Facebook, con más de 500 millones de usuarios en todo el mundo, acaba de superar al buscador Google en número de visitas en EEUU, según la compañía de análisis Hitwise. Twitter supera los 175 millones de miembros y la española Tuenti cuenta con más de nueve millones de usuarios. Ante estos datos, no es extraño que los creadores de software malicioso apunten a las redes sociales como objetivo prioritario para conseguir víctimas potenciales.
Así lo apunta el Informe Anual de Seguridad realizado por PandaLabs que, aunque presagia que 2011 traerá pocas innovaciones radicales en el ámbito de las amenazas, señala a las redes sociales como uno de los vectores principales de ataque. José Antonio Redondo, autor del libro Socialnets, destaca que los delincuentes informáticos se han interesado por las redes en la medida en que estas son una inmensa fuente de datos personales. “Algunos informes señalan a Facebook como una de las diez compañías más afectadas por phishing. También ha sufrido ataques para hacerse con los millones de datos que tienen almacenados”, añade. El auge de ataques en las redes sociales no significa que en el año que comienza vayan a desaparecer los métodos convencionales de envío de software malicioso, como los archivos ejecutables adjuntos en los correos electrónicos.
Varias compañías de seguridad online coinciden en destacar que los conocimientos de los usuarios sobre este tipo de engaños han llevado a los delincuentes a migrar a herramientas en las que los internautas se muestran más confiados. “Facebook o Twitter se utilizan cada vez más con fines delictivos debido al número de internautas que los utilizan y a la falsa sensación de seguridad que tienen los usuarios en los contenidos publicados en este tipo de redes”, resume el director técnico de PandaLabs, Luis Corrons.
El informe Predicciones de amenazas para 2011 de McAffeLabs también destaca que los ataques en las redes sociales van a rebasar a los del correo electrónico. “Esperamos ver un número mayor de ataques selectivos relacionados con las identidades y datos personales. La cantidad masiva de información online, unida a que los usuarios desconocen cómo proteger sus datos, facilitará a los ciberdelincuentes el robo de identidades y la recopilación de perfiles de usuarios”, detalla el estudio.
Uno de los objetivos más habituales de los delincuentes es la usurpación de identidad en las redes sociales ya que, haciéndose pasar por contactos de otra persona, es más fácil lograr que las víctimas caigan en la trampa. El usuario recibe un mensaje en el que un conocido le indicará que debe pinchar en un enlace (generalmente con el reclamo de una fotografía o un vídeo). El vínculo llevará a una página falsa de la red social en la que se pide introducir el nombre de usuario y la contraseña. Una vez introducidos esos datos, se le pedirá que conceda permisos de acceso al perfil a una aplicación.
Esta herramienta de software malicioso tendrá acceso total a la información personal del usuario, así como permisos para publicar información en su perfil. El ataque se dirigirá entonces a los contactos de la víctima para poder captar nuevos usuarios que lo reenvíen a su vez. “Los enlaces suelen ser enviados por amigos que tienen su cuenta infectada. Si no estás seguro de por qué alguien está enviándote algo vía Facebook, deberías utilizar otro medio de comunicación para verificar la autenticidad del mensaje”, aconseja en el blog de Kaspersky Lab el analista Christian Funk. Uno de los servicios externos a Twitter, aunque protagonista indiscutible de sus mensajes, son las direcciones abreviadas. Como el usuario sólo tiene 140 caracteres para difundir su mensaje, es imprescindible utilizar un acortador de direcciones web para hacer referencia a páginas externas. En realidad, el usuario no sabe cuál es la web de destino, ya que no hay nada en la URL que se lo indique.
Los expertos apuntan a un uso malicioso de esta fórmula para realizar spam o realizar timos. Javier Guembe, editor de estwitter.com, el blog más visitado en español de esta herramienta, explica que hay creadores de software malicioso que intentan “enmascarar la dirección web definitiva y redirigir al usuario a un sitio con XSS [que permitiría ejecutar acciones en nombre de la víctima sin su permiso, por ejemplo]”. McAffeLabs también alerta del abuso que puede realizarse de estas direcciones abreviadas. “En la actualidad rastreamos y analizamos por minuto más de 3.000 webs reducidas. Observamos un número creciente de estas direcciones utilizadas para enviar spam, realizar timos y otros fines maliciosos”, añade el estudio.
McAffe utiliza la experiencia del caos acaecido en Twitter el pasado septiembre, cuando un usuario sólo quiso gastar una broma introduciendo un código en los mensajes y otros aprovecharon esta vulnerabilidad para enviar al usuario a páginas no solicitadas. “Los timadores aprovechan la inmediatez de los medios sociales frente al correo electrónico para conseguir sus objetivos”, destaca el informe.
Uno de los problemas más acuciantes de seguridad en las redes sociales es que los antivirus pueden proteger de la instalación en el ordenador de software malicioso, del spam recibido por correo electrónico o avisar de que una aplicación intenta acceder al sistema. Pero, en estas nuevas amenazas basadas en la ingeniería social, no siempre funciona tener un programa de protección, aunque se encuentre actualizado.
Si es el usuario el que da los permisos necesarios para que una aplicación controle su muro en Facebook, el antivirus no lo impedirá a no ser que el software malicioso pueda tomar el control del ordenador. “El internauta debe ser cauto, pero no siempre se da el caso: hay muchos usuarios en la red a los que les falta formación muy básica, y ahí los creadores de software malicioso siempre tendrán un gran caldo de cultivo”, reconoce Guembe. En el mismo sentido se expresa Roberto Carreras, consultor y profesor de la Universidad Oberta de Catalunya: “La privacidad de un perfil puede gestionarse hasta hacerla muy restrictiva, pero no todos los usuarios la gestionan de manera eficaz y tampoco se preocupan a la hora de instalar aplicaciones que, en ocasiones, sólo persiguen captar los datos de esos usuarios”.
La mejora de la seguridad que la red social es capaz de desarrollar por sí misma es otro de los retos de 2011. El caos de Twitter pudo realizarse aprovechando un fallo de seguridad de la red, que no pudo prever que algún usuario podía utilizar los mensajes cortos para introducir códigos que promovieran acciones en el ordenador del resto. Aunque el problema se resolvió en unas pocas horas, afectó a más de medio millón de usuarios, que no sabían exactamente a qué tipo de riesgo se enfrentaban.Facebook o MySpace tampoco han estado exentas de problemas internos, en este caso, relacionados con los servicios de terceros que alojan. “Algunas aplicaciones a veces usan y abusan del acceso que les damos a nuestros datos personales”, detalla Redondo. En esos casos, poco pueden hacer las compañíasde seguridad o los propios usuarios. Ante la denuncia del diario The Wall Street Journal, Facebook tuvo que reconocer que varios creadores de aplicaciones habían vendido información de los usuarios a otros. “Estas filtraciones eran contrarias a su política y ajenas a su voluntad, pero el hecho es que este tipo de cosas suceden”, explicael autor de Socialnets, que destaca la aplicación de protocolos seguros por defecto como una forma de frenar este tipo de situaciones.