Amenazas en el creciente uso de las Redes Sociales

Hoy en día, las redes sociales se han convertido en una herramienta muy valiosa para los atacantes cibernéticos. Estas representan una fuente rica de información para ataques de ingeniería social, envío de correos maliciosos a grupos específicos (spearphising), y una serie de aplicaciones utilizadas maliciosamente para obtener datos personales e información corporativa de manera ilícita.

En este contexto, PwC a través de su encuesta anual de seguridad de información 2015, identificó que al menos una de cada ocho empresas sufrió una violación o brecha de seguridad derivada de un ataque efectuado a través de redes sociales en los últimos 12 meses. En ese sentido, el reporte destaca algunas consideraciones sobre las redes sociales:

• Representan un frente de ataque fácilmente explotable y de bajo costo, debido a que gran parte de los usuarios acepta invitaciones de personas que ni siquiera conocen.
• Los datos alojados en ellas son “una mina de oro” para atacantes cibernéticos, debido a que es posible encontrar información de administradores de sistemas y/o posiciones ejecutivas con accesos privilegiados a la red de la organización.
• Nuestra defensa está en las manos de nuestros empleados y sus prácticas de seguridad de información.
• Inclusive especialistas en seguridad, en sus años de aprendizaje, son víctimas de ataques cibernéticos a través de redes sociales.
• Las redes sociales han presentado fallas en mantener sus propios entornos seguros, a pesar de los esfuerzos en la implementación de mecanismos para detectar y eliminar cuentas de usuario fraudulentas.

En línea con lo antes señalado, es importante mencionar que, un ataque a través de redes sociales, consiste en un trabajo meticuloso, que puede llevar semanas y hasta meses de preparación. En un reciente reporte de Forrester, denominado “cuatro formas en las que los criminales cibernéticos explotan las redes sociales”, (Nick Hayes, 2016), se categorizan dichas amenazas de la siguiente manera:

1. Reconocimiento: Criminales cibernéticos obtienen información de diferentes fuentes públicas y a través de cuentas falsas, son aceptados como contactos por parte de las víctimas de dichos ataques, con el fin de construir un perfil (compañía, posición en la que se desempeña, direcciones físicas e IP, intereses, etc.). Dicho perfil les permitiría posteriormente, suplantar a la persona y/o acceder de manera no autorizada a la red de la compañía, obteniendo información de clientes, empleados, propiedad intelectual, realizar un fraude, entre otros.
2. Explotación de vulnerabilidades técnicas: Las redes sociales son un canal ideal para la distribución de malware (virus, spyware, ransomware), a bajo costo y en escala masiva, a través de spearphising y/o comprometiendo sitios web por vulnerabilidades en su desarrollo (watering holes attacks). El FBI ha estimado que en los últimos 2 años, se han presentado USD$2.3 billones en pérdidas por fraudes generados a través de ataques a CEOs mediante las técnicas antes mencionadas.
3. Secuestro de marca: Los criminales cibernéticos buscan constantemente vulnerabilidades en el acceso de las cuentas que administran puntos clave donde se pueda encontrar nuestra marca digital (páginas web, motores de búsqueda, redes sociales, aplicaciones web, anuncios publicitarios online, entre otros.), a fin de alterar la información y manipular a nuestros clientes, afectando la imagen y reputación de la compañía.
4.  Amenazas coordinadas: Investigaciones efectuadas por la RSA Fraud Action Intelligence – USA, muestran su sorpresa respecto a cómo las redes sociales están siendo utilizadas como una herramienta de comunicación y venta de servicios fraudulentos para coordinar ataques a grupos y organizaciones específicos, mediante técnicas avanzadas de crimen y espionaje cibernético.

 En respuesta a esta situación, es altamente recomendable integrar nuestros esfuerzos en establecer una estrategia de seguridad en redes sociales, a través de las siguientes actividades:

• Desarrollar un marco, es decir la estructura organizativa, políticas y procedimientos, para evaluar y asegurar nuestra posición en redes sociales.
• Establecer un programa de sensibilización y concienciación en seguridad sobre los riesgos en el uso de redes sociales.
• Identificar a los empleados en posiciones clave que representan la mayor exposición a este tipo de riesgos.
• Reforzar y promover el fortalecimiento de competencias técnicas en seguridad informática, en los administradores de sistemas y demás personal de TI asociado.
• Incluir las redes sociales como parte de las auditorías, pruebas de penetración y análisis de vulnerabilidades, efectuadas internamente y por terceros especializados.
• Revisar constantemente las prácticas de seguridad de información del equipo de marketing.
• Evaluar la implementación de herramientas automatizadas de detección incidentes y monitoreo de eventos de seguridad sobre correo electrónico, páginas web y redes sociales.
• Enfrentar los riesgos en el uso de redes sociales, más allá de la seguridad de información tradicional, considerando el impacto legal, financiero y sobre todo reputacional, que puede afectar nuestra marca organizacional y personal.

Recordemos al experto en redes sociales Godfried Bogaard: “En el pasado tú eras lo que tenías, ahora eres lo que compartes”