(Por Sebastián Bortnik*) Las redes sociales han sido el servicio de mayor crecimiento en Internet los últimos años. Para muchos usuarios, son el principal motivo para conectarse a Internet: Facebook ha superado recientemente los 700 millones de usuarios (si fuera un país, sería el cuarto más grande del mundo) y otras siguen creciendo exponencialmente, como la red social de microblogging, Twitter, que posee más de 100 millones de usuarios; y la red social para profesionales Linkedin (hace unos meses fue identificada como la segunda red social más utilizada en Estados Unidos).
Sin embargo, muchos lectores habrán encontrado últimamente noticias referidas a incidentes relacionados a las redes sociales: plataformas con problemas de privacidad, usuarios que son engañados por aplicaciones maliciosas, robo de información, falsos perfiles o delitos contra menores de edad como el cyberbulling, entre otros. En ese contexto, ya no es extraño escuchar expresiones similares a: “las redes sociales son una amenaza”. Sin embargo, ¿esto es así?
La realidad es que utilizar dicha afirmación tal cual fue presentada es incorrecto, ya que no es, desde el punto de vista de los ataques, la forma correcta de graficar el escenario en el que se desarrollar las amenazas. Con el crecimiento en la cantidad de usuarios, los atacantes encontraron en estos servicios una vía de rápido acceso a un número elevado de víctimas potenciales; y basándose en la Ingeniería Social, publican falsos contenidos que enlazan a los usuarios con la amenaza. De esta forma, las redes sociales son solo un medio para el ataque. Amenazas que hace unos años se transmitían por correo electrónico, hoy lo hacen a través de las redes sociales.
¿Cuáles son las amenazas para las cuáles debe protegerse el usuario? Es posible englobarlas en cuatro categorías. En primer lugar, aparece el malware: muchos códigos maliciosos (especialmente troyanos) han utilizado las redes sociales como medio de propagación. Koobface ha sido la amenaza más importante en este campo. Este código malicioso, cuyo nombre es un anagrama de Facebook, nació a finales del año 2008, y en su primera versión se propagaba automáticamente desde las computadoras infectadas, cuando la víctima ingresaba a Facebook, enviando un mensaje a todos los contactos del usuario, con un supuesto video de YouTube que en realidad era el mismo código malicioso. Desde entonces, Koobface ha tenido diversas campañas de propagación, y muchas variantes de códigos maliciosos se han abocado a este tipo de estrategias, orientadas a la propagación por redes sociales.
En segundo lugar aparecen los ataques de phishing, ataque que consiste en el robo de información personal del usuario (nombre de usuario y contraseña) a través de la falsificación de un ente de confianza. Es frecuentemente utilizado duplicando sitios web de redes sociales, de forma tal de poder acceder a los perfiles de los usuarios. Estos, luego, son utilizados para campañas de spam, acoso o directamente como base para el robo de identidad (el delito informático de mayor crecimiento el último año).
En tercer lugar aparece el robo de información de toda índole y, finalmente, las amenazas a los menores de edad, especialmente el acoso (cyberbulling), entre otros (también se destacan el grooming – contacto de un mayor con un niño con intenciones de índole sexual – y el sexting – envío de imágenes de índole sexual de forma voluntaria).
Como se puede observar, son muchas las amenazas que circulan por las redes sociales y, cuidado, no se debe cometer el error de subestimar la existencia de estas. Hace unos meses en las encuestas que realizamos periódicamente a través de nuestros sitios web, consultamos a los usuarios sobre la seguridad en las redes sociales, y hubo una respuesta que nos llamó particularmente la atención: ¿qué riesgos consideraba el usuario que existían al momento de utilizar redes sociales? La mayoría de los encuestados identificaron aquellos asociados a la pérdida de información o exposición de la privacidad. Sin embargo, tan sólo el 48,6% de estos consideró que los códigos maliciosos son un riesgo en las redes sociales. Como ya hemos explicado, esto no es cierto. Lamentablemente, los usuarios no asocian el riesgo del malware a estos servicios, a pesar de que los atacantes los han venido utilizando cada vez con mayor frecuencia para la propagación de estas amenazas.
Finalmente, ¿cómo protegerse? Esencialmente, deben combinarse las tecnologías de seguridad con las buenas prácticas. En primer lugar, instalar software de seguridad antivirus para evitar el malware, y acompañar a esta tecnología evitando agregar contactos sospechosos, o hacer clic en enlaces de forma extrema; además de que es recomendable que el usuario se tome un tiempo prudencial para configurar la privacidad en el uso de estos servicios, además de utilizarlos bajo el protocolo seguro HTTPS.
Combinando las tecnologías con la educación, es posible hacer un uso de las redes sociales – que no son una amenaza – sin una exposición extrema a los riesgos existentes, y con niveles importantes de protección.
*Coordinador de Awareness & Research – ESET Latinoamérica.