Navegar seguro en las Redes Sociales

Las Redes Sociales, (Facebook, MySpace, etc) siguen popularizándose especialmente entre adolescentes y gente joven, La naturaleza de estos sitios introduce riesgos de seguridad por lo que usted debería tomar ciertas precauciones:

¿Que son los sitios llamados Redes sociales?

Los sitios de Redes Sociales, conocidos a veces como sitios "friend-of-a-friend", están basadas en el concepto de las redes sociales tradicionales en las que usted es conectado con nuevas personas a través de personas que usted ya conoce. El propósito de algunos de estos sitios puede ser puramente social, permitiendo a los usuarios entablar amistad o relaciones románticas, mientras otros pueden estar enfocados en crear relaciones de negocios.

A pesar de que las funciones de los diferentes sitios de redes sociales difieren, todos ellos le permiten proveer información acerca de usted y ofrecen algun tipo de mecanismo de comunicación(foros, salas de chat, email, mensajería instantánea) que le permite conectarse con otros usuarios. En algunos sitios, usted puede hacer búsquedas de personas basadas en ciertos criterios, mientras otros sitios requieren que usted sea "introducido" a gente nueva a través de una conexión compartida. Muchos de estos sitios tienen comunidades o subgrupos que pueden estar basados en algún interés particular.

¿Que implicaciones de seguridad representan estos sitios?

Los sitios de redes sociales dependen de conecciones y comunicación, por lo que lo estimulan a usted a proveer cierta cantidad de información personal. A la hora de decidir qué información revelar, las personas no ejercitan la misma cantidad de precauciones que si estuvieran conociendose persona a persona debido a:

• Internet provee un cierto sentido de anonimidad.

• La falta de interacción física provee un falso sentido de seguridad.

• Ellos preparan la información para sus amigos olvidando que puede ser vista por otros.

• A veces quieren ofrecer detalles específicos para impresionar a sus amigos y conexiones de negocios.

Mientras la mayoría de las personas que usa estos sitios no representa ninguna amenaza, personas maliciosas si podrían utilizar la cantidad de información personal disponible para usos ilegales o indebidos. Mientras más información tengan las personas maliciosas acerca de usted, más fácil les resultará sacar ventaja de esta. Los predadores pueden hacer relaciones en línea y convencer a sus victimas para conocelos persnalmente. Esto puede degenerar en situaciones peligrosas. La información personal también puede ser utilizada para conducir un ataque de ingeniería social. Usando la información que usted provee acerca de su ubicación, hobbies, intereses y amigos, una persona maliciosa puede hacerse pasar por un amigo de confianza o convencerlo de que tienen la autoridad suficiente para acceder otros datos financieros o personales.

Adicionalmente, debido a la popularidad de estos sitios, los atacantes pueden usarlos para distribuir código malicioso. Los sitios que ofrecen aplicaciones desarrollados por terceros son particularmente suceptibles de esta técnica. Los atacantes pueden ser capaces de crear aplicaciones personalizadas que aparentan ser inocentes miestras infectan su computador sin su conociemiento.

¿Cómo puede usted protegerse?

Limite la cantidad de información personal que usted coloca: No coloque ni suba información que pudiera hacerle vulnerable, como su dirección, su agenda o rutina. Si sus contactos colocan información acerca de usted, asegúrese que dicha información combinada no es más que la que usted personalmente colocaría sintiéndose seguro a pesar de que los extraños la conozcan. También sea considerado al respecto a la hora de colocar información acerca de sus contactos.

Recuerde que Internet es un recurso público: Solo coloque información que no lo incomode si cualquiera la pudiera ver. Esto incluye informació y fotos en su perfil, blog y foros. Recuerde que una vez colocada dicha información en línea usted no puede retractarse. Aunque la remueva del sitio original, siempre habrán disponibles versiones cacheadas o guardadas en los equipos de otras personas.

Sea desconfiado con los extraños: Internet hace fácil que las personas tergiversen sus identidades y motivos. Considere limitar la cantidad de personas a las que les permite contactarle en estos sitios. Si interactua con gente que no conoce, sea precavido acerca de la cantidad de información que revele y acerca de conocerle personalmente.

Sea exceptico: No crea todo lo que se coloca en línea. Las personas pueden colocar información falsa o tergiversada acerca de varios tópicos, incluyendo por su puesto su propia identidad. Esto no necesariamente es hecho con intenciones maliciosas; esto puede ser no intencional, una exageración, o una broma. Tome las precauciones apropiadas y trate de verificar la información antes de tomar cualquier acción.

Evalue las propiedades de su usuario: Tome ventaja de las funciones de privacidad ofrecidas por el sitio. La configuración de algunos sitios permite que cualquier persona pueda acceder a sus datos. Usted puede configurar su cuenta, para restringir el acceso a su discreción. De todas formas también existe el riesgo de que la información privada sea vista por lo que preferiblemente no coloque nada que no quiera que sea visto por el público en general. También tenga cuidado acerca de las aplicaciones activas y de que manera estas influyen en la visibilidad de su información.

Use passwords fuertes: Proteja su información con claves que no pueden ser facilmente adivinadas. Si su clave de acceso es comprometida, alguien más puede ser capaz de acceder a su cuenta y hacerse pasar por usted.

Verifique las políticas de privacidad: Algunos sitios pueden compartir información como su dirección de email y sus preferencias con otras empresas. Esto puede derivar en un incremento de spam. Trate de ubicar las políticas del sitio acerca el manejo de referencias para verificar que usted no esté accidentalmente registrando a sus contactos en listas de spam. 

Use y mantenga actualizado su software anti-virus: El software antivirus reconce la mayoría de los virus conocidos y protege su computador de estos, así usted podrá detectar y eliminar el virus antes de que este cause cualquier daño. debido a que los hackers crean virus continuamente, es importante que mantenga las definiciones de virus actualizadas.

Los niños son especialmente suceptibles a las amenazas que los sitios de redes sociales representan. A opesar de que muchos de estos sitios tienen restricciones de edad, los niños pueden engañar en sus edades y registrarse. Enseñando a los niños acerca de la seguridad en Internet, estando alerta de sus hábitos de navegación, y guiándolos a los sitios apropiados, los padres pueden estar seguros de que los niños se convertirán en usuarios responsables.

¿Que es el scareware?

El Scareware es un nuevo término acuñado recientemente, es lo que se conoce como "software de seguridad falso". Normanlmente este software toma ventaja de la intención de los usuarios en mantener sus equipos protegidos, y específicamente utiliza técnicas de ingeniería social que se basan principalmente en crear "paranoia" en los mismos, ofreciéndoles una solución definitiva a sus problemas de seguridad. Una vez instalada, este tipo de programas se dedica a robar información como lo haría cualquier troyano bancario o de usurpación de identidad en el equipo de la víctima.

Suelen prometer resolver problemas de seguridad completamente gratis y por lo general terminan resultando extremadamente caros, ya que transmiten claves de acceso bancarias, números de tarjetas de crédito y otros datos confidenciales que pueden comprometer seriamente a las víctimas.

La forma más eficiente de prevenirlo es no instalar antivirus, firewalls u otro tipo de software de seguridad si no proviene de una fuente conocida y confiable.

El hecho de que el software de seguridad sea gratis no necesariamente indica que sea realmente un Scareware, ya que existen muy buenos productos en la red que pueden utilizarse para proteger nuestros equipos, pero son conocidos y pocos, por lo que antes de instalar un software pensando en la seguridad de su equipo, consulte a un experto o navegue en la red para verificar que no existan denuncias acerca del mismo. Una simple consulta en Google puede ahorrarle muchas molestias.

¿Cómo denunciar un phishing o sitio fraudulento?

Denunciar una página fraudulenta o de phishing es un proceso mucho más simple de lo que pudiera parece, a tal punto que en los primeros ataques de phishing hacia sus usuarios, algunas instituciones no utilizaron estos métodos por considerarlos extremadamente básicos (nada más lejos de la realidad).

Cuando se habla de "denunciar" nuestra mente evoca automáticamente procesos en los que se involucra personal de seguridad, técnicos especializados y hasta policías. Sin embargo todo eso es inútil en las primeras horas de un ataque de phishing, ya que muy probablemente la página esté ubicada en un servidor en Rusia o Corea del Sur, con lo que todo este gentío estará atado de manos.

Denunciar una página de phishing es extremadamente simple y no por ello deja de ser altamente efectivo. Además es un proceso en el que solo hace falta un navegador como Internet Explorer, Firefox, Opera o Chrome. No incluimos a Safari ya que aunque en su última versión ya presenta esta utilidad, aún muchos usuarios no se han actualizado y es algo nueva.

Empecemos con Internet Explorer:
Vaya a la página fraudulenta (no se preocupe, simplemente no ingrese sus datos en ella) y una vez allí pulse en el menú la opción "Herramientas/Filtro de suplantación de identidad (phishing)/Notificar a Microsoft de este sitio web". Aparecerá una página con la dirección precargada en la que simplemente deberá validar una clave optica y enviar la denuncia. ¿Fácil verdad?

Vayamos con Firefox:
De igual forma que en IE, cargue la página fraudulenta y vaya al menú pero esta vez en la opción "Ayuda/Informar de sitio web fraudulento..." . Nuevamente la dirección aparecerá precargada y solamente deberá validar un par de campos.

Ahora sigamos con Google Chrome:
En este caso una vez cargada la página de fraude, iremos a pulsar un botón con forma de una páginita al lado de la barra de direcciones y aparecerá un menú en el que seleccionaremos "Comunicar error o sitio web defectuoso". Esta vez aparecerá una ventana en la que estará precargada la dirección y solamente tendremos que seleccionar en el primer campo la razón de la comunicación optando por la opción "phishing". Podemos agregar algún comentario y enviar la información.



Y en Opera el procedimiento es aún más fácil si utilizamos un atajo de teclado. Navegue nuevamente la página sospechosa y pulse las teclas Alt+Enter. Inmediatamente se verificará si hay denuncias sobre el sitio y en caso de que aún no haya sido denunciado pulse el botón "Reportar este sitio"

En todos los casos el personal que recibe la denuncia comprobará si es cierta y agregará en caso de serlo el sitio fraudulento a las listas que son revisadas por estos navegadores cada vez que una página es cargada. Este proceso suele tomar entre dos a seis horas. Claro está que para que el usuario pueda disfrutar de este servicio debe tener el filtro anti-phishing activo para que le advierta si está visitando una página frudulenta o problemática.

Denunciando los sitios sospechosos usted estará haciendo lo correcto sin ningún tipo de implicación legal hacia su persona y evitará que otros usuarios puedan ser víctimas de estafa.

Si usted forma parte del equipo del sitio que ha sido clonado o atacado, entonces trate de no entrar en pánico y recuerde a sus compañeros que este es el primer paso a seguir. Una vez realizados estos procedimientos, ya puede llamar a quien quiera e involucrar hasta a la presidencia si así le parece, pero no lo haga sin haber realizado estos procedimientos antes. Cada minuto que tarde otra víctima puede estar siendo estafada.

También existen otra serie de técnicas ya más complejas para tratar de proteger a los usuarios que pueden haber sido víctimas antes de que el proceso de denuncia se haya hecho efectivo, pero estas las colocaré en otro artículo.

Los Fuzzy URLs y el Phishing

Dentro de la lista de vulnerabilidades que normalmente existen en los sitios cuyos usuarios han sido victimas de phishing se encuentra una que aunque muy simple, es culpable en gran parte de que los ataques de phishing sean más eficientes.

Ya que lo más importante a la hora de hacer el phishing (desde el punto de vista del atacante) es ocultar la verdadera dirección a donde se está enviando al usuario al hacer clic, una de las técnicas más comunes es la del uso del "fuzzy URL" o lo que serían direcciones muy parecidas en las que una simpe letra puede ser colocada en otra posición o reemplazada por otra parecida.

Por ejemplo:

WWW.MIBANCO.COM puede ser reemplazado por
WWW.MIBANC0.COM o por
WWW.MlBANCO.COM

¿Dónde está la diferencia? ¿Puede el ojo del usuario convencional verificar la diferencia?

La verdad no es fácil, incluso para el usuario experimentado. Además recuerde que cuando se muestran en el la barra de dirección estas variantes no se pueden comparar una al lado de la otra. En el primer caso hemos reemplazado la "O" con un cero y en el segundo la "i" mayúscula con una "L" minúscula (las escribo precisamente al revés ahora para que pueda apreciar la diferencia).

Este tipo de cambios es muy normal en los dominios de los phishers, sin embargo hay otros casos interesantes de los que debemos tener cuidado.

Normalmnete se peude leer perfectamnete un tetxo si se manteinen la cantdiad de lertas de cada palbara y la priemra y últmia lerta de cada una, como etse ejemlpo lo demeustra...

Por tanto aunque no sea tan evidente como en el ejemplo anterior (y esa es precisamente la ventaja) se puede confundir con facilidad por ejemplo www.soficredito.com con www.socifredito.com ¿Cierto?

Lo anterior solo demuestra que una protección simple de las empresas para proteger a sus usuarios contra el phishing debe ser el adquirir una serie de dominios (al costo actual no es gran esfuerzo y menos para un banco) para evitar que los phishers los usen. Normalmente no pasan de 3 o 4 variantes por dominio que al costo actual no son más de 35 a 40 dólares anuales.

Es importante recordar que la seguridad no debe depender de una gran super solución ya que en caso de que esta fuese violada el sistema quedaría completamente indefenso, sino por el contrario debe conformarse de una serie de soluciones eficientes que entorpezcan el camino del atacante.

Los BHO (Browser Helper Objects) y su seguridad personal

Hace ya tiempo que Microsoft liberó el API de desarrollo para una tecnología llamada BHO o Browser Helper Objects, sin embargo ha sido en los dos últimos años que esta tecnología empezó a ser utilizada por parte de los amigos de lo ajeno o cybercriminales para tratar de obtener acceso al robo de datos confidenciales en línea.

Para empezar hay cosas que explicar: ¿Qué es un BHO?

No hay forma más sencilla de explicarlo que mostrando el ejemplo de la conocida e inofensiva Barra de Google. Un BHO es una extensión programada que se utiliza para "mejorar" las capacidades del navegador, específicamente Internet Explorer, que aún a pesar de sus nuevos competidores y la población creciente de usuarios Firefox y Chrome, ocupa casi el 80% del mercado.

Si aquellos que instalaron la barra de Google en IE tienen buena memoria, recordarán que el sistema de instalación les solicitó permiso para poder transmitir sus hábitos de navegación a Google y así alimentar los sistemas estadísticos como PageRank. Si la instaló y no lo recuerda, usted es de los que instala y no lee lo que está instalando, y para usted este artículo posiblemente será más útil aún.

Independientemente de que se le haya o no otorgado permiso a la Barra de Google (o de Alexa otro conocido ejemplo) mi punto demuestra que este tipo de objetos tiene la capacidad para conectarse desde su navegador a un sitio externo, y no puede ser detectado por los cortafuegos o "firewalls" ya que usan al Internet Explorer para ello, y éste tiene indudablemente permisos para navegar y comunicarse al exterior de su equipo ya que de lo contrario usted no podría ver las páginas que solicita.

Compliquemos el escenario: Imaginemos que la empresa ahora ya no es ni Google ni Alexa sino un tercero mal intencionado que desea obtener información confidencial de su computadora. Este personaje ha creado una barra con algunas utilidades o "caprichos" para usuarios que parece ser bastante útil. Usualmente un bloqueador de POPups, unos cuantos emoticons o caritas, el estado del tiempo o alguna otra información dirigida al público al que desea llegar.

Al igual que sus serios contrapartes, este BHO específico también colecta información de navegación y en ella sus números de cuenta, sus claves de acceso bancarias y otra buena cantidad de información personal cuya pérdida puede convertir su vida en un infierno.

¿Recuerdan la película "La Red" con Sandra Bullock? ¿Quién imaginaría en 1995 que un poco más de un decenio después la realidad superaría a la ficción y por mucho?

Estos amigos de lo ajeno no solo desarrollan este tipo de "utilidades" sino las venden en el mercado negro, y además del BHO incluyen una interfaz administrativa en la que el atacante puede ver en tiempo real lo que hacen sus victimas.

Un problema adicional es que con este tipo de intruso en nuestro navegador, de nada sirve la conexión encriptada o SSL que utilizamos a la hora de entrar en una página que requiere cierto nivel de privacidad, ya que el BHO toma los datos del navegador, quien ya los ha convertido en información legible para nuestra lectura.

No estoy tratando de asustarles, el que está asustado soy yo cuando pienso en la cantidad de personas vulnerables a este tipo de ataque.

El problema se agrava radicalmente cuando pienso en que las defensas existentes ante este tipo de ataque aún no son muy eficientes, ya que como este tipo de objetos se acopla al Internet Explorer, quizás no sean tán fáciles de detectar como lo pudieran ser un programa malware o un virus reconocido. Sin embargo, los programas antivirus son nuestra primera línea de defensa ya que contiene la firma digital de algunos BHO reconocidos, pero igual que con los virus, pueden aparecer nuevas variantes y en el caso de los BHO son más difíciles de detectar.

Una razón más por la que preocuparnos a la hora de navegar en línea!
Hasta la próxima...