Los peligros que acechan a las redes sociales

Introducción

Ser parte de una red social es una ventaja que casi ningún usuario de Internet puede ignorar hoy en día. No importa si se trata de tu jefe, vecino, novio o novia, es posible contactar a cualquier persona a través de al menos uno de los sitios de redes sociales en Internet. Sin embargo, puesto que estas plataformas atraen a tanta gente, la mayoría de la cual no está consciente de la necesidad de protegerse en línea, también atraen a los ciberdelincuentes que están prestos a enriquecerse a costa de desprevenidos usuarios.

Las amenazas que circulan en Internet van desde los más elementales avisos en mensajes spam que a menudo recibimos en nuestro correo, hasta las estafas más sofisticadas diseñadas para robar toda la información del usuario de una red social, o más aun, para infectar su equipo con un Backdoor (puerta trasera),lo lo que puede derivar en la pérdida de la información confidencial y del dinero del usuario, sin mencionar el riesgo en que se pone a las personas a su alrededor. Es importante comprender que cuando el usuario se convierte en víctima de estos delincuentes cibernéticos, no sólo es el usuario que se pone en peligro a sí mismo, sino también a las personas a su alrededor. Para mantenerse protegido, no es suficiente seguir algunas reglas básicas, sino que también hay que alertar a nuestros contactos en las redes sociales.

Ataques contra amigos: Phishing de una cuenta

Uno de los peligros técnicamente menos peligrosos que amenazan nuestra seguridad cuando entramos al mundo de las redes sociales en línea, es el tradicional intento de robo del registro de usuario (phishing) de una cuenta. Como hemos visto en el caso de las estafas perpetradas contra bancos en línea o de las falsas notificaciones de impuestos, el atacante implementa un sitio web idéntico a la página de inicio de la red social blanco del ataque y luego realiza envíos masivos no deseados (spam) de un vínculo a dicha página fraudulenta por correo o mensajes instantáneos, supuestamente a nombre de la misma red social.

 
Figura 1: Sitio fraudulento de Facebook

Por supuesto que esta página carece de toda funcionalidad, excepto la de reconducir al desprevenido usuario de vuelta al sitio original de su red social sólo después de haber ingresado todos los datos de su registro de usuario. El atacante puede entonces abusar de varias formas de esta información sonsacada:

• Vender el registro de usuario en el mercado negro.
• Reunir más información del usuario atacado desde su perfil.
• Enviar más mensajes spam a través de la plataforma de la red social desde la cuenta cautiva.

Tras acceder a la cuenta atacada, el perpetrador podrá explotar la red de confianza del usuario víctima. El ciberdelincuente puede hacerse pasar por el usuario, enviar mensajes aparentemente originales a sus amigos, y también puede aprovecharse de la confianza de sus amigos para convencerlos de que activen un vínculo que no hace otra cosa que instalar un programa malicioso (malware), o de que ingresen a un sitio phishing.

Afortunadamente, es relativamente fácil detectar estos ataques ya que los sitios fraudulentos utilizados no suelen tener un certificado SSL válido, y el nombre del dominio suele estar corrompido de una u otra manera. Sin embargo, los usuarios desprevenidos sobre la importancia de la seguridad ignoran esas señales, ya que parecen estar muy ocupados en qué “foto divertida” enviar a sus amigos. Empero, sitios de redes sociales como Facebook se esfuerzan para concientizar a sus usuarios sobre estos ataques fácilmente detectables. Por lo general, sitios como Facebook informan a sus usuarios sobre amenazas conocidas en sus respectivas páginas de seguridad.

Pérdida del registro de usuario sin mediar estafa

Otro tipo de amenaza originada en los ataques a los bancos en línea y que ahora atacan a los usuarios de las redes sociales, son los ladrones de contraseñas. Estos son programas que inyectan secciones de su código en el navegador del usuario (principalmente Internet Explorer y a veces Firefox) para robar información sobre la cuenta del usuario antes de que ésta se envíe a la red.

Ya que los datos robados quedan completamente insertados en el navegador, la codificación SSL entre su equipo y el sitio ya no ejerce ninguna protección. Sin embargo, el sitio de la red social presenta un certificado SSL válido y su navegador muestra los respectivos indicadores correctos. Por ello, estos ataques resultan mucho más difíciles de detectar que los sencillos ataques phishing. Debido a que el programa ladrón de contraseñas es malware que se instala localmente en el equipo del usuario, una moderna solución antivirus es la mejor protección contra estos intentos de robo de datos del registro de usuario.

Una vez que el atacante logra robar esta información, es muy probable que proceda a enviar vínculos que instalen el ladrón de contraseñas en los equipos de sus amigos, lo que resulta en una propagación exponencial:

 
Figura 2: Propagación del ladrón de contraseñas de redes socials (PWS)

La mayoría de los mensajes enviados mediante la técnica suplantación contienen un componente de ingeniería social que intenta engañar a la víctima (destinatario del mensaje) para que visite un determinado sitio web o para que descargue un programa en su equipo. Incluso si el usuario no puede convencer a sus amigos de que instalen una confiable solución antivirus, puede decirles que no confíen en los vínculos que reciben de sus contactos. Puesto que estos ataques se generan automáticamente, sería una medida prudente que el usuario pregunte a sus amigos si realmente le enviaron un determinado vínculo.

Una prominente y muy expandida familia de malware que explota esta estrategia es la familia Koobface (un anagrama de Facebook) que ataca no sólo a uno sino a varios sitios de redes sociales:

• Facebook
• MySpace
• Hi5 Networks
• Bebo
• … y muchos más

Las consecuencias de un Drive-By

A veces basta visitar un sitio web malicioso para que, sin conocimiento del usuario, se instale malware en su equipo, ya que a veces las vulnerabilidades del navegador permiten la ejecución arbitraria de códigos, ¡incluso cuando Java (Script) y Flash están desactivados! Cuando alguien visita estas páginas usando un navegador vulnerable, es inevitable que el equipo se infecte si no cuenta con una solución antivirus. Sin embargo, el atacante necesita en primer lugar atraer visitantes a dicha página. Una forma de hacerlo es el arriba mencionado abuso de su red de confianza cuando el perpetrador envía mensajes (supuestamente a nombre del usuario) conducentes a la página del atacante.

Figura 3: Ejecución de código en Internet Explorer

Otra estrategia recientemente adoptada por los atacantes consiste en enviar spam en Twitter y colocar en sitios de blogs comentarios vinculados a objetivos maliciosos. En Twitter, en particular, los atacantes eligen los temas más populares del día y añaden vínculos dirigidos a sus sitios maliciosos junto a sus comentarios (en Twitter se presenta un concepto similar a canales en los que se etiquetan ciertos temas con un signo hash).

En servicios como Twitter, donde el espacio para mensajes es muy limitado, son muy comunes los servicios de abreviación de URLs. La mayoría de estos servicios no permiten hacer una previsualización de la URL a la que conducen y por lo tanto el atacante puede con toda facilidad esconderse bajo un nombre de cierta confianza como el de la URL del servicio de abreviación. Esta acción aumenta el alcance del ataque.

¿A quién se puede confiar la información?

Los sitios como Facebook suelen permitir que otros desarrolladores añadan sus propias “aplicaciones” en el sitio de la red social y eventualmente también en el perfil de un usuario. Estas aplicaciones a menudo tienen acceso completo a los datos personales del usuario y a la información de su perfil. Al usuario se le pide que autorice compartir sus datos personales y a menudo puede elegir qué elementos específicos desea revelar. Pero una aplicación que recurre a astutas técnicas de ingeniería social, como un troyano, puede lograr que un usuario divulgue virtualmente toda su información personal.

Por fortuna, compañías como Facebook reconocen la importancia de estos problemas y verifican manualmente todas las aplicaciones antes de permitir que se coloquen en su red. Sin embargo, como toda compañía, sus recursos son limitados, y con casi 50.000 aplicaciones personalizadas disponibles hoy día en Facebook, no es posible verificarlas todas con la debida profundidad. Entonces, el usuario puede terminar activando la aplicación “Foto del día”, mientras que de manera oculta esta accede a toda la información personal del usuario. La triste verdad es que hoy en día cualquier autor de estas aplicaciones puede incrustar un Backdoor que descargue un JavaScript desde otro servidor y ocasione la fuga de la información personal del usuario. Si se trata de un hábil atacante, la aplicación puede escabullirse y pasar desapercibida ante los ojos del analista.

Para el usuario común resulta muy difícil detectar estos ataques ya que la aplicación en cuestión puede integrarse casi por completo en el sitio confiable de una red social tanto en apariencia como en funcionalidad. Por lo general, una solución antivirus no es de gran utilidad en este punto ya que la aplicación en cuestión se está ejecutando en el servidor de la red Facebook. La eliminación de estas amenazas es responsabilidad total de las redes sociales.