Facebook, con más de 500 millones de usuarios en todo el mundo, acaba de superar al buscador Google en número de visitas en EEUU, según la compañía de análisis Hitwise. Twitter supera los 175 millones y la Tuenti con más de nueve millones. Ante todo esto, no es extraño que los cibercriminales apunten a las redes sociales como objetivo para conseguir víctimas potenciales.
Según el Informe Anual de Seguridad de PandaLabs, señala a las redes sociales como uno de los vectores principales de ataque. José Antonio Redondo, autor del libro Socialnets, destaca que los ciberdelincuentes se han interesado por las redes sociles. "Algunos informes señalan a Facebook como una de las diez compañías más afectadas por phishing. También ha sufrido ataques para hacerse con los millones de datos que tienen almacenados", añade.
El conocimiento de los usuarios sobre este tipo de engaños han llevado a los delincuentes a migrar a herramientas en las que los internautas se muestran más confiados. "Facebook o Twitter se utilizan cada vez más con fines delictivos debido al número de internautas que los utilizan y a la falsa sensación de seguridad que tienen los usuarios en los contenidos publicados en este tipo de redes". según PandaLabs
McAffeLabs (otro informa de Mcafe) destaca que los ataques en las redes sociales van a rebasar a los del correo electrónico. "Esperamos ver un número mayor de ataques selectivos relacionados con las identidades y datos personales. La cantidad masiva de información online, unida a que los usuarios desconocen cómo proteger sus datos, facilitará a los ciberdelincuentes el robo de identidades y la recopilación de perfiles de usuarios".
Uno de los objetivos más habituales de los ciberdelincuentes es la usurpación de identidad en las redes sociales. es más fácil lograr que las víctimas caigan en la trampa. El usuario recibe un mensaje en el que un conocido le indicará que debe pinchar en un enlace (generalmente con el reclamo de una fotografía o un vídeo). El vínculo llevará a una página falsa de la red social en la que se pide introducir el nombre de usuario y la contraseña. Una vez introducidos esos datos, se le pedirá que conceda permisos de acceso al perfil a una aplicación.
Esta herramienta de software malicioso tendrá acceso total a la información personal del usuario, así como permisos para publicar información en su perfil. El ataque se dirigirá entonces a los contactos de la víctima para poder captar nuevos usuarios que lo reenvíen a su vez. "Los enlaces suelen ser enviados por amigos que tienen su cuenta infectada. Si no estás seguro de por qué alguien está enviándote algo vía Facebook, deberías utilizar otro medio de comunicación para verificar la autenticidad del mensaje", aconseja en el blog de Kaspersky Lab el analista Christian Funk.
Las direcciones abreviadas
Uno de los servicios externos a Twitter, aunque protagonista indiscutible de sus mensajes, son las direcciones abreviadas. Como el usuario sólo tiene 140 caracteres para difundir su mensaje, es imprescindible utilizar un acortador de direcciones web para hacer referencia a páginas externas. En realidad, el usuario no sabe cuál es la web de destino, ya que no hay nada en la URL que se lo indique.
Los expertos apuntan a un uso malicioso de esta fórmula para realizar spam o realizar timos. Javier Guembe, editor de estwitter.com, el blog más visitado en español de esta herramienta, explica que hay creadores de software malicioso que intentan "enmascarar la dirección web definitiva y redirigir al usuario a un sitio con XSS [que permitiría ejecutar acciones en nombre de la víctima sin su permiso, por ejemplo]". McAffeLabs también alerta del abuso que puede realizarse de estas direcciones abreviadas. "En la actualidad rastreamos y analizamos por minuto más de 3.000 webs reducidas. Observamos un número creciente de estas direcciones utilizadas para enviar spam, realizar timos y otros fines maliciosos", añade el estudio.
Responsabilidad del usuario
McAffe utiliza la experiencia del caos acaecido en Twitter el pasado septiembre, cuando un usuario sólo quiso gastar una broma introduciendo un código en los mensajes y otros aprovecharon esta vulnerabilidad para enviar al usuario a páginas no solicitadas. "Los timadores aprovechan la inmediatez de los medios sociales frente al correo electrónico para conseguir sus objetivos", destaca el informe.
Uno de los problemas más acuciantes de seguridad en las redes sociales es que los antivirus pueden proteger de la instalación en el ordenador de software malicioso, del spam recibido por correo electrónico o avisar de que una aplicación intenta acceder al sistema. Pero, en estas nuevas amenazas basadas en la ingeniería social, no siempre funciona tener un programa de protección, aunque se encuentre actualizado.
Si es el usuario el que da los permisos necesarios para que una aplicación controle su muro en Facebook, el antivirus no lo impedirá a no ser que el software malicioso pueda tomar el control del ordenador. "El internauta debe ser cauto, pero no siempre se da el caso: hay muchos usuarios en la red a los que les falta formación muy básica, y ahí los creadores de software malicioso siempre tendrán un gran caldo de cultivo", reconoce Guembe. En el mismo sentido se expresa Roberto Carreras, consultor y profesor de la Universidad Oberta de Catalunya: "La privacidad de un perfil puede gestionarse hasta hacerla muy restrictiva, pero no todos los usuarios la gestionan de manera eficaz y tampoco se preocupan a la hora de instalar aplicaciones que, en ocasiones, sólo persiguen captar los datos de esos usuarios".
Mejoras en las redes
La mejora de la seguridad que la red social es capaz de desarrollar por sí misma es otro de los retos de 2011. El caos de Twitter pudo realizarse aprovechando un fallo de seguridad de la red, que no pudo prever que algún usuario podía utilizar los mensajes cortos para introducir códigos que promovieran acciones en el ordenador del resto. Aunque el problema se resolvió en unas pocas horas, afectó a más de medio millón de usuarios, que no sabían exactamente a qué tipo de riesgo se enfrentaban.
Facebook o MySpace tampoco han estado exentas de problemas internos, en este caso, relacionados con los servicios de terceros que alojan. "Algunas aplicaciones a veces usan y abusan del acceso que les damos a nuestros datos personales", detalla Redondo. En esos casos, poco pueden hacer las compañíasde seguridad o los propios usuarios. Ante la denuncia del diario The Wall Street Journal, Facebook tuvo que reconocer que varios creadores de aplicaciones habían vendido información de los usuarios a otros. "Estas filtraciones eran contrarias a su política y ajenas a su voluntad, pero el hecho es que este tipo de cosas suceden", explicael autor de Socialnets, que destaca la aplicación de protocolos seguros por defecto como una forma de frenar este tipo de situaciones.
A tener cuidado….
- Enlaces no seguros
No haga clic en enlaces sospechosos. Aplique esta norma tanto a los mensajes de las redes sociales como a los de correo electrónico. Desconfíe de aquellas webs en las que se le indica que debe realizar una descarga o se piden permisos especiales.
- Aplicaciones
Algunos amigos le recomendarán de forma continua a través de Facebook que participe en pequeños juegos. Observe qué permisos de acceso a sus datos personales ofrece a esas aplicaciones. Puede cambiarlos en ‘Configuración de privacidad'.
- Inteligencia colectiva
El ataque llevado a cabo a través de Twitter este año constató la importancia de prestar atención a los consejos de los demás. Los usuarios se avisaban entre sí del riesgo de los enlaces, antes incluso de que las empresas de seguridad avisasen de ello.
- Nivel de privacidad
Elija cuál quiere que sea su nivel de visibilidad en la red. Revise el perfil de su privacidad de forma periódica, por si las condiciones de uso del sitio hubieran cambiado.
0 comentarios:
Publicar un comentario