Partimos de la premisa ¿QUE PUBLICAMOS EN REDES SOCIALES?
Al pertenecer a una red social como Facebook, colocamos nuestra información con la finalidad de poder ser localizados fácilmente por amigos o personas con intereses comunes, dentro de esta información vamos a destacar la fecha de nacimiento y podemos mostrar un dato interesante al respecto, de acuerdo a estudios realizados por expertos en seguridad informática entre el 10% y el 20% de los usuario utilizan su fecha de nacimiento como contraseña en sus servicios, incluyendo los financieros, en la misma proporción hay usuarios que utilizan combinaciones de sus nombres y apellidos para formular su contraseña, esto nos genera un peligro potencial del 35% de usuarios que pueden ser quebrantadas sus contraseñas, generando una vulnerabilidad muy considerable.
Según los resultados de la encuesta del Pew Internet & American Life Project el 60% restringe el acceso a sus perfiles de manera que sólo sus amigos lo pueden ver y el 58% restringe el acceso a cierto contenido de su perfil. Por otro lado, un estudio acerca de usuarios en Facebook deja ver que el 41% de los usuarios de Facebook revela información personal tal como dirección de correo electrónico, fecha de nacimiento y número de teléfono a cualquiera. Los datos muestran que la mayoría de los usuarios están conscientes de la necesidad de protección de su vida privada, pero no todos lo hacen.
La información que proporcionan los empleados en redes sociales va desde la personal hasta en algunos casos laboral , es así como correos phishing y amenazas avanzadas y en algunos casos persistentes son los principales medios por los que los hackers acceden a datos importantes de las empresas (caso como RSA en marzo de 2011), causándoles pérdidas de entre 25 mil y 100 mil dólares por incidente. El reporte Riesgo de la Ingeniería Social en la Seguridad de la Información revela que casi la mitad de las empresas fue atacada, entre 25 o más veces en los últimos dos años, a partir de los datos que personal con conocimiento implícito o acceso a datos delicados de la compañía divulgan en esas redes. Los resultados constituyen entonces una advertencia sobre la necesidad de implementar más tecnología para reducir la frecuencia y costo de los ataques, además de atender aspectos como la seguridad y la toma de consciencia entre los trabajadores para reducir el riesgo por vulnerabilidades Los hackers utilizan diversas técnicas y aplicaciones de redes sociales para reunir la información personal y profesional de los individuos, hasta detectar el caso más débil con la organización.
La firma expuso que de más de 850 profesionales en tecnología de la información y de seguridad que consultó en su encuesta mundial, 86% reconoce que la ingeniería social es un problema que toma mayores dimensiones. De ellos, la mitad considera que las ganancias financieras son la principal motivación, seguida por las ventajas competitivas y venganzas. Casi la mitad de las empresas tienen conocimiento de haber sufrido ataques de ingeniería social que, sin embargo, han pasado desapercibidos. El personal de una empresa es la parte primordial en el proceso de seguridad, pero 'pueden ser engañados por criminales y cometer errores que llevan a infecciones maliciosas o a fuga de datos no intencional', lo que ocurre porque muchas de las organizaciones prestan poca atención a la función de los usuarios cuando son estos 'la primer línea de defensa'. Una forma de prevenir y remediar este tipo de ataques, dijo, es involucrar a los empleados en el proceso de seguridad, ya que distintos estudios estiman que el 34 por ciento de las empresas no capacitan a su personal ni aplican políticas de seguridad para prevenir las técnicas de ingeniería social.
Desde la perspectiva de la ingeniería social, cualquier información acerca de alguien que se tiene como objetivo, puede aportar a formar un perfil o esquema de gustos, lugares que frecuenta, actividades que realiza, lugar y actividades del trabajo, entre otros datos. Es por ello que sin lugar a dudas, las redes sociales pueden proveer mucha información que puede ser de utilidad. A continuación, vamos a observar en una corta tabla que abarca algunos datos que se pueden llegar a obtener a través de estos sistemas de información:
| Red Social |
Información |
Utilidad |
| Facebook/G+/Hi5/Badoo/ |
Estados de ánimo Lugares visitados Fotografías Intereses Familiares Relaciones Etc. |
Estas redes brindan mucha información en general de la persona y sus contactos. |
| Twitter/Tuenti/BBM/... |
Estados de ánimo Lugares visitados Fotografías Intereses |
Obtener un listado de actividades, perfil psicológico, lugares visitados, información consultada y gustos de la persona. |
| MySpace/Grooveshark/LastFM/... |
Música escuchada Gustos musicales |
Obtener un perfil de preferencias y gustos musicales. |
| |
Estado laboral Conocimientos Asignación Salarial Estudios en proceso |
Identificar perfil laboral de la persona, trabajo actual, pasados, estudios, conocimientos, intereses de trabajo, etc. |
| Foursquare |
Lugares visitados Gustos gastronómicos |
Permite geo posicionar a las personas e identificar qué lugares suelen frecuentar o visitar a través de viajes. |
| Flickr/Picasa/... |
Lugares visitados Gustos particulares Entorno en que se desarrolla el individuo |
Establecer un listado de actividades, perfil psicológico, lugares visitados y gustos de la persona. |
Ahora bien, sabiendo que información se suele tener publicada por estos sistemas y teniendo en cuenta que esta información puede ser indexada en motores de búsqueda (mala configuración de la privacidad en la red social), con o sin autorización expresa del usuario, es necesario validar que tanto se está compartiendo.
Entonces... ¿Cómo puedo protegerme?
Afortunadamente, es posible cambiar esta situación a partir de un cambio en la cultura del uso de estos medios de comunicación, a continuación se presenta un listado de consejos para aplicar y protegernos de posibles ataques de ingeniería social usados para delinquir y afectar nuestra integridad y la de nuestras familias:
- Establezca los controles de privacidad a través de redes sociales permitiendo el acceso a información sólo a amigos y/o familiares.
- No publique información personal tal como dirección de residencia, teléfonos, lugares de trabajo, ocultando así información que puede ser empleada para establecer contacto y así realizar ataques o engaños contra usted y familiares o amigos cercanos.
- Evite realizar publicación de lugares que frecuenta o asiste.
- Evite publicar cambios de estado sentimental o problemas de este tipo, la información de este tipo puede ser empleada para establecer contacto ofreciendo ayuda o consejo y así ganar la confianza de la posible víctima.
- Evite seguir enlaces o notificaciones vía correo electrónico o mensajes de texto respecto a información personal o del perfil en redes sociales, puede ser un engaño para secuestrar las cuentas de usuario y la información en las redes almacenada.
- Dentro de las redes sociales evite dar clic a cualquier enlace, pueden enviarlo a sitios o descargar aplicaciones con código malicioso que pueden obtener información acerca de usted y quienes usen el equipo. Solo hacer clic en aquellos enlaces publicados por contactos conocidos. Más allá que esto no es una garantía de seguridad es una recomendación que vinculada con las siguientes adquiere un peso considerable.
- Evitar seguir contactos desconocidos para disminuir la posibilidad de recepción de mensajes maliciosos.
Si se sospecha de la legitimidad de un mensaje, es recomendable buscar partes del mismo o incluso el link dentro del buscador de Twitter y observar tanto su repetición como las opiniones de la comunidad, quienes al descubrir uno de estos engaños no tardan en exponerlo dentro del mismo medio.
Instalar un plugin para el navegador que resuelva las direcciones URL cortas, y permita ver las originales sin la necesidad de hacerles clic en ellas, como es LongURL Mobile Expander y la herramienta de reputación en sitios web de Trend Micro llamada Browser guard.
- Configurar la navegación por el protocolo HTTPS, permite que todos los ataques relacionados a la interceptación de información que viaja en texto claro (legíble) a través de redes de computadoras, sean controlados. Con el protocolo HTTPS, todos los datos – no solo el usuario y la contraseña – viajarán cifrados y serán ilegibles para cualquier atacante en la red.
Es recomendable aplicar estas configuraciones, especialmente útiles cuando se conecta a estas redes sociales desde redes inalámbricas públicas.
Autor: Miguel Chávez ( mchavez@smartekh.com )
