Seguridad en las redes sociales: con la contraseña no basta / Por: Gabriel Marcos - Gerente de Data Center, Seguridad y Outsourcing para Latinoamerica de Global Crossing
 | Por: Gabriel Marcos (*)Gerente de Data Center, Seguridad y Outsourcing para Latinoamérica de Global Crossing |
Las redes sociales son nuevas formas de interacción social que comenzaron a ser explotadas por las empresas, pero plantean desafíos de seguridad que muchas veces no son tenidos en cuenta, ni conocidos por los usuarios.
Cuando creó su cuenta de Facebook, seguramente tuvo cuidado de utilizar una contraseña segura, ¿verdad? Por ejemplo, alternó entre mayúsculas y minúsculas, utilizó números, no comparte la misma contraseña con otros sitios, como por ejemplo Gmail o Hotmail, y nadie más que usted la conoce. Con todas esas precauciones, se garantiza que nadie puede acceder a sus datos. Eso es lo que la mayoría cree.
Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña.
Como siempre, debe haber un engaño de por medio, que le permita al atacante acceder a su información personal y la de sus contactos, pero lo novedoso de esta técnica es que el tipo de engaño necesario es sorprendentemente fácil de conseguir.
El nombre que recibe esta técnica es “cross-site identification” o CSID, y se trata de generar, en primer lugar, que usted ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook (o cualquiera de las otras redes sociales que son vulnerables, como por ejemplo Hi5. De esta manera, el atacante aprovecha que usted ya había ingresado la contraseña, para engañar a la red social y solicitar el envío de información como si usted mismo lo estuviera haciendo.
Por supuesto, en ningún momento durante el ataque es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.
En cuanto al sitio necesario para el engaño, es preciso que genere una motivación para que el usuario acceda a hacer “clic” en algún link o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque.
¿Qué se puede hacer para evitar caer en esta nueva técnica? Lo cierto es que la mayor de las posibilidades de evitar un ataque de cross-site identification recae en los sitios de las redes sociales, ya sea mejorando el diseño de sus interfaces, aumentando la seguridad de las aplicaciones, y fortaleciendo las políticas de entrega de datos personales de los usuarios.
Sin embargo, podemos citar 5 recomendaciones que siempre es necesario tener en cuenta, y que pueden ayudar a protegerse también de este tipo de ataque:
- En las redes sociales, acepte invitaciones solamente de gente que conoce.
- Configure siempre las preferencias de seguridad y privacidad de su perfil. Le puede tomar algo de tiempo, pero realmente vale la pena para protegerse.
- Utilice aplicaciones en las redes sociales solamente cuando conozca el origen, es decir, quién es el autor o la empresa que la distribuye, y qué hace exactamente.
- Al otorgar acceso a sus datos personales, tanto a una aplicación como a la red social en sí, evalúe las consecuencias potenciales de la decisión. La recomendación es probar primero denegar accesos, y habilitarlos si comprueba que son necesarios.
- No habilite las opciones que le permiten mantenerlo logueado durante mucho tiempo en un sitio. Es preferible ingresar la contraseña varias veces. Generalmente, esta opción se presenta como: “no cerrar mi sesión”, “mantenerme logueado”, “keep my session alive” o algo similar.
- Cuando deje de utilizar una página que requiere de una contraseña (ya sea una red social, su correo o el home-banking), siempre asegúrese de desconectarse. Busque la opción llamada: “sign out”, “log out”, “salir” o similares.
(*) PERFIL
Gabriel Marcos es Gerente de Data Center, Seguridad y Outsourcing para Latinoamérica y el Caribe. Bajo su responsabilidad se encuentra el desarrollo, posicionamiento, lanzamiento y generación de demanda de los servicios de Virtualización, Business Intelligence, y Seguridad de la Información que utilizan los clientes de Global Crossing. Participa también como líder de proyecto en el proceso de certificación ISO 27000 para el Security Operation Center regional de Global Crossing. Gabriel publica habitualmente artículos y papers en diferentes medios del sector, y participa como orador en eventos referidos a Seguridad de la Información, abordando problemáticas relacionadas a la gestión del riesgo como parte fundamental de los procesos de negocio, y la gestión de inversiones y el outsourcing de servicios de tecnología y seguridad. Gabriel Marcos es Analista de Sistemas, ha recibido formación en estándares internacionales como ISO 9000, ISO 27000, ITIL, COBIT, y forma parte de la empresa desde 1997.