miércoles, 7 de agosto de 2013

Seguridad en las redes sociales

¿Seguridad o sociabilidad?

Privacidad y seguridad en las redes sociales
Por: Jorge Hoyos Zavala













INTRODUCCIÓN
Las redes sociales, como Facebook o Twitter, han evolucionado tan rápido que en la actualidad se han convertido en fuentes de información para familiares, amigos y extraños que visitan los perfiles de quienes gustan de publicar estados de ánimo, opiniones, fotos, conversaciones de todo tipo, ubicación actual y demás información que pueda ser utilizada en cualquier forma.

Estas redes sociales permiten también la interacción con nuestro amigo con quienes podemos compartir eventos, programar reuniones, intercambiar números de teléfono, y mantener conversaciones en tiempo real, ahorrando así tiempo y dinero tanto en llamadas de teléfono como en movilizaciones o traslados.

Las ventajas de estas redes son conocidas a nivel mundial, pero lo que no es muy conocido es que la seguridad y privacidad en las redes sociales no se llevan de la mano con la socialización y el uso que se les da; esto es, si se cuenta con un perfil demasiado estricto, los amigos de nuestros amigos no podrán comunicarse con nosotros afectando “socialmente” nuestra comunidad. Sin embargo, al tener un perfil abierto, todo el mundo podrá informarse de nuestras publicaciones sin ningún tipo de privacidad, asegurando una máxima “sociabilización”, justo el objetivo que pretendemos alcanzar en las redes sociales.

Los usuarios confían en estas redes, pero no son conscientes de la cantidad de información que ellas recogen para alimentar sus bases de datos distribuidas por todo el mundo. Mucha de esta información, una vez que es subida a Facebook o Twitter, inmediatamente se almacena en los servidores de estas empresas y como se verá más adelante, no importará si borramos una foto de nuestro perfil porque la misma ya está a buen recaudo en alguno de estos servidores.

Debido a la gran cantidad de información que se almacenan en estos servidores, las interacciones que tenemos con nuestros contactos y las comunicaciones privadas entre usuarios, no es de extrañarse que personas malintencionadas busquen en las redes sociales ese medio que necesitan para usurpar cuentas, suplantar identidad, o estafar por medio de phising.

El presente artículo revisa algunos de los problemas de seguridad y privacidad que tienen las redes sociales, sus riesgos y amenazas, y al final se plantean algunos consejos que, como usuarios, podríamos aplicar para evitar ser víctimas de algún tipo de ataque.


PRIVACIDAD Y SEGURIDAD EN LAS REDES SOCIALES
Las redes sociales se han convertido en herramientas de recolección de datos que alimentan bases de datos con información confidencial de carácter personal y con las interacciones que mantenemos con nuestros contactos. Muchos de los datos que estamos habituados a brindar a las redes sociales son nuestro estado civil o la ciudad de residimos, pero lo que la gente no sabe es que estamos poniendo al alcance de cualquiera, información que normalmente, bajo otro contexto evitamos dar con tanta facilidad. La exposición o publicación de esta información podría traernos muchos problemas.

El siguiente nivel en lo que a exposición de datos personales se refiere llegó con la adición de la geo-localización en las redes sociales; permitiendo que, a través de los móviles de última generación, se ofrezca a los usuarios la posibilidad de mostrar en la red social el punto geográfico exacto en el que se encuentra en un determinado momento gracias a la tecnología GPS que está incluida en estos dispositivos. Este servicio de valor agregado que ofrecen las redes sociales podría convertirse en algo negativo para el usuario, si al no tener bien configurado las opciones de privacidad de nuestro perfil, algún usuario malintencionado que no conocemos pueda tener acceso a todos nuestros movimientos y saber a qué hora estamos en cada lugar y así, por ejemplo, planificar el robo de nuestra casa cuando no nos encontramos en ella, o utilizar nuestra propia información para hacernos caer en un fraude o estafa.

En caso de sospechar de determinado perfil, al momento de una invitación a formar parte de su red de contactos, hay varias opciones que se podrían tomar, como la de bloquear a este usuario o eliminarlo directamente de nuestra red; pero si tenemos la certeza de que es un perfil falso, y por tanto, fraudulento, lo correcto es denunciarlo ante los administradores de la página para que sea eliminado de manera definitiva.

Por otro lado, es importante saber qué permisos les otorgamos a las aplicaciones que instalamos en nuestra red social y estamos en la obligación de revisar de manera periódica las actividades que éstas realizan sin que sean solicitadas por el usuario. Si bien es cierto estas aplicaciones, técnicamente no representan nada fraudulento, ya que antes de instalarlas nos hacen leer y aprobar un contrato, éstas obtienen información de nuestro perfil de una manera sutil para después expandirse por nuestra lista de contactos.

El principal objetivo de una red social es la socialización, por tanto si tenemos el perfil abierto para que amigos y extraños puedan ver nuestra actividad en esta red, potenciaremos esa socialización, y esto es lo que entra en conflicto con la privacidad y la seguridad.

Las redes sociales, también pueden llegar a enmascarar las malas relaciones; ya que cuando un usuario se quita de la lista de amigos de otro usuario, no nos aparece ninguna notificación de que se ha desagregado este contacto, y solo aparecen notificaciones sobre las relaciones que son buenas; es decir, enmascaran los sucesos desagradables.

A continuación se describen diferentes tipos de amenazas y ataques que podrían vulnerar la privacidad y seguridad de nuestra información en las redes sociales, así como también las medidas que podríamos tomar para evitar ser víctimas de los mismos.

ATAQUES EN LAS REDES SOCIALES
En las redes sociales podemos encontrar dos tipos de atacantes:
  • Los atacantes internos, que ya están registrados en la red y parecen que son usuarios "normales" de la red social, pero actúan de una manera maliciosa, creando, por ejemplo, programas de terceros para dañar la red social, o atacantes de nuestra propia red inalámbrica. Es decir, son todos aquellos atacantes que buscan dañar la red social desde dentro.
  • Los intrusos o atacantes externos, que no están dentro de la red social, pero que pueden dañarla desde fuera a través de ataques directos a los servidores o la infraestructura como por ejemplo a través de la denegación del servicio.

Los atacantes podrían utilizar las redes sociales para conectar con víctimas potenciales. Esta sección abarca algunos de los métodos y ataques más comunes para defraudar a los usuarios en las redes sociales. 

Cross-site identification (CSID)
Como medida de seguridad cuando creamos nuestra cuenta de Facebook, probablemente utilizamos una contraseña segura, tal vez alternando números con letras, mayúsculas y minúsculas y teniendo la precaución que esta clave no coincida con la de nuestras cuentas en Gmail o Hotmail. Con todas estas precauciones, podemos estar seguros que nadie accederá a nuestra cuenta de Facebook. Lamentablemente no es así.

Existe una técnica para acceder a nuestra información personal y la de nuestros contactos llamada “cross-site identification” (CSID), la cual trata que ingresemos, en primer lugar, a un sitio elegido por el atacante mientras estamos conectados en nuestra cuenta de Facebook o de cualquier otra red social. Así, el atacante aprovecha que ya habíamos ingresado nuestra contraseña, para engañar a la red social y solicitar el envío de información como si nosotros mismos lo estuviéramos haciendo. En ningún momento, durante el ataque, es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.

La tarea del atacante es generar una motivación que haga que accedamos a hacer clic en algún link o imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el atacante, sino que se puede utilizar un sitio legítimo para realizar el ataque.

Robo de identidad
Los ladrones de identidad podrían asumir la identidad de un individuo con fines económicos. La información que los usuarios publican sobre ellos en las redes sociales podría facilitar que un ladrón de identidad obtenga suficiente información para robarse la misma. Estos ladrones generalmente buscan lo siguiente en las redes sociales:
  • Contraseñas
  • Información sobre cuentas bancarias
  • Números de tarjetas de crédito
  • Información almacenada en la computadora del usuario como la libreta de contactos
  • Acceso a la computadora de un usuario sin su consentimiento (a través de malware)
  • Número de cédula de identidad o pasaporte. Hay que recordar que la clave del robo de identidad es justamente el número de cédula, por lo que nunca hay que proveer de dicho número con un sitio de redes sociales.

Algunas de las técnicas de robo de identidad se presentan cuando aplicaciones ilegítimas son similares a aplicaciones de terceros originalmente diseñadas para recopilar datos. Al ingresar nuestra información en estas aplicaciones, ésta puede ser vendida a profesionales del marketing o cedida a otros para cometer robo de identidad. Estas aplicaciones pueden aparecer en forma de juegos, cuestionarios, o cualquier otra forma para recopilar datos.

En otros casos, los atacantes pueden crear cuentas falsas en las redes sociales y después pedirle a otros que se conecten con ellos. Estas cuentas falsas pueden incluir nombre de gente real, incluyendo conocidos o hasta familiares. Una vez hecha la conexión, el estafador podría ver la información privada o restringida del usuario.

Malware
El malware es un programa malicioso que describe a una gran variedad de programas que se instalan en computadoras de los usuarios generalmente a través del engaño, pudiéndose multiplicar rápidamente a través de las redes sociales, infectando la computadora del usuario y después expandiéndose a las computadoras de nuestros contactos. Esto se debe a que el malware podría aparentar venir de un contacto confiable, incrementando así la probabilidad que un usuario haga clic en los enlaces o descarguen estos programas.

Algunas de las formas más comunes de propagación de estos programas maliciosos son:
  • A través de URLs cortos, especialmente aquellos que aparecen en el área de actualizaciones o noticias de actualización. Esto podría ocasionar que el usuario descargue un virus o visite un sitio que intente descargar el malware en su computadora.
  • Mensajes que aparentan venir de fuentes confiables en las redes sociales y que invitan al usuario a hacer clic en un enlace, ver un video o descargar un archivo.
  • Un email que aparenta venir del mismo sitio de redes sociales, en el cual solicita información o le pide al usuario que haga clic en un enlace.
  • Aplicaciones de terceros que infectan las computadoras con el software malicioso, el cual se propaga a través de los contactos.
  • Alertas falsas de seguridad. Éstas son aplicaciones que se hacen pasar por un programa de protección de virus y que le informa al usuario que su programa de seguridad está caducado o que se ha detectado una amenaza.

Phishing

    El ataque por phising es un caso de ingeniería social (que no aprovecha una vulnerabilidad de los computadores, sino que aprovecha un error humano por engaño) y ocurre cuando alguien envía un correo electrónico, mensaje instantáneo o algún otro tipo de mensaje haciéndose pasar por una fuente confiable para solicitar información. Tal es el caso, de los mails que aparentan ser enviados por una entidad bancaria indicándonos que nuestra cuenta está en riesgo de ser cancelada y que para evitar la revocación de la cuenta debemos ingresar a un link de la entidad; o cuando recibimos por mensaje instantáneo de un amigo o conocido un enlace donde podemos descargar algo de nuestro interés.

    Peticiones engañosas
    Un sitio de red social puede utilizar la ingeniería social para hacer sentir a la gente obligada a unirse a un grupo. Esto ocurre frecuentemente cuando una persona se une a un sitio y por lo general, de manera inadvertida, provee a esta red el acceso a su lista de contactos. La red social después manda un mensaje a todos los contactos, generalmente insinuando que provienen del individuo que se inscribió cuando en verdad no fue así. El destinatario podría creer que es una invitación personal del usuario y sentirse obligado a unirse al sitio, a la vez compartiendo su información y quizás perpetuando el ciclo de peticiones. 

    PRINCIPALES ESTÁNDARES DE SEGURIDAD
    Para comprender el gran reto que supone equilibrar la seguridad y privacidad, con la sociabilidad y usabilidad se tiene que revisar los principales estándares de seguridad, como son:
    • Confidencialidad: Requiere que la información sea accesible únicamente a las entidades autorizadas. Es de vital importancia en las redes sociales porque un mal uso de la información podría traer graves consecuencias en la vida de las personas.
    • Integridad: Requiere que la información solo sea modificada por las entidades autorizadas.
    • Disponibilidad: Requiere que los recursos del sistema estén siempre disponibles.
    • No repudio: Ofrece protección a un usuario frente a otro que niegue posteriormente que realizó cierta comunicación.

    La protección de los datos es de suma importancia en una red social, ya que la divulgación ilícita y el uso indebido de la información privada de los usuarios, pueden causar consecuencias indeseables o perjudiciales en la vida de las personas.

    CONSEJOS DE SEGURIDAD Y PRIVACIDAD
    Hay algunos ataques como el “cross-site identification” cuya responsabilidad de evitarlos recae sobre la red social, ya sea mejorando el diseño de sus interfaces, aumentando la seguridad de sus aplicaciones o fortaleciendo las políticas de entrega de datos personales de los usuarios. Sin embargo, a continuación se citan las siguientes recomendaciones que siempre es necesario tener en cuenta para protegerse de los diferentes tipos de ataques:
    • Aceptar la invitación a usuarios desconocidos.
    • Configurar las preferencias de seguridad y privacidad del perfil.
    • Utilizar aplicaciones solamente cuando se conozca su origen, es decir, quién es el autor o la empresa que distribuye la aplicación.
    • Al otorgar acceso a nuestros datos personales, tanto a una aplicación como a la red social en sí, hay que evaluar las consecuencias potenciales de la decisión; la recomendación es probar primero denegar accesos, y habilitarlos si se comprueban que son necesarios.
    • No contestar a los correos que nos manda a verificar claves o contraseñas de acceso a las redes sociales, ya que ninguna de estas redes solicita clave a través del correo electrónico.
    • No habilitar las opciones que nos permitan mantener conectado durante mucho tiempo en la red social; es preferible ingresar la contraseña varias veces; generalmente esta opción se presenta como "Mantenerme conectado".
    • Cuando dejes de utilizar la red social, hay que asegurarse siempre de desconectarse; usualmente la opción es "Salir" o "Sign Out" o "Log Out", dependiendo de la red social que se utilice.
    • No compartir las contraseñas y menos aún mediante chat o mensajería instantánea, ya que este tráfico de datos podría estar controlado sin que nosotros lo sepamos.
    • Limitar la información que se publica. No publicar información que nos convierta en vulnerables, tal como direcciones o datos sobre compromisos de agenda o rutinas.
    • Verificar las políticas de privacidad del sitio de red social. Algunos sitios podrían compartir datos reales como direcciones de correo o preferencias de los usuarios con otras compañías. También se recomienda leer las políticas del sitio con el fin de detectar otros expuestos con los que no estemos conformes, como por ejemplo el envío de mails a nuestros amigos para que se unan a la red social en cuestión.

    CONCLUSIONES
    Se ha revisado algunos típicos ataques malintencionados a los cuales estamos expuestos y se han revisado algunas de las recomendaciones a seguir para evitar o al menos minimizar estos ataques. Sin embargo, una última solución requerirá de expertos en ciencia social y comunidades de seguridad en la red, los entes reguladores y otras comunidades relevantes para tomar decisiones sobre los mecanismos de privacidad y seguridad en las redes sociales.

    Muchas veces los usuarios no somos conscientes que nuestros comentarios pueden llegar a cualquier persona de la red social, porque al final lo que más nos interesa es tener una gran comunidad de amigos que sustenten nuestra popularidad o influencia.

    Cualquier usuario de la red social, puede coger toda la información que tenemos y usarla en un futuro cercano para hacernos daño. Lo mejor sería evitar pertenecer a comunidad alguna en estas redes sociales y así evitaríamos los problemas de privacidad y seguridad en Internet. Los usuarios debemos entender que no debemos publicarlo todo y que nuestros amigos más cercanos seguirán siendo nuestros amigos ya sea tengamos o no una cuenta en Facebook o Twitter.


    REFERENCIAS BIBLIOGRÁFICAS
    Alerta en línea. “Phising”, Recuperado el 31 de Julio de 2013 de: http://www.alertaenlinea.gov/articulos/s0003-phishing

    Boyd, Danah and Nicole Ellison. “Social Networking Sites: Definitions, History and Scholarship”. Recogido de: http://jcmc.indiana.edu/vol13/issue1/boyd.ellison.html

    Dr. Tecno, “Redes sociales: cuando el Password no es suficiente”, Agosto 2011. Recogido de: http://www.doctortecno.com/noticia/redes-sociales-cuando-el-password-no-es-suficiente

    Facebook & Your Privacy (Facebook y su privacidad) (Consumer Reports, junio de 2012), Recogido de: http://www.consumerreports.org/cro/magazine/2012/06/facebook-your-privacy/index.htm

    Página Informativa 18 de PRC: Privacy and the Internet: Traveling in Cyberspace Safely”. Recogido de: https://www.privacyrights.org/fs/fs18-cyb.htm

    Privacy Rights Clearinghouse, “Privacidad en las redes sociales: cómo socializar con prudencia y seguridad”, octubre de 2012. Recogido de: https://www.privacyrights.org/spanish/pi35#9


    Time Business & Money. “Tagged: The World´s Most Annoying Website”, Junio 2009. Recogido de: http://www.time.com/time/business/article/0,8599,1903810,00.html


    Publicado por en

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)