Sabemos que medio mundo es miembro de alguna red social, siendo Facebook la más popular. La facilidad con la que se puede compartir información personal, aunada a riesgos tecnológicos inherentes en las plataformas sociales, han creado nuevos vectores de ataque a las empresas.
La forma de ataque funciona de la siguiente manera. El hacker crea un perfil falso, e invita a toda la gente que puede a ser amigos. Cuando alguien lo acepta como amigo, es más fácil invitar a los amigos de este nuevo “amigo”, y así crece la red del hacker en forma extremadamente rápida. Este proceso hasta se puede automatizar con un script, no lo tiene que hacer a mano el hacker. Si es automático, entonces se le conoce como un “worm”, o “gusano”. Una vez que el hacker tiene muchos “amigos” postea en sus “walls” alguna liga, algo como “mira este video interesante”. Y claro, la liga apunta a un sitio con malware, el cual descarga un troyano en la máquina de quien lo visita. El hacker también puede enviar invitaciones de eventos, mensajes directos, etc. Estos ataques también pueden ser de phishing, y más peligroso aún, de spear phishing, ya que la cantidad de información personal que el hacker puede ver en la página de la red social le da suficiente material para enviar mensajes muy específicos para el usuario.
Facebook y los demás hacen un esfuerzo por defenderse; he visto que a veces ponen capchas cuando intentas publicar un link. Pero este es un problema que no tiene una solución técnica, sino de educación del usuario. Y cualquiera que haya tenido experiencia tratando de capacitar usuarios en seguridad informática, sabrá que para algo como Facebook, es una batalla perdida. Siempre habrá gente que confíe en sus “amigos” virtuales, y hagan click en la liga infectada.
¿Cómo podemos entonces mitigar el riesgo de las redes sociales en nuestras empresas? Lo primero que recomiendo es que no permitas el uso de Facebook, MySpace, Hi5, etc., en tu red corporativa; simplemente bloquéalos. No solo por seguridad informática, sino por aspectos de productividad.
Segundo, asegúrate que todas las PCs tengan todos sus parches al día, y que todos estén usando la versión más reciente del Internet Explorer. De esta forma si llegan a entrar a un sitio con malware, hay muchas menos probabilidades de que el sitio logre descargar un troyano, y de que el troyano una vez instalado, ataque las vulnerabilidades de las PCs sin parchar.
Otro factor importante y mucho más difícil de controlar es el aspecto de fuga de información. Es muy común que empleados pongan información relacionada a su trabajo en las redes sociales, en especial en LinkedIn. Si por ejemplo uno de tus gerentes de venta crea un grupo de usuarios en LinkedIn e invita a todos sus clientes que tienen cuenta, entonces la competencia puede fácilmente encontrar este grupo, ver la información de contacto de todos tus clientes, y comenzar a bajártelos.
Para este problema la única mitigación es establecer políticas estrictas y realizar auditorías periódicas de aquellos empleados autorizados a usar LinkedIn.
Sergio Castro es gerente de Qualys Latinoamérica (www.qualys.com), y se especializa en análisis de vulnerabilidades, seguridad de aplicaciones web y la norma PCI. (scastro@qualys.com)
SÍGUENOS
© 2010 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260