una gran cantidad de información privada a un absoluto desconocido.
Esa información puede ser utilizada maliciosamente con efectos perniciosos para los usuarios tanto en el mundo virtual como en el real. Los riesgos aumentan dramáticamente cuando los usuarios son adolescentes o niños que, de por sí, están más expuestos y son más vulnerables que los adultos.
Las empresas pueden usar la información privada recogida para hacer anuncios a medida del perfil de cada usuario, para comerciar con esa información o incluso compartirla con el gobierno.
Los más jóvenes en internet
El 26% de los niños encuestados en un estudio europeo tenían el perfil de su
red social en “público”, es decir accesible a desconocidos. El 9% declararon haberse encontrado cara a cara con alguien a quién habían conocido a través de la red. El 9% había experimentado abusos con sus datos personales, el 21% había recibido material potencialmente dañino y el 6% había recibido mensajes hirientes (los niños pueden ser muy crueles, sobre todo porque, a menor edad, menos conciencia tienen del daño que un comentario puede llegar a causar en una red social)
Amenazas Clásicas
EL típico malware, spam y phishing siguen siendo un problema, pero ahora se pueden contagiar mucho más rápidamente a otros usuarios de redes sociales, atacando no sólo a un usuario concreto sino a sus contactos. Un ejemplo sería el de usar un mensaje intrigante con un código malicioso que se activa al hacer clic en él (suena mucho al ataque de Facebook del que hablaba, ¿no?) En muchos casos el objetivo de estos ataques es conseguir números de tarjeta de crédito, contraseñas, robar poder de computación, e incluso ancho de banda.
Fraudes por internet
Los timadores han puesto su inteligencia y sus esfuerzos en las RSI para establecer conexiones de confianza y aprovecharse de los datos personales publicados por las víctimas. Un ejemplo es el caso de la cuenta de Facebook secuestrada y, mientras la víctima está de viaje, el timador envía un mensaje de socorro a sus amigos pidiendo que le envíen dinero rápidamente porque se encuentra en un apuro y no puede volver a casa.
Amenazas modernas
Secuestro de click
Técnica maliciosa basada en engañar a los usuarios para que hagan clic en algo a lo que no pretendían, manipulando al usuario a poner mensajes de spam en su muro de Facebook o a darle “me gusta” a enlaces sin saberlo e incluso abrir el micrófono o la webcam.
Reconocimiento facial
Las fotos que subimos a las redes sociales pueden ser usadas para hacer una base de datos biométrica con la que identificar a los usuarios de RSI sin su consentimiento.
Perfiles falsos
Perfiles de comportamiento programado que imitan el comportamiento humano en las RSI. En muchos casos se usan para “recolectar usuarios”
Ataques por clonación de identidad
Mediante esta técnica el atacante duplica la presencia del usuario o bien en la misma red o en otras redes sociales, con el fin de engañar a los amigos del usuario estableciendo una relación de confianza con el perfil clonado. De esa manera el atacante puede recoger información personal con la que planear un fraude.
Un ejemplo de esto le ocurrió al almirante de la OTAN James Stavridis. Tras clonar su perfil, el atacante recogió datos sobre el ministro de defensa y otros miembros del gobierno ( Más detalles en www. telegraph.co.uk/technology/9136029/How-spies-used-Facebook-tosteal-Nato-chiefs-details.html )
Ataques por inferencia
Se usan para predecir información muy personal, no publicada, del usuario como su orientación política, sexual o creencias religiosas.
Filtración de información
Cosas como el estado de salud o la frecuencia con que se emborracha uno han sido usadas en el pasado por jefes de empresas para no contratar o incluso despedir empleados o por compañías de seguros que, de esa manera, se quitaban de encima clientes de alto riesgo.
Filtración de localización
¿Te vas de vacaciones?, ¿lo anuncias a bombo y platillo? ¿envías las fotos desde las Seychelles? Entonces no te extrañe encontrarte la casa vacía y vandalizada al volver a casa. Quizás no todos tus contactos sean amigos tuyos, especialmente si eres popular y tienes varios cientos o miles de “amigos”
La localización también se puede inferir por fotos hechas con el teléfono, sobre todo porque muchos modelos con GPS incluyen en la foto información (que no aparece en la imagen) sobre la localización, la fecha, etc. Ese caso le ocurrió a un Yihadista del EI que se hizo un selfie delante del cuartel general (http://www.eluniversal.com/internacional/150605/selfie-de-yihadista-permite-al-pentagono-bombardear-cuartel-del-ei) para los que no conozcan la noticia, decir que no quedó mucho de él, ni del cuartel general del Estado Islámico, tras el bombardeo, tan sólo la foto de un terrorista sonriente colgada en el limbo de Facebook en el que los muertos aún tienen sus perfiles activos.
Amenazas combinadas
Los agresores de hoy en día pueden también combinar amenazas clásicas y modernas para elaborar un ataque más sofisticado, por ejemplo usar phishing para obtener la contraseña de Facebook,luego poner un mensaje intrigante en el muro con un enlace e instalar un virus en los ordenadores de aquellos que hagan clic en él.
Amenazas para los más jóvenes.
Depredadores Online:
Pueden utilizar varios tipos de ataques, los que causan daño por el contenido que los niños reciben, los que causand daño por contacto (generalmente abuso sexual) y los que dañan por llevar al niño a comportarse según los deseos del abusador.
Soluciones
Usar mecanismos de autentificación. Las redes sociales pueden usar, aparte de contraseñas, los famosos (y denostados) captcha, o identificación de fotos.
Establecer las opciones de privacidad para que solo los amigos tengan acceso a los datos
No aceptar las invitaciones de amistad de desconocidos ni conocidos de los que, en realidad, no se sabe nada. (No hables con extraños no dejó nunca de ser una advertencia de las más importantes que los padres hacen a sus hijos, ahora es necesario ampliar el consejo a las RSI)
Hacer uso de la opción “Denunciar publicación” cuando se sea víctima de una publicación o conducta abusiva por parte de otros usuarios en nuestro muro. Especialmente alentar a los más jóvenes a hacerlo
Controlar la actividad de los másniños en las redes sociales
Instalar un buen antivirus. Algunos tienen funciones que monitorizan las RSI para evitar la instalación o activación de virus
Muchos más detalles, estrategias, programas informáticos recomendados, etc para protegerse en el entorno virtual de las redes sociales de internet podréis encontrarlos en la publicación original.
Online Social Networks: Threats and Solutions
Cibervórtice 