Riesgos y amenazas en las redes sociales

Las redes sociales ofrecen un camino para que las personas puedan conectar, compartir sus experiencias de vida, fotos y vídeos. Pero compartir en exceso, o no prestar suficiente atención a los impostores, puede comprometer la seguridad en las redes sociales y llevar a vulneraciones de cuentas, tanto empresariales como personales.

Los atacantes suelen servirse de las cuentas de redes sociales durante la fase de reconocimiento de un ataque de ingeniería social, catfishing o de phishing. Las redes sociales pueden dar a los atacantes una plataforma para suplantar la identidad de personas confiables y marcas, o la información que necesitan para ejecutar ataques adicionales, incluyendo los de ingeniería social y phishing.

Los métodos empleados por un atacante dependerán de la plataforma de redes sociales a utilizar. Facebook permite a sus usuarios mantener en privado sus imágenes y comentarios, así que los atacantes suelen solicitar una petición de amistad a los amigos del usuario objetivo o enviar una solicitud de amistad directamente al usuario objetivo para acceder a sus publicaciones. Si un atacante puede conectarse a diversos amigos del usuario objetivo, entonces será más probable que el usuario objetivo acepte la solicitud de amistad basándose en la cantidad de amigos conectados.

LinkedIn es otra red social que suele ser objetivo para estos ataques. LinkedIn es bien conocida por estar diseñada para el networking profesional, y las redes de los usuarios típicamente están llenas de colegas y otros empleados dentro de la misma organización. Si un atacante toma a una empresa como objetivo, LinkedIn es una excelente red social para recopilar correos electrónicos empresariales para un ataque de phishing. Una empresa grande podría tener diversos empleados en la red, que publican cosas acerca de la empresa y sus cargos. Un atacante puede usar esta información pública para hallar diversos empleados con acceso a información financiera, datos privados de los clientes o acceso a redes de alto privilegio.

Recopilar información para robar datos no es el único motivo para usar las redes sociales para reconocimiento. La información publicada en redes sociales podría usarse para obtener contraseñas o suplantar la identidad de los usuarios empresariales. Muchas cuentas online permiten a los usuarios restablecer las contraseñas si ingresan una pregunta de seguridad. Con la suficiente información de publicaciones en redes sociales, un atacante podría adivinar la respuesta a estas preguntas de seguridad basándose en la información privada publicada por un usuario objetivo.

La suplantación de marca es otra amenaza en redes sociales. Con suficiente información recopilada, un atacante puede suplantar a una marca empresarial para convencer a los usuarios de que envíen dinero, divulguen información privada o le den a un atacante las credenciales de una cuenta. Los atacantes también usan esta amenaza para ejecutar ataques de cross-site scripting (XSS) o cross-site request forgery (CSRF). Estos ataques pueden llevar a filtraciones de datos masivas y a vulneraciones en la infraestructura empresarial.

Como muchas plataformas de redes sociales muestran públicamente las publicaciones de los usuarios, los atacantes pueden recolectar datos de manera furtiva sin que el usuario llegue a enterarse. Algunos atacantes llevan esto un paso más allá, y optan por contactar directamente a los usuarios objetivo o a sus amigos para obtener información.

La manera en que los atacantes llevan a cabo amenazas en redes sociales (social media threats) depende del objetivo que persiguen.

Si un atacante busca una recompensa jugosa, la mejor manera de obtenerla es enfocarse en empresas. Un atacante podría mirar primero en LinkedIn para obtener una lista de posibles objetivos. Los objetivos pueden ser una mezcla de empleados corporativos de alto nivel y usuarios de bajos privilegios, a los que se puede engañar para que envíen datos corporativos o para que caigan víctimas de un ataque de phishing que le brinde al atacante acceso a credenciales de cuentas.

Ya con una lista de objetivos, un atacante podría supervisar las cuentas de redes sociales para obtener información personal. La información personal puede ayudar al atacante a ganarse la confianza del objetivo en un ataque de ingeniería social. También se puede usar para adivinar las respuestas a preguntas de seguridad para apoderarse de una cuenta, o para acercarse a un usuario de altos privilegios. Los nombres de mascotas, equipos deportivos favoritos o historial educativo son potenciales pistas que permitan descifrar o responder las preguntas usadas para verificar la identidad de un usuario para restablecer una contraseña.

Después de que el atacante recopile todos los datos necesarios, el próximo paso es lanzar el ataque. Un atacante puede usar cualquiera de los siguientes métodos:

• Ingeniería social. Un atacante podría llamar a los empleados para convencerlos de que enviasen datos privados, autentiquen credenciales o envíen dinero al atacante. En un ataque complejo, el atacante puede pretender ser un ejecutivo de alto nivel para convencer al usuario objetivo de que transfiera dinero a la cuenta del atacante.
• Phishing. Un atacante podría usar la información recopilada en redes sociales para suplantar al remitente de un mensaje de correo electrónico y convencer a los usuarios de que hagan clic en enlaces o envíen información privada al atacante. La dirección de correo electrónico de un empleado de alto nivel podría suplantar con un mensaje en el que se indique al destinatario que envíe dinero, clique en un enlace malintencionado o responda enviando datos delicados.
• Suplantación de marcas. Usando los nombres de empleados de la marca, el atacante puede engañar a los clientes para que piensen que las solicitudes provienen de una marca legítima. Esto se podría usar para engañar a los usuarios y lograr que divulguen información personal o credenciales de sus cuentas.
• Vulneraciones de páginas y robo de datos. Con la suficiente información extraída de las redes sociales, un atacante podría escribir malware orientado específicamente a la empresa o ejecutar un ataque que brindaría acceso a la red interna, que el atacante aprovecharía para exfiltrar datos.
• Difusión de malware. Al igual que la suplantación de marca, un atacante podría crear dominios y páginas web que afirman ser empresas legítimas para convencer a los usuarios de que descarguen malware o compartan credenciales.
• Filtraciones de datos. Si un atacante obtiene acceso a credenciales de una cuenta, esto podría producir una filtración de datos grave para una organización.

Como hay diversas plataformas de redes sociales en internet, un atacante puede perpetrar ataques de ingeniería social y de phishing usando una variedad de métodos de amenaza. No existe una amenaza en redes sociales “de talla única” para un atacante. Pero los métodos básicos de reconocimiento e investigación son los mismos. Cualquier información pública acerca de cuentas de redes sociales, tanto de individuos como empresariales, podría usarse en ataques posteriores.

La mayoría de los riesgos y amenazas de redes sociales se derivan de empleados que revelan públicamente demasiada información tanto privada como de la empresa. Estas cuentas son personales, así que las empresas no pueden evitar que los usuarios tengan una presencia en redes sociales. Pero lo que sí pueden hacer es proporcionar a los usuarios formación acerca de las mejores maneras de proteger sus datos y credenciales.

La formación es clave para detener a las amenazas y proteger la seguridad en las redes sociales. Los individuos pueden formarse por su cuenta. Pero las empresas deben realizar programas de formación para los empleados, de modo que estos puedan detectar y evitar la ingeniería social y el phishing. El primer paso es informar a los usuarios acerca de los peligros de revelar demasiada información online al público. Incluso las cuentas de redes sociales configuradas como “privadas” podrían usarse en un ataque si el atacante llegara a obtener acceso a feeds privados. Los usuarios nunca deben publicar información privada de sus respectivas corporaciones en redes sociales, ni tampoco información que pudiese usarse en un secuestro de cuentas.

Algunas organizaciones entregan a sus empleados dispositivos móviles y les permiten instalar aplicaciones de redes sociales. Estas empresas deben ofrecer una política de uso aceptable que determine qué pueden publicar los usuarios desde dispositivos empresariales. También es clave proteger a estos dispositivos del malware para evitar que las cuentas de redes sociales de la empresa sean hackeadas. Es necesario instalar software de borrado remoto si un empleado llega a perder físicamente el dispositivo o se lo roban.

Algunos otros puntos de formación para los empleados son:

• Usar bloqueadores de anuncios en dispositivos corporativos. Si usar bloqueadores de anuncios no es factible, hay que instruir a los empleados para que eviten hacer clic en anuncios, especialmente en ventanas emergentes que indiquen a los usuarios que descarguen software para ver contenidos.
• Los empleados no deben compartir contraseñas jamás, incluso dentro del mismo departamento.
• Los atacantes usan el miedo y la urgencia en sus interacciones, y los empleados deben ser capaces de reconocer estas tácticas como sospechosas. Cualquier mensaje o publicación en redes sociales que apremie a los empleados para que actúen rápido debe ser ignorado.
• No aceptar solicitudes de amistad de desconocidos, incluso si tienen varios amigos en común.
• Evitar entrar a páginas de redes sociales en redes Wi-Fi públicas. Las redes Wi-Fi públicas son una ubicación desde la que los atacantes pueden espiar datos usando ataques de intermediario (MitM).
• Las contraseñas de las cuentas de los usuarios deben cambiarse regularmente. Pero a los usuarios también se les debe exhortar a cambiar las contraseñas de sus propias cuentas de redes sociales.

El personal de informática debe colocar defensas de ciberseguridad para ayudar a los usuarios a evitar caer víctimas de un ataque. Los servidores de correo electrónico pueden usar aplicaciones de inteligencia artificial para detectar correos electrónicos con enlaces y adjuntos malintencionados.

Los administradores pueden poner en cuarentena y revisar los mensajes sospechosos para determinar si la organización está sufriendo un ataque. El aislamiento de navegadores también es una opción para organizaciones que permiten a los usuarios navegar por internet. Esta tecnología permite a los usuarios navegar libremente por internet, pero confina la actividad web personal a un contenedor protegido que evita las cargas y descargas, así como también el relleno de formularios, para mantener a las amenazas fuera del entorno.