Hace unos pocos días salió a la luz un nuevo proyecto titulado Facebook Pwn, una iniciativa desarrollada a modo de pruebas de concepto, pero que podría ser utilizado con fines maliciosos para recabar información confidencial en la red social más popular. La aplicación es muy sencilla, permite descargar información de perfiles de Facebook, a partir del envío de falsas solicitudes de amistad a los usuarios víctima.
¿Cómo funciona la aplicación? A partir de la creación de un perfil para robar la información, se van eligiendo los perfiles de las víctimas; y la herramienta, a través de diversos plugins, envía invitaciones de amistad automáticas y, si son aceptadas, descarga en la computadora toda la información disponible en el perfil afectado. De esta forma, todos los contenidos que son subidos a la red social pueden estar en poder de un tercero si el usuario tiene la mala costumbre de aceptar solicitudes de amistad de forma frecuente, y sin conocer los datos del "nuevo amigo".
La herramienta, además, permite realizar la invitación utilizando fotos de usuarios amigos de la víctima, de forma de optimizar la probabilidad que la solicitud sea aceptada.
En un principio, vale destacar que la aplicación no hace nada que no pueda realizarse manualmente, solo que lo automatiza y por ende lo hace más peligroso. Aunque el autor aclara que el proyecto "es una prueba de concepto" y que "no debe abusarse" del mismo ("This project is a PoC. Use it on your own risk and please do not abuse! ") , la realidad es que se trata de otra herramienta maliciosa más al alcance de cualquier usuario malintencionado.
Lamentablemente las redes sociales se han convertido, para muchos usuarios, es un lugar para "coleccionar amigos", sin tomar conciencia que detrás de cada uno de esos contactos, puede haber una persona malintencionada; o se pueda exponer (sin ser conscientes) la privacidad como persona.
¿Qué puede hacer el usuario? En primer lugar, evitar la acumulación innecesaria de amigos. Si en el mundo físico no andamos relacionándonos con cientos de personas solo porque sí, es bueno llevar la misma buena práctica al mundo virtual. En ese contexto, rechazar las solicitudes de amistad de desconocidos es la mejor práctica a seguir.
En segundo lugar, dada las características de la herramienta, es bueno verificar que no se estén recibiendo solicitudes de amistad de personas que ya son nuestros amigos; ya que es una de las características de Facebook Pwn.
Finalmente, muchos usuarios suelen aceptar solicitudes de amistad de desconocidos para, justamente, "conocer gente". En esos casos (que deben evitarse hacerse de forma "automatizada" o "natural"), es recomendable tener en cuenta:
- Que es posible configurar la privacidad de Facebook para que estos contactos desconocidos no vean el perfil completo sino solo determinados contenidos.
- Que es posible intercambiar mensajes con aquellos contactos que no son nuestros amigos. Por lo tanto, antes de aceptar una solicitud, no es una mala práctica enviar un mensaje intentando averiguar cuál es la intención de contacto.
Estas, son algunas de las buenas prácticas para Facebook, de forma tal de evitar este tipo de ataques que luego pueden inducir a otros delitos informáticos como el robo de identidad. Les recomiendo la lectura completa de la Guía de Seguridad en Redes Sociales para conocer más buenas prácticas sobre esta problemática.
Sebastián Bortnik
Coordinador de Awareness & Research