Investigadores de la Universidad de British Columbia, en Vancouver, dieron a conocer una nueva técnica que hace posible robar información de Facebook.
Utilizando socialbots, programas que imitan perfiles reales de Facebook, los investigadores fueron capaces de recopilar grandes cantidades de información personal de los usuarios de la red social.
Según los expertos, cada vez más los criminales cibernéticos están usando los software socialbots, que son puestos a la venta en internet por una cifra tan baja de US$29 dólares.
Facebook cuestionó la investigación y dijo que las conclusiones fueron exagerados.
Un socialbot es una adaptación “social” de los botnets, que son usados por criminales para esparcir spam o correo basura.
Botnet es el término que se usa para definir a un conjunto de robots o “bots” que se ejecutan automáticamente.
Un tradicional botnet es una red de computadoras infectadas por un virus que permite que un criminal del ciberespacio ejerza control remoto de las computadoras afectadas.
Con frecuencia, los controladores de la red botnet roban información de las computadoras de las víctimas o usan dichas máquinas para enviar correos basura o llevar a cabo otros ataques.
Lo que hace al socialbot diferente es que es capaz de hacerse pasar por un usuario real de Facebook y de interactuar como uno más en el ecosistema de la red.
El software toma el control de un perfil de la red social y desde ahí ejecuta actividades básicas como publicar mensajes y enviar solicitudes de amistad.
Los cuatro investigadores de la Universidad de British Columbia crearon 102 socialbots para usar en sus experimentos y un “botmaster“, un software que envió las órdenes a los otros robots.
Los investigadores usaron sus socialbots por un periodo de ocho semanas. En total, los robots intentaron hacerse amigos de 8.570 usuarios de Facebook. 3.055 aceptaron la solicitud.
Los investigadores hallaron que entre más amigos tenía una persona en Facebook, era más probable que aceptara una amigo “falso”.
Para evitar activar el software de Facebook dedicado a la detección de fraudes, las cuentas falsas sólo enviaron 25 solicitudes de amistad por día.
De los perfiles de aquellas personas de las cuales se convirtieron en amigos y de los perfiles de los amigos de ellos, los investigadores aseguraron que “robaron” 46.500 direcciones de correo electrónico y 14.500 direcciones residenciales.
En el estudio, que será presentado en la Conferencia Anual de Seguridad Informática en Florida, los investigadores escribieron: “A medida de que los socialbots infiltran una red social que ha sido atacada, ellos pueden recopilar información privada de los usuarios como direcciones de correo electrónico, números telefónicos y detalles con valor monetario”.
“Para un adversario, esa información es valiosa y puede ser usada para hacer perfiles online, para la difusión de correos electrónicos a gran escala y para campañas de phising”.
Facebook señaló que el experimento no era realista porque las direcciones IP usadas provenían de una fuente universitaria confiable. En su opinión, las direcciones IP usadas por criminales reales prenderían las alarmas.
La red social también aseguró que había inhabilitado la mayoría de las cuentas falsas que los investigadores aseguran activaron.
“Tenemos numerosos sistemas diseñados para detectar cuentas falsas y evitar la obtención de información. Estamos constantemente actualizando esos sistemas para mejorar su efectividad y enfrentar nuevos ataques”, señaló un vocero.
“Usamos investigaciones confiables como parte de ese proceso. Tenemos serias preocupaciones sobre la metodología de la investigación realizada por la Universidad de British Columbia y se las presentaremos (al grupo de investigadores)”.
“En adición, como siempre, exhortamos a las personas a que sólo se conecten con personas que ellos realmente conocen y que reporten cualquier comportamiento sospechoso que observen en el sitio”.
Los investigadores estimaron que un ataque malicioso real pudo haber conseguido un nivel de éxito de 80%.
“Las defensas de las redes sociales en internet, como el Sistema Inmune de Facebook, no son lo suficientemente efectivos al detectar o al frenar infiltraciones de largo alcance cuando ocurre”, concluyeron los investigadores.
“Consideramos que la infiltración, a larga escala, de las redes sociales por internet es sólo una de muchas amenazas futuras en el ciberespacio y defenderse de dichas amenazas es el primer paso para mantener una web social más segura para millones de usuarios activos”.
El experto en seguridad de la compañía Sophos, Graham Cluley, indicó que la investigación es “interesante”.
“Claramente hay una lección para los usuarios de Facebook sobre la necesidad de ser más cuidadosos a la hora de aceptar una invitación de amistad y sobre la información que decides compartir online”, señaló Cluley en su blog.
Pero, el especialista cuestionó cuán ética es la investigación.
“No es probable que el equipo de seguridad de Facebook vea con buenos ojos a las personas que condujeron los experimentos, como los investigadores de la universidad, y a los usuarios se les recuerda que bajo las condiciones de uso de Facebook, está prohibido crear perfiles falsos, que deben usar su nombre verdadero y que sólo puede recabar información de otros usuarios con su consentimiento”, indicó el experto.
Las empresas ahora se dedican a buscar el perfil de quien aplica para una solicitud de un trabajo.