En las empresas hemos pasado de ver la red social Facebook mas allá de un mero sitio para compartir fotos con amigos y comprar vacas para nuestra granja, descubriendo su gran potencial como herramienta comercial. Aceptamos utilizarla como complemento a nuestra página web para aumentar la presencia en internet y establecer comunicación con nuestros clientes. Cada día se crean más perfiles Facebook y páginas de hoteles, restaurantes, spas y en definitiva cualquier negocio que quiera conseguir nuevos contactos o fidelizar a sus clientes.
Los principales problemas de seguridad de Facebook se pueden agrupar en dos categorías: la Privacidad y el Malware.
Si usamos la red social desde un punto de vista corporativo, nuestro objetivo será llegar a cuantas más personas mejor de una forma pública, y no tendremos los problemas de privacidad de un usuario particular.
Lo que sí nos parece interesante es estar informados de las amenazas en forma de Malware. Infectar a nuestros posibles clientes con los troyanos del perfil de nuestro hotel no es una buena tarjeta de presentación.
Gran parte de este malware está diseñado para provocar el engaño a los usuarios más confiados, aprovechando nuestra codicia, morbo, curiosidad o despiste. Esta forma de manipulación del usuario se denomina Ingeniería Social.
No podemos pensar que un antivirus y un cortafuegos nos protegerán de cualquier amenaza si nosotros mismos le permitimos el acceso. Lo que sí podemos hacer es estar informados y utilizar nuestro sentido común.
Las aplicaciones de terceros
Una de las grandes apuestas de Facebook es la de permitir que compañías ajenas puedan desarrollar sus propias aplicaciones para la red social. El problema es que muchas de estas aplicaciones se programan aprovechando vulnerabilidades del sistema para infectarnos con sus troyanos.
Facebook admite no tener mucho control sobre las aplicaciones generadas externamente, por lo que debemos tener especial cuidado cuando permitamos que se instalen en nuestro equipo, incluyendo minijuegos, encuestas y test.
Cuando instalamos una de estas aplicaciones, Facebook nos advierte que puede ser peligrosa y tener acceso a nuestros datos personales. Si aceptamos, estamos abriendo la puerta a cualquier posible amenaza diseñada por el creador de la aplicación.
¿Qué podemos hacer para protegernos?
La solución más segura es directamente no aceptar aplicaciones externas en nuestro perfil.
Algunas de estas aplicaciones no son nocivas, e incluso pueden ser recomendables, como el caso de Reclaim Privacy, una aplicación Facebook que checkea nuestro grado de privacidad y nos orienta de las acciones que debemos tomar para protegernos. ¿Cómo podemos saber cuáles de estas aplicaciones son nocivas y cuáles no? Pues no nos queda otra que fiarnos de nuestro sentido común y asegurarnos que conocemos el origen y la legitimidad de esa aplicación que queremos instalar.
El phising en Facebook
Una de las tretas más frecuentes es la de suplantar una entidad conocida, habitualmente la de un banco o la de Microsoft enviando al usuario un correo electrónico pidiendo sus contraseñas o la descarga de un ejecutable.
Esta práctica a la que comenzamos a acostumbrarnos y a tratar de evitar le ha surgido una variante: desde una página con un diseño muy parecido al de Facebook nos llega un mensaje de un supuesto contacto que quiere compartir unas fotos con nosotros, o agregarnos a su lista de amigos. Cuando introducimos nuestro nombre y nuestra contrase&˜a, nuestro perfil queda infectado y pasamos a la parte más rápida de la propagación: la expansión del virus.
Una vez infectado, el virus comienza a enviar mensajes desde nuestro perfil a nuestros contactos, a veces en ingles, de tipo “Paris Hilton Tosses Dwarf On The Street”, “LOL”, “My Friend catched [sic] you on hidden cam” en el caso del koobface, otras con un link a un video muy gracioso, como el Most Hilarious. Estos enlaces nos llevan a otras páginas que aprovechan vulnerabilidades del sistema para continuar infectando y expandiéndose.
¿Qué hacer para protegernos?
En primer lugar, recurrimos a nuestro sentido común para discernir si el mensaje es legítimo o no. A parte de un primer vistazo podemos fijarnos en la URL del navegador. Realmente algunas de estas páginas están muy bien conseguidas, y lejos de tener URLs obvias, se camuflan en URLs elaboradas y engañosas como por ejemplo facebook.com.profile.id.sdffds.cc de un vistazo rápido podría parecer que es una URL del propio Facebook, aunque si lo miramos detenidamente podemos darnos cuenta que en realidad nos está redirigiendo a un dominio externo.
Instalar las actualizaciones de nuestros navegadores es muy recomendable, porque incluyen nuevas páginas en sus listas negras que nos advierten de los phising más conocidos.
Norton Antivirus tiene también una aplicación desarrollada por ellos para Facebook , que tras permitirle el acceso a nuestros links, checkea todos los enlaces de nuestros contactos y nos confirma si son o no seguros. Existen muchos antivirus online gratuitos especializados en malware; Kaspersky o Bitdefender tienen sus propias versiones on line, incluso Mcafee nos ofrece 6 meses gratuitos de su producto Security Software si tenemos una cuenta en Facebook, pero de momento, la aplicacion de Norton es la única que conozco que trabaje desde Facebook.
Otra solución más radical es utilizar el complemento para Firefox NoScript, mediante el cual evitaremos la ejecución del malware, pero también perderemos otras funcionalidades de las páginas web, pudiendo, eso sí, confiar en las que nosotros queramos a modo de lista blanca.
Rogues en Facebook
El rogue es un falso programa de seguridad que nos advierte que nuestro ordenador está infectado, y nos ofrece ayuda para solucionarlo. En el momento que aceptamos instalar el programa de desinfección el troyano se mete en nuestro equipo tomando el control y obligándonos a comprar una versión superior que se supone nos librará de la amenaza.
Las redes sociales son también un vehículo de expansión perfecto para este tipo de malware, como consecuencia de la viralidad de la red y la confianza de los usuarios en los enlaces enviados por sus amigos. En algunos casos, como el Boface y sus variantes, el usuario infectado ni siquiera se percata de estarlo.
¿Qué hacer para protegernos?
Al ser los rogues una variante del phising todas las indicaciones anteriores son validas; sentido común, navegadores actualizados y las aplicaciones especificas que antes comentamos.
También existen algunos grupos como Rogue Facebook Apps Early Warning donde podemos encontrar información sobre los nuevos rogues que aparecen en el universo Facebook, eso sí, en perfecto inglés.
Grupos de HOAX
Estos grupos de llamativos nombres como “COMO GANAR DINERO EN INTERNET, 100% COMPROBADO!!!”, “ATENCION!!! COMO CONSEGUIR TU CUENTA PREMIUM DE FACEBOOK” o el sorprendente “FACEBOOK MESSENGER”, que llegó a tener más de un millón de agregados, tienen un objetivo generalmente lucrativo bastante alejado del engañoso título del grupo.
En este último, nos ofrecían un enlace para descargarnos la supuesta aplicación que en realidad nos instalaba una de esas molestas Barra de herramientas; el daño no era muy grande, pero lo curioso del caso es el abultado número de personas que cayeron en el engaño.
¿Qué hacer para protegernos?
Contra este tipo de amenazas nuestra principal arma vuelve a ser el sentido común; la mayoría de estos grupos son bastante evidentes. Muchos de ellos tienen en mayúsculas todo el titulo, y suelen venir acompañados por llamadas de atención y admiraciones.
Existen en facebook algunos grupos llamados Anti-Hoax, cuya finalidad es la de informar de los nuevos grupos de Hoax existentes y denunciar sus malas artes.
Debemos también tener especial cuidado con cualquier evento deportivo multitudinario como el mundial de fútbol, supuestas páginas de modelos y estrellas de cine falsas y en general cualquier engaño ideado con la finalidad de beneficiarse a nuestra costa. Así ganaremos nuestra guerra contra la ingeniería social, y en esta guerra, la primera víctima debe ser la inocencia.