¿De verdad sabes quién está viendo tu perfil de Facebook?

Cada día suceden cosas malas en las redes sociales. La mayoría de los ataques están basados en “cross-side scripting” o vulnerabilidades en aplicaciones web, pero acabo de encontrar un ataque particular que emplea un simple método de ingeniería social para burlar al público. Este caso prueba un viejo axioma: si algo parece demasiado bueno para ser verdad, lo más probable es que no lo sea. Esto es lo que sucedió:

Hace poco un amigo de Facebook agregó este mensaje a su muro:

Siempre dudo de las aplicaciones que ofrecen servicios para rastrear perfiles que ni siquiera Facebook ofrece. No creo que una aplicación tenga el poder de rastrear esta información. Por eso analicé el caso más a fondo. Creé una cuenta desechable de Facebook, visité la página de la aplicación y encontré esto:

Cuando pulsas en el botón “Me gusta”, te piden que compartas la página con tus amigos. No me gusta enviar spam, así que lo rechacé. Y apareció esto:

No es un mensaje muy amigable, ¿no crees? Quería saber más sobre la aplicación así que decidí compartirla en mi muro. Después apareció una ventana de activación que muestra lo que parece ser una página de Facebook en el fondo (después hablaremos más sobre esta página):

Escogí esa opción aunque estaba bastante seguro de que no había ninguna afiliación con Ikea. Después llené una página de inscripción con los mismos datos (falsos), y me pidieron que diera un número de teléfono móvil válido. Pulsé “saltar este paso” un par de veces, pero la misma página volvía a cargarse:

Me detuve ahí, porque es obvio que quien está detrás de esto no tiene buenas intenciones. Es muy posible que se esté recolectando información personal para enviar spam o usarla con otros propósitos maliciosos.

Cuando terminé, revisé mi muro en Facebook y encontré que se había agregado una nueva publicación, tal como le había pasado a mi amigo. Así que decidí echar un vistazo a la página de la aplicación. Esta es la página que se mostraba detrás de la ventana de activación: es una página que ni siquiera está en Facebook, todo el contenido es falso:

¡No se puede pulsar en ninguna parte y todos los perfiles del testimonio son falsos! La página de la aplicación está diseñada, usando tan solo colores y estilos parecidos a los de Facebook, para convencerte de que entregues tus datos personales para recibir spam.

Como dije al inicio de esta entrada, si algo parece demasiado bueno para ser verdad, lo más probable es que no lo sea. ¿Qué más aprendemos de esto? Que sólo porque algo parezca legítimo no significa que lo sea.