Actualmente, la gran mayoría de empresas dispone de perfiles en las principales redes sociales (Facebook, Twitter, Google+, etc.). Dichos perfiles, suponen un activo muy importante sujeto a múltiples riesgos, que en caso de materializarse, pueden llegar a afectar muy negativamente a sus respectivos negocios.
En este artículo, se tratarán dos de las principales amenazas que pueden afectar a dichas empresas. Estas amenazas son: el secuestro y la suplantación de perfiles de redes sociales.
El secuestro es la acción llevada a cabo por una atacante, con el objetivo de obtener el control del perfil, retirándoselo a su legítimo titular. Una vez obtenido el control, el atacante es capaz de llevar a cabo cualquier acción como si fuera realmente su titular.
La suplantación es la acción llevada a cabo por un atacante, con el objetivo de hacerse pasar por el titular, utilizando otro perfil. En este caso, el atacante no posee realmente el control del perfil de la empresa. Sin embargo, si posee un control “aparente”, hasta que se descubre el engaño.
Caracterización del ataque y el objetivo
Este tipo de ataques suelen llevarse a cabo con fines económicos. La extorsión es el principal medio a través del cual el atacante alcanza dicho fin. Generalmente, el atacante amenaza a la empresa con llevar a cabo alguna acción que le provocará un daño importante (afectando a la imagen de la empresa, el atractivo de sus productos, la relación con sus clientes, sus trabajadores, etc.), si no accede a entregarle cierta cantidad de dinero. Sin embargo, en otros casos el atacante utiliza las infraestructuras tecnológicas de la empresa, para llevar a cabo el ataque sobre un tercero (envío de SPAM, ocultación del origen del ataque, etc.), independientemente de si este último mantiene algún tipo de relación con la empresa.
Es importante tener en cuenta que no todas las empresas presentan el mismo riesgo a ser atacadas. Su nivel de riesgo depende de un conjunto de factores. Entre los principales factores se encuentra el tamaño. Existe una relación directa entre el tamaño y el nivel de riesgo. Esto es debido a que a mayor tamaño, generalmente, mayores son los beneficios / el número de clientes / el número de trabajadores. El hecho de que una empresa presente mayores beneficios puede incentivar la motivación económica de sus potenciales atacantes. Por otro lado, un mayor número de clientes determina un aumento de los potenciales efectos de las acciones llevadas a cabo. Finalmente, un mayor número de empleados puede suponer una ampliación de la superficie de ataque (más puntos potencialmente vulnerables).
Medidas de protección
Para poder protegernos ante este tipo de ataques, en primer lugar es necesario definir una estrategia de marketing en redes sociales que tenga en cuenta la seguridad en su proceso de elaboración. A la hora de decidir en qué redes sociales la empresa estará presente, es necesario analizar el esfuerzo que conlleva mantener y proteger correctamente un perfil, en términos de operativa diaria y de seguridad respectivamente. De esta forma, se podrán seleccionar las redes sociales más adecuadas, en términos de marketing y seguridad, de acuerdo a los recursos disponibles de la empresa.
Además, debe definirse una estrategia de defensa en profundidad que establezca medidas de seguridad en cada uno de los niveles de protección (prevención, detección, reacción i recuperación).
Medidas de prevención
La principal medida de seguridad utilizada es la identificación y autenticación del usuario que accede al perfil. Generalmente este proceso se realiza a través de un nombre de usuario y una contraseña. Es muy importante realizar una correcta gestión de las credenciales de acceso. La contraseña debería presentar un nivel de robustez, como mínimo, proporcional al valor que posee el perfil social para la empresa. Además, debería renovarse periódicamente, ante cualquier sospecha de su compromiso y ante cualquier cambio del personal encargado de su gestión. Respecto a este último punto, es muy importante asegurar que ninguna persona que ya no se encuentre autorizada pueda acceder al perfil (ej. empleado dado de baja). Además, las contraseñas deben almacenarse de forma ininteligible (por ejemplo cifradas), y únicamente sus gestores deben estar autorizados a accederlas y modificarlas. Por último, hoy en día prácticamente todos los servicios online ofrecen doble factor de autenticación. Se recomienda, siempre que sea posible, analizar y valorar la posibilidad de habilitar esta opción.
Otra medida de seguridad, cuyo objetivo es dificultar que se lleven a cabo con éxito ataques de suplantación, es la inclusión en el perfil de una marca que verifica la identidad de su titular. Esta marca, indica a todos los usuarios del servicio que la identidad del perfil ha sido verificada.
Por último, es importante que los usuarios conozcan el tipo de comunicaciones oficiales que establecerá la empresa. Indicando, qué información les podrá solicitar a través de dicho canal, y advirtiendo de aquella información que en ningún caso les solicitará y los canales a través de los cuales no se comunicará. También, los usuarios deben ser informados sobre los cambios que se produzcan en el perfil/es (alta de nuevo perfil complementario, baja de perfil obsoleto, modificación de URL, etc.), de esta forma los usuarios podrán conocer en todo momento cuáles son los perfiles oficiales que se encuentran vigentes.
Medidas de detección
La principal medida de detección es la monitorización de las redes sociales con el objetivo de descubrir los usos indebidos de las marcas que pertenezcan a una empresa. Hoy en día, existen empresas que proporcionan Servicios de monitorización de nombres en redes sociales. Estos servicios revisan periódicamente los registros de nombres, con el objetivo de detectar en qué redes un nombre determinado se encuentra ya registrado, pudiendo en caso de no encontrarse registrado, dar de alta dicho nombre y así reservarlo. De esta forma, es posible detectar las altas de nombres, realizadas por terceros, que utilizan el nombre de una marca. Este tipo de altas, suelen llevarse a cabo por ciberactivistas con el objetivo de crear perfiles que denuncien determinadas prácticas llevadas a cabo por la empresa asociada a la marca, o por otros grupos con el objetivo de ciberocupar nombres e impedir que las empresas puedan adquirirlo y promocionar su marca en las redes sociales.
Es importante indicar, que no es necesario estar presente en una red social para poder ser suplantado. En ocasiones, resulta más sencillo detectar una suplantación si se está presente en las redes.
Por último, existen redes sociales como Twitter, que permiten la “suplantación” de identidad con fines paródicos. Sin embargo, a pesar de esta excepción, la red social establece una serie de condiciones que debe cumplir el perfil (respecto a su identificador y nombre de usuario, su biografía, y su forma de comunicarse con el resto de usuarios) para mantener dicha consideración, con el objetivo de que los usuarios puedan diferenciar claramente el perfil paródico del original.
Medidas de reacción y recuperación
En caso de detectar este tipo de ataques, es importante no precipitarse ni tomar medidas drásticas. Es importe diferenciar los ataques perpetrados por cibercriminales con fines económicos, de los ataques llevados a cabo por ciberactivistas con fines de movilización en defensa del medioambiente, de determinados grupos sociales, etc.
En primer lugar, y si es posible, es importante obtener evidencias del ataque: la fecha en que se produjo (aproximadamente), las acciones realizadas por el atacante (contenidos difundidos, etc.) y cualquier dato que pueda estar asociado a su identidad. Si se considera necesario, se debe acudir a un perito informático, el cual preservará el poder probatorio de las evidencias, permitiendo su presentación en un juicio. A su vez, se recomienda involucrar al departamento jurídico, con el objetivo de identificar los delitos que haya podido cometer el atacante.
En segundo lugar, una vez el ataque ha sido confirmado y se han obtenido evidencias del mismo, se recomienda contactar con los gestores de la respectiva red social. El objetivo es denunciar el ataque (suplantación, secuestro, etc.), proporcionar las evidencias que demuestran la vulneración de nuestros derechos, y solicitar la resolución del incidente (cierre del perfil falso, recuperación de la cuenta, etc.). Para ello, las redes sociales ponen a disposición de los usuarios unos formularios de denuncia (ej. Facebook [1], Twitter [2] y Google [3]). En la mayoría de los casos, llegado a este punto, el incidente queda resuelto. Sin embargo, en casos especialmente graves, puede valorarse presentar una denuncia ante las fuerzas y cuerpos de seguridad (Mossos d’Esquadra [4], Brigada de Investigación Tecnológica - CNP [5] y Grupo de Delitos Telemáticos – GC [6]).
Personalmente pienso, que para la mayoría de empresas tener presencia en las redes sociales es cada día más un requisito comercial que una opción posible. Por ello, es importante diseñar adecuadamente una estrategia de marketing en redes sociales que tenga en cuenta la seguridad, dado que una mayor presencia supone una mayor superficie de ataque. A su vez, es un hecho que los vectores de ataque se adaptan rápidamente a los nuevos cambios y entornos (prácticamente sin excepción), de forma que no es una opción infravalorar el riesgo que supone estar presente en dichas redes. Llegados a este punto, se identifica claramente la necesidad de integrar las redes sociales en el proceso de análisis de riesgos, teniendo en cuenta las características de la organización y sus activos (incluyendo los perfiles en dichas redes), pero también los diferentes tipos de ataque en estos entornos y sus características específicas. Finalmente, en este artículo se han repasado brevemente las principales medidas de seguridad conocidas que pueden utilizarse para definir la estrategia final de tratamiento del riesgo.
Referencias:
[1]: https://www.facebook.com/legal/copyright.php?howto_report
[2]: https://support.twitter.com/forms
[3]: https://services.google.com/fb/forms/essalesfx/
[4]: http://mossos.gencat.cat/ca/denuncies/
[5]: http://www.policia.es/colabora.php
[6]: https://www.gdt.guardiacivil.es/webgdt/pinformar.php
Autor: Carlos Antonio Sans - ISO 27001 L.A.
Departamento de Consultoría.
En este artículo, se tratarán dos de las principales amenazas que pueden afectar a dichas empresas. Estas amenazas son: el secuestro y la suplantación de perfiles de redes sociales.
El secuestro es la acción llevada a cabo por una atacante, con el objetivo de obtener el control del perfil, retirándoselo a su legítimo titular. Una vez obtenido el control, el atacante es capaz de llevar a cabo cualquier acción como si fuera realmente su titular.
La suplantación es la acción llevada a cabo por un atacante, con el objetivo de hacerse pasar por el titular, utilizando otro perfil. En este caso, el atacante no posee realmente el control del perfil de la empresa. Sin embargo, si posee un control “aparente”, hasta que se descubre el engaño.
Caracterización del ataque y el objetivo
Este tipo de ataques suelen llevarse a cabo con fines económicos. La extorsión es el principal medio a través del cual el atacante alcanza dicho fin. Generalmente, el atacante amenaza a la empresa con llevar a cabo alguna acción que le provocará un daño importante (afectando a la imagen de la empresa, el atractivo de sus productos, la relación con sus clientes, sus trabajadores, etc.), si no accede a entregarle cierta cantidad de dinero. Sin embargo, en otros casos el atacante utiliza las infraestructuras tecnológicas de la empresa, para llevar a cabo el ataque sobre un tercero (envío de SPAM, ocultación del origen del ataque, etc.), independientemente de si este último mantiene algún tipo de relación con la empresa.
Es importante tener en cuenta que no todas las empresas presentan el mismo riesgo a ser atacadas. Su nivel de riesgo depende de un conjunto de factores. Entre los principales factores se encuentra el tamaño. Existe una relación directa entre el tamaño y el nivel de riesgo. Esto es debido a que a mayor tamaño, generalmente, mayores son los beneficios / el número de clientes / el número de trabajadores. El hecho de que una empresa presente mayores beneficios puede incentivar la motivación económica de sus potenciales atacantes. Por otro lado, un mayor número de clientes determina un aumento de los potenciales efectos de las acciones llevadas a cabo. Finalmente, un mayor número de empleados puede suponer una ampliación de la superficie de ataque (más puntos potencialmente vulnerables).
Medidas de protección
Para poder protegernos ante este tipo de ataques, en primer lugar es necesario definir una estrategia de marketing en redes sociales que tenga en cuenta la seguridad en su proceso de elaboración. A la hora de decidir en qué redes sociales la empresa estará presente, es necesario analizar el esfuerzo que conlleva mantener y proteger correctamente un perfil, en términos de operativa diaria y de seguridad respectivamente. De esta forma, se podrán seleccionar las redes sociales más adecuadas, en términos de marketing y seguridad, de acuerdo a los recursos disponibles de la empresa.
Además, debe definirse una estrategia de defensa en profundidad que establezca medidas de seguridad en cada uno de los niveles de protección (prevención, detección, reacción i recuperación).
Medidas de prevención
La principal medida de seguridad utilizada es la identificación y autenticación del usuario que accede al perfil. Generalmente este proceso se realiza a través de un nombre de usuario y una contraseña. Es muy importante realizar una correcta gestión de las credenciales de acceso. La contraseña debería presentar un nivel de robustez, como mínimo, proporcional al valor que posee el perfil social para la empresa. Además, debería renovarse periódicamente, ante cualquier sospecha de su compromiso y ante cualquier cambio del personal encargado de su gestión. Respecto a este último punto, es muy importante asegurar que ninguna persona que ya no se encuentre autorizada pueda acceder al perfil (ej. empleado dado de baja). Además, las contraseñas deben almacenarse de forma ininteligible (por ejemplo cifradas), y únicamente sus gestores deben estar autorizados a accederlas y modificarlas. Por último, hoy en día prácticamente todos los servicios online ofrecen doble factor de autenticación. Se recomienda, siempre que sea posible, analizar y valorar la posibilidad de habilitar esta opción.
Otra medida de seguridad, cuyo objetivo es dificultar que se lleven a cabo con éxito ataques de suplantación, es la inclusión en el perfil de una marca que verifica la identidad de su titular. Esta marca, indica a todos los usuarios del servicio que la identidad del perfil ha sido verificada.
Por último, es importante que los usuarios conozcan el tipo de comunicaciones oficiales que establecerá la empresa. Indicando, qué información les podrá solicitar a través de dicho canal, y advirtiendo de aquella información que en ningún caso les solicitará y los canales a través de los cuales no se comunicará. También, los usuarios deben ser informados sobre los cambios que se produzcan en el perfil/es (alta de nuevo perfil complementario, baja de perfil obsoleto, modificación de URL, etc.), de esta forma los usuarios podrán conocer en todo momento cuáles son los perfiles oficiales que se encuentran vigentes.
Medidas de detección
La principal medida de detección es la monitorización de las redes sociales con el objetivo de descubrir los usos indebidos de las marcas que pertenezcan a una empresa. Hoy en día, existen empresas que proporcionan Servicios de monitorización de nombres en redes sociales. Estos servicios revisan periódicamente los registros de nombres, con el objetivo de detectar en qué redes un nombre determinado se encuentra ya registrado, pudiendo en caso de no encontrarse registrado, dar de alta dicho nombre y así reservarlo. De esta forma, es posible detectar las altas de nombres, realizadas por terceros, que utilizan el nombre de una marca. Este tipo de altas, suelen llevarse a cabo por ciberactivistas con el objetivo de crear perfiles que denuncien determinadas prácticas llevadas a cabo por la empresa asociada a la marca, o por otros grupos con el objetivo de ciberocupar nombres e impedir que las empresas puedan adquirirlo y promocionar su marca en las redes sociales.
Es importante indicar, que no es necesario estar presente en una red social para poder ser suplantado. En ocasiones, resulta más sencillo detectar una suplantación si se está presente en las redes.
Por último, existen redes sociales como Twitter, que permiten la “suplantación” de identidad con fines paródicos. Sin embargo, a pesar de esta excepción, la red social establece una serie de condiciones que debe cumplir el perfil (respecto a su identificador y nombre de usuario, su biografía, y su forma de comunicarse con el resto de usuarios) para mantener dicha consideración, con el objetivo de que los usuarios puedan diferenciar claramente el perfil paródico del original.
Medidas de reacción y recuperación
En caso de detectar este tipo de ataques, es importante no precipitarse ni tomar medidas drásticas. Es importe diferenciar los ataques perpetrados por cibercriminales con fines económicos, de los ataques llevados a cabo por ciberactivistas con fines de movilización en defensa del medioambiente, de determinados grupos sociales, etc.
En primer lugar, y si es posible, es importante obtener evidencias del ataque: la fecha en que se produjo (aproximadamente), las acciones realizadas por el atacante (contenidos difundidos, etc.) y cualquier dato que pueda estar asociado a su identidad. Si se considera necesario, se debe acudir a un perito informático, el cual preservará el poder probatorio de las evidencias, permitiendo su presentación en un juicio. A su vez, se recomienda involucrar al departamento jurídico, con el objetivo de identificar los delitos que haya podido cometer el atacante.
En segundo lugar, una vez el ataque ha sido confirmado y se han obtenido evidencias del mismo, se recomienda contactar con los gestores de la respectiva red social. El objetivo es denunciar el ataque (suplantación, secuestro, etc.), proporcionar las evidencias que demuestran la vulneración de nuestros derechos, y solicitar la resolución del incidente (cierre del perfil falso, recuperación de la cuenta, etc.). Para ello, las redes sociales ponen a disposición de los usuarios unos formularios de denuncia (ej. Facebook [1], Twitter [2] y Google [3]). En la mayoría de los casos, llegado a este punto, el incidente queda resuelto. Sin embargo, en casos especialmente graves, puede valorarse presentar una denuncia ante las fuerzas y cuerpos de seguridad (Mossos d’Esquadra [4], Brigada de Investigación Tecnológica - CNP [5] y Grupo de Delitos Telemáticos – GC [6]).
Personalmente pienso, que para la mayoría de empresas tener presencia en las redes sociales es cada día más un requisito comercial que una opción posible. Por ello, es importante diseñar adecuadamente una estrategia de marketing en redes sociales que tenga en cuenta la seguridad, dado que una mayor presencia supone una mayor superficie de ataque. A su vez, es un hecho que los vectores de ataque se adaptan rápidamente a los nuevos cambios y entornos (prácticamente sin excepción), de forma que no es una opción infravalorar el riesgo que supone estar presente en dichas redes. Llegados a este punto, se identifica claramente la necesidad de integrar las redes sociales en el proceso de análisis de riesgos, teniendo en cuenta las características de la organización y sus activos (incluyendo los perfiles en dichas redes), pero también los diferentes tipos de ataque en estos entornos y sus características específicas. Finalmente, en este artículo se han repasado brevemente las principales medidas de seguridad conocidas que pueden utilizarse para definir la estrategia final de tratamiento del riesgo.
Referencias:
[1]: https://www.facebook.com/legal/copyright.php?howto_report
[2]: https://support.twitter.com/forms
[3]: https://services.google.com/fb/forms/essalesfx/
[4]: http://mossos.gencat.cat/ca/denuncies/
[5]: http://www.policia.es/colabora.php
[6]: https://www.gdt.guardiacivil.es/webgdt/pinformar.php
Autor: Carlos Antonio Sans - ISO 27001 L.A.
Departamento de Consultoría.