Como les comentaba el día lunes, otra de las temáticas que dejó Virus Bulletin 2010 fue el debate sobre las redes sociales y su relación con la seguridad. Tanto por el hecho de que fue la temática elegida por la organización para abrir y cerrar el evento, como por otras charlas presentadas durante los tres días de congreso, quedó en claro que la relación entre los ataques informáticos y las redes sociales es cada vez más estrecha, y hay dos aspectos puntuales que quiero compartir con ustedes.
¿Son confiables las redes sociales?
La pregunta me surge luego de relacionar algunos de los conceptos que se vieron en la charla de inicio y el panel de cierre. Por un lado, durante la primer charla del evento, Nick Bilogorskiy, de Facebook, fue mostrando los diversos ataques que pueden sufrir los usuarios de Facebook, e hizo especial hincapié en remarcar quiénes son los responsables de cada ataque, haciendo foco en la educación del usuario y, como no, en las responsabilidades que no tiene la red social sobre estas amenazas. Lo que por estas tierras se conoce como "lavarse las manos", aunque sí quiero destacar que las apreciaciones objetivas de Bilogorskiy fueron realmente ciertas: en muchos casos los principales responsables de que se realice un ataque con éxito no es la propia red social, especialmente cuando se trata de enlaces maliciosos (la amenaza se aloja fuera de la red social, y esta es sólo un medio) y por otro lado del tema que quiero clarificar: las aplicaciones de terceros.
Como muchos usuarios sabrán, muchas redes sociales tienen las aplicaciones, es decir, la posibilidad de incorporar diversas funcionalidades y combinarlas con las de la propia red social. Las redes sociales más populares como Twitter o Facebook las poseen. Lo que muchos usuarios no conocen es que estas aplicaciones no son desarrolladas por la empresa, sino que cualquier persona en el mundo puede realizar una aplicación a través de lo que se conoce como APIs.
Las APIs son una serie de reglas que indican cómo debe programarse la aplicación para funcionar con la red social. Es decir, por ejemplo, que Facebook publica las API, que básicamente dice: "si querés hacer una aplicación que funcione en Facebook, debés seguir lo que dice aquí". Y, como ya se dijo, de ahí en más cualquier programador puede crear una aplicación.
¿Qué implicancia tiene esto en la seguridad? Que las aplicaciones no han sido desarrolladas por la red social, por lo tanto no es posible saber si se puede confiar o no en ellas. Existen dos posibles vectores de ataque a estas:
- Aplicaciones benignas que posean vulnerabilidades aprovechadas por los atacantes.
- Aplicaciones maliciosas, creadas exclusivamente para hacer un daño al usuario.
Entonces, al momento de preguntarnos si son seguras las redes sociales, vale destacar que si se consideran las aplicaciones de terceros es imposible contestar esta pregunta, ya que día a día aparecen nuevas y ya son cientos de ellas, y cada una puede o bien ser maliciosa o bien contener vulnerabilidad y, en esto sí hay que darle la derecha a Bilogorskiy, no han sido programadas por la propia red social.
De todas formas, sí vale destacar que las redes sociales pueden incorporar mecanismos y procedimientos (que podrían ser más efectivos según algunos profesionales) para controlar de forma más eficiente la seguridad de estas aplicaciones, u optimizar los tiempos de baja cuando una de estas es maliciosa.
Para el usuario, recuerden, si hay de por medio una aplicación, no confíen en ella como confían en la propia plataforma, ya que no es la red social la responsable del desarrollo, y por ende de la seguridad e la misma.
BlackHat SEO y redes sociales
Por último, vale destacar otro vector posible de ataque hacia las redes sociales, que es el presentado por Dan Hubbard en su presentación "P0isoning The Social Web": el peligro de las búsquedas en tiempo real.
Como muchos de ustedes ya sabrán, se denomina Black Hat SEO a la contaminación de los resultados en las búsquedas con contenido malicioso. Un tema que hemos tratado en variedad en el blog, y que también tuvo una charla durante el congreso.
Sumado a esta tendencia, Hubbard agrega otro aspecto importante relacionado, que es la generación de búsquedas en tiempo real, notorias en redes sociales como Facebook y especialmente Twitter. Por ejemplo, cuando un usuario entra a Facebook ve los últimos estados o actualizaciones de todos sus amigos, ¿qué pasaría si el atacante crea un usuario malicioso que coloque enlaces también maliciosos cada 30 segundos? Cada vez que los amigos de el perfil falso accedan a la red social, tendrán en el home algún contenido malicioso. Lo mismo ocurre con las búsquedas en Twitter y los hashtags, especialmente cuando se trata de eventos especiales. Suponga que se están jugando las finales del mundial, un atacante podría publicar en un perfil de Twitter cada 30 segundos y de esta forma llegar con enlaces maliciosos a las miles de personas que sigan dicho hasghtag en tiempo real. Es decir, se trata de un ataque sencillo y a la vez potente. Y a la vez moderno, estamos hablando una tendencia de unos pocos años y especialmente acentuada durante este 2010.
Para el usuario, es importante conocer este riesgo y prestar especial atención a los enlaces en los que se hace clic cuando se está en estas situaciones, y verificar quién es la persona que está publicando dicho enlace.
Aquí he compartido con ustedes algunas de las ideas más importantes que se conversaron en Virus Bulletin sobre la seguridad de la información y las redes sociales.
Sebastián Bortnik
Coordinador de Awareness & Research