 |
| ¿Seguridad o sociabilidad? |
Privacidad y seguridad en las redes sociales
Por: Jorge Hoyos Zavala
INTRODUCCIÓN
Las redes
sociales, como Facebook o Twitter, han evolucionado tan rápido que en la
actualidad se han convertido en fuentes de información para familiares, amigos
y extraños que visitan los perfiles de quienes gustan de publicar estados de
ánimo, opiniones, fotos, conversaciones de todo tipo, ubicación actual y demás
información que pueda ser utilizada en cualquier forma.
Estas redes
sociales permiten también la interacción con nuestro amigo con quienes podemos
compartir eventos, programar reuniones, intercambiar números de teléfono, y mantener
conversaciones en tiempo real, ahorrando así tiempo y dinero tanto en llamadas
de teléfono como en movilizaciones o traslados.
Las ventajas de
estas redes son conocidas a nivel mundial, pero lo que no es muy conocido es
que la seguridad y privacidad en las redes sociales no se llevan de la mano con
la socialización y el uso que se les da; esto es, si se cuenta con un perfil
demasiado estricto, los amigos de nuestros amigos no podrán comunicarse con
nosotros afectando “socialmente” nuestra comunidad. Sin embargo, al tener un
perfil abierto, todo el mundo podrá informarse de nuestras publicaciones sin
ningún tipo de privacidad, asegurando una máxima “sociabilización”, justo el
objetivo que pretendemos alcanzar en las redes sociales.
Los usuarios
confían en estas redes, pero no son conscientes de la cantidad de información
que ellas recogen para alimentar sus bases de datos distribuidas por todo el
mundo. Mucha de esta información, una vez que es subida a Facebook o Twitter,
inmediatamente se almacena en los servidores de estas empresas y como se verá
más adelante, no importará si borramos una foto de nuestro perfil porque la
misma ya está a buen recaudo en alguno de estos servidores.
Debido a la gran
cantidad de información que se almacenan en estos servidores, las interacciones
que tenemos con nuestros contactos y las comunicaciones privadas entre usuarios,
no es de extrañarse que personas malintencionadas busquen en las redes sociales
ese medio que necesitan para usurpar cuentas, suplantar identidad, o estafar
por medio de phising.
El presente
artículo revisa algunos de los problemas de seguridad y privacidad que tienen
las redes sociales, sus riesgos y amenazas, y al final se plantean algunos
consejos que, como usuarios, podríamos aplicar para evitar ser víctimas de
algún tipo de ataque.
PRIVACIDAD Y
SEGURIDAD EN LAS REDES SOCIALES
Las redes
sociales se han convertido en herramientas de recolección de datos que
alimentan bases de datos con información confidencial de carácter personal y
con las interacciones que mantenemos con nuestros contactos. Muchos de los
datos que estamos habituados a brindar a las redes sociales son nuestro estado
civil o la ciudad de residimos, pero lo que la gente no sabe es que estamos
poniendo al alcance de cualquiera, información que normalmente, bajo otro
contexto evitamos dar con tanta facilidad. La exposición o publicación de esta
información podría traernos muchos problemas.
El siguiente
nivel en lo que a exposición de datos personales se refiere llegó con la adición
de la geo-localización en las redes sociales; permitiendo que, a través de los
móviles de última generación, se ofrezca a los usuarios la posibilidad de
mostrar en la red social el punto geográfico exacto en el que se encuentra en
un determinado momento gracias a la tecnología GPS que está incluida en estos
dispositivos. Este servicio de valor agregado que ofrecen las redes sociales
podría convertirse en algo negativo para el usuario, si al no tener bien
configurado las opciones de privacidad de nuestro perfil, algún usuario
malintencionado que no conocemos pueda tener acceso a todos nuestros
movimientos y saber a qué hora estamos en cada lugar y así, por ejemplo,
planificar el robo de nuestra casa cuando no nos encontramos en ella, o
utilizar nuestra propia información para hacernos caer en un fraude o estafa.
En caso de
sospechar de determinado perfil, al momento de una invitación a formar parte de
su red de contactos, hay varias opciones que se podrían tomar, como la de
bloquear a este usuario o eliminarlo directamente de nuestra red; pero si
tenemos la certeza de que es un perfil falso, y por tanto, fraudulento, lo
correcto es denunciarlo ante los administradores de la página para que sea
eliminado de manera definitiva.
Por otro
lado, es importante saber qué permisos les otorgamos a las aplicaciones que
instalamos en nuestra red social y estamos en la obligación de revisar de
manera periódica las actividades que éstas realizan sin que sean solicitadas
por el usuario. Si bien es cierto estas aplicaciones, técnicamente no
representan nada fraudulento, ya que antes de instalarlas nos hacen leer y
aprobar un contrato, éstas obtienen información de nuestro perfil de una manera
sutil para después expandirse por nuestra lista de contactos.
El principal
objetivo de una red social es la socialización, por tanto si tenemos el perfil
abierto para que amigos y extraños puedan ver nuestra actividad en esta red,
potenciaremos esa socialización, y esto es lo que entra en conflicto con la
privacidad y la seguridad.
Las redes
sociales, también pueden llegar a enmascarar las malas relaciones; ya que
cuando un usuario se quita de la lista de amigos de otro usuario, no nos
aparece ninguna notificación de que se ha desagregado este contacto, y solo
aparecen notificaciones sobre las relaciones que son buenas; es decir,
enmascaran los sucesos desagradables.
A
continuación se describen diferentes tipos de amenazas y ataques que podrían
vulnerar la privacidad y seguridad de nuestra información en las redes
sociales, así como también las medidas que podríamos tomar para evitar ser
víctimas de los mismos.
ATAQUES EN
LAS REDES SOCIALES
En las redes
sociales podemos encontrar dos tipos de atacantes:
- Los atacantes internos, que ya están registrados en la red y parecen que son usuarios "normales" de la red social, pero actúan de una manera maliciosa, creando, por ejemplo, programas de terceros para dañar la red social, o atacantes de nuestra propia red inalámbrica. Es decir, son todos aquellos atacantes que buscan dañar la red social desde dentro.
- Los intrusos o atacantes externos, que no están dentro de la red social, pero que pueden dañarla desde fuera a través de ataques directos a los servidores o la infraestructura como por ejemplo a través de la denegación del servicio.
Los atacantes
podrían utilizar las redes sociales para conectar con víctimas potenciales.
Esta sección abarca algunos de los métodos y ataques más comunes para defraudar
a los usuarios en las redes sociales.
Cross-site identification (CSID)
Como medida
de seguridad cuando creamos nuestra cuenta de Facebook, probablemente
utilizamos una contraseña segura, tal vez alternando números con letras,
mayúsculas y minúsculas y teniendo la precaución que esta clave no coincida con
la de nuestras cuentas en Gmail o Hotmail. Con todas estas precauciones,
podemos estar seguros que nadie accederá a nuestra cuenta de Facebook.
Lamentablemente no es así.
Existe una
técnica para acceder a nuestra información personal y la de nuestros contactos
llamada “cross-site identification” (CSID), la cual trata que ingresemos, en
primer lugar, a un sitio elegido por el atacante mientras estamos conectados en
nuestra cuenta de Facebook o de cualquier otra red social. Así, el atacante
aprovecha que ya habíamos ingresado nuestra contraseña, para engañar a la red
social y solicitar el envío de información como si nosotros mismos lo
estuviéramos haciendo. En ningún momento, durante el ataque, es posible
detectar esta actividad, y lamentablemente esta operación no deja rastros.
La tarea del
atacante es generar una motivación que haga que accedamos a hacer clic en algún
link o imagen, por lo que generalmente se utilizan foros de discusión o blogs,
aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado
por el atacante, sino que se puede utilizar un sitio legítimo para realizar el
ataque.
Robo de identidad
Los ladrones
de identidad podrían asumir la identidad de un individuo con fines económicos.
La información que los usuarios publican sobre ellos en las redes sociales podría
facilitar que un ladrón de identidad obtenga suficiente información para
robarse la misma. Estos ladrones generalmente buscan lo siguiente en las redes
sociales:
- Contraseñas
- Información sobre cuentas bancarias
- Números de tarjetas de crédito
- Información almacenada en la computadora del usuario como la libreta de contactos
- Acceso a la computadora de un usuario sin su consentimiento (a través de malware)
- Número de cédula de identidad o pasaporte. Hay que recordar que la clave del robo de identidad es justamente el número de cédula, por lo que nunca hay que proveer de dicho número con un sitio de redes sociales.
Algunas de
las técnicas de robo de identidad se presentan cuando aplicaciones ilegítimas
son similares a aplicaciones de terceros originalmente diseñadas para recopilar
datos. Al ingresar nuestra información en estas aplicaciones, ésta puede ser
vendida a profesionales del marketing o cedida a otros para cometer robo de
identidad. Estas aplicaciones pueden aparecer en forma de juegos,
cuestionarios, o cualquier otra forma para recopilar datos.
En otros
casos, los atacantes pueden crear cuentas falsas en las redes sociales y
después pedirle a otros que se conecten con ellos. Estas cuentas falsas pueden
incluir nombre de gente real, incluyendo conocidos o hasta familiares. Una vez
hecha la conexión, el estafador podría ver la información privada o restringida
del usuario.
Malware
El malware
es un programa malicioso que describe a una gran variedad de programas que se
instalan en computadoras de los usuarios generalmente a través del engaño,
pudiéndose multiplicar rápidamente a través de las redes sociales, infectando
la computadora del usuario y después expandiéndose a las computadoras de
nuestros contactos. Esto se debe a que el malware podría aparentar venir de un
contacto confiable, incrementando así la probabilidad que un usuario haga clic
en los enlaces o descarguen estos programas.
Algunas de
las formas más comunes de propagación de estos programas maliciosos son:
- A través de URLs cortos, especialmente aquellos que aparecen en el área de actualizaciones o noticias de actualización. Esto podría ocasionar que el usuario descargue un virus o visite un sitio que intente descargar el malware en su computadora.
- Mensajes que aparentan venir de fuentes confiables en las redes sociales y que invitan al usuario a hacer clic en un enlace, ver un video o descargar un archivo.
- Un email que aparenta venir del mismo sitio de redes sociales, en el cual solicita información o le pide al usuario que haga clic en un enlace.
- Aplicaciones de terceros que infectan las computadoras con el software malicioso, el cual se propaga a través de los contactos.
- Alertas falsas de seguridad. Éstas son aplicaciones que se hacen pasar por un programa de protección de virus y que le informa al usuario que su programa de seguridad está caducado o que se ha detectado una amenaza.
Phishing
El ataque por phising es un caso de ingeniería social (que no aprovecha una vulnerabilidad de los computadores, sino que aprovecha un error humano por engaño) y ocurre cuando alguien envía un correo electrónico, mensaje instantáneo o algún otro tipo de mensaje haciéndose pasar por una fuente confiable para solicitar información. Tal es el caso, de los mails que aparentan ser enviados por una entidad bancaria indicándonos que nuestra cuenta está en riesgo de ser cancelada y que para evitar la revocación de la cuenta debemos ingresar a un link de la entidad; o cuando recibimos por mensaje instantáneo de un amigo o conocido un enlace donde podemos descargar algo de nuestro interés.
Peticiones engañosas
Un
sitio de red social puede utilizar la ingeniería social para hacer sentir a la
gente obligada a unirse a un grupo. Esto ocurre frecuentemente
cuando una persona se une a un sitio y por lo general, de manera inadvertida,
provee a esta red el acceso a su lista de contactos. La red social después
manda un mensaje a todos los contactos, generalmente insinuando que provienen
del individuo que se inscribió cuando en verdad no fue así. El destinatario
podría creer que es una invitación personal del usuario y sentirse obligado a
unirse al sitio, a la vez compartiendo su información y quizás perpetuando el
ciclo de peticiones.
PRINCIPALES
ESTÁNDARES DE SEGURIDAD
Para
comprender el gran reto que supone equilibrar la seguridad y privacidad, con la
sociabilidad y usabilidad se tiene que revisar los principales estándares de
seguridad, como son:
- Confidencialidad: Requiere que la información sea accesible únicamente a las entidades autorizadas. Es de vital importancia en las redes sociales porque un mal uso de la información podría traer graves consecuencias en la vida de las personas.
- Integridad: Requiere que la información solo sea modificada por las entidades autorizadas.
- Disponibilidad: Requiere que los recursos del sistema estén siempre disponibles.
- No repudio: Ofrece protección a un usuario frente a otro que niegue posteriormente que realizó cierta comunicación.
La protección de los datos es de suma importancia en una red social, ya que la divulgación ilícita y el uso indebido de la información privada de los usuarios, pueden causar consecuencias indeseables o perjudiciales en la vida de las personas.
CONSEJOS DE
SEGURIDAD Y PRIVACIDAD
Hay algunos
ataques como el “cross-site identification” cuya responsabilidad de evitarlos
recae sobre la red social, ya sea mejorando el diseño de sus interfaces, aumentando
la seguridad de sus aplicaciones o fortaleciendo las políticas de entrega de
datos personales de los usuarios. Sin embargo, a continuación se citan las
siguientes recomendaciones que siempre es necesario tener en cuenta para
protegerse de los diferentes tipos de ataques:
- Aceptar la invitación a usuarios desconocidos.
- Configurar las preferencias de seguridad y privacidad del perfil.
- Utilizar aplicaciones solamente cuando se conozca su origen, es decir, quién es el autor o la empresa que distribuye la aplicación.
- Al otorgar acceso a nuestros datos personales, tanto a una aplicación como a la red social en sí, hay que evaluar las consecuencias potenciales de la decisión; la recomendación es probar primero denegar accesos, y habilitarlos si se comprueban que son necesarios.
- No contestar a los correos que nos manda a verificar claves o contraseñas de acceso a las redes sociales, ya que ninguna de estas redes solicita clave a través del correo electrónico.
- No habilitar las opciones que nos permitan mantener conectado durante mucho tiempo en la red social; es preferible ingresar la contraseña varias veces; generalmente esta opción se presenta como "Mantenerme conectado".
- Cuando dejes de utilizar la red social, hay que asegurarse siempre de desconectarse; usualmente la opción es "Salir" o "Sign Out" o "Log Out", dependiendo de la red social que se utilice.
- No compartir las contraseñas y menos aún mediante chat o mensajería instantánea, ya que este tráfico de datos podría estar controlado sin que nosotros lo sepamos.
- Limitar la información que se publica. No publicar información que nos convierta en vulnerables, tal como direcciones o datos sobre compromisos de agenda o rutinas.
- Verificar las políticas de privacidad del sitio de red social. Algunos sitios podrían compartir datos reales como direcciones de correo o preferencias de los usuarios con otras compañías. También se recomienda leer las políticas del sitio con el fin de detectar otros expuestos con los que no estemos conformes, como por ejemplo el envío de mails a nuestros amigos para que se unan a la red social en cuestión.
CONCLUSIONES
Se ha revisado
algunos típicos ataques malintencionados a los cuales estamos expuestos y se
han revisado algunas de las recomendaciones a seguir para evitar o al menos
minimizar estos ataques. Sin embargo, una última solución requerirá de expertos
en ciencia social y comunidades de seguridad en la red, los entes reguladores y
otras comunidades relevantes para tomar decisiones sobre los mecanismos de
privacidad y seguridad en las redes sociales.
Muchas veces
los usuarios no somos conscientes que nuestros comentarios pueden llegar a
cualquier persona de la red social, porque al final lo que más nos interesa es
tener una gran comunidad de amigos que sustenten nuestra popularidad o
influencia.
Cualquier
usuario de la red social, puede coger toda la información que tenemos y usarla
en un futuro cercano para hacernos daño. Lo mejor sería evitar pertenecer a
comunidad alguna en estas redes sociales y así evitaríamos los problemas de
privacidad y seguridad en Internet. Los usuarios debemos entender que no
debemos publicarlo todo y que nuestros amigos más cercanos seguirán siendo
nuestros amigos ya sea tengamos o no una cuenta en Facebook o Twitter.
REFERENCIAS
BIBLIOGRÁFICAS
