En el presente artículo se identifican y analizan problemas de seguridad (Confidencialidad, Integridad, Disponibilidad, Autenticación, No repudio, etc.) y privacidad (derecho a decidir quien tiene acceso a tu información personal y de que modo debería utilizarse) en el entorno de las Redes Sociales (Web 2.0). Actualmente el soporte en cuanto a seguridad es muy limitado, los usuarios por lo general no utilizan las características de seguridad existentes y normalmente son mínimas o no las hay.

Las cuestiones de privacidad se encuentran en una etapa temprana de investigación. Las políticas de privacidad son difíciles de entender y muchas veces las personas no las leen, el resultado es la cesión voluntaria de los datos personales de sus miembros. Algunos sistemas de RRSS soportan grupos de usuarios a medida pero se les puede aplicar permisos-restricciones adicionales, así mismo el control de visibilidad de la información se ve limitada por el sistema. Los usuarios tienden a dar demasiada información por muchas razones técnicas y de ingeniería social. Los nombres de los usuarios en Redes Sociales pueden cambiar (uso de apodos) pero la familia y amigos es más difícil (concepto de “firma de Red Social”).

 

El uso de los servicios proporcionados por las Redes Sociales (RRSS) por parte de personas de todas las edades y clases sociales (utilizando equipos propios o alquilados en  locutorios) e incluso por empresas y otras organizaciones está creciendo muy rápidamente. Se observa un incremento significativo desde el punto de vista del interés que despierta en cuanto al potencial comercial de las Redes Sociales. La explotación de la información personal que se introduce en las Redes Sociales esta comenzando a alarmar a nivel mundial. Se necesita urgentemente algún tipo de enfoque a nivel internacional para abordar seriamente estas cuestiones ya que la seguridad y sobre todo la privacidad son un problema internacional. 

Las Redes Sociales pueden servir para un número creciente de propósitos como por ejemplo: compartir información (fotografías, música, videos, documentos, proyectos, etc. entre “amigos”), entablar o mantener contacto entre personas (físicas o jurídicas) de intereses similares (en negocios, política, cultura, estudios, ocio, placer, salud, deportes, etc.), interactuar con otras personas para jugar juegos interactivos y/o vivir fantasías (por ejemplo caso de Second Life), comunicar información, crear perfiles personales, etc. Los perfiles de Facebook son de hecho públicos.

Craigslist, Mocospace, Twitter, Friendster, Second Life, LinkedIn, Bebo, Hi5, SkyrockBlog, Tickle, Match, eBay, Orkut y otros sitios Web 2.0 similares) permiten a las personas encontrarse y compartir intereses comunes, pero también plantean problemas de privacidad-seguridad como hacer visible al grupo social entero tus acciones de relación y que cualquiera pueda leer la información compartida por cualquier miembro, además son fuente de vulnerabilidades y son generadoras de amenazas a la seguridad importantes a usuarios y sus compañías ya que difunden malware (el vehículo preferido son a través de las descargas y algunos agentes son: botnets (inicialmente controladas por IRC y hoy en día a través de RRSS), spyware, keyloggers y rootkits), permiten robo de identidad/fraude, scams, hoax, ataques de phishing, scripts a medida, adware, banner-ads maliciosos, etc. y trafican con información personal (como nombre y apellidos, DNI, dirección, números de teléfono, libretas de clientes, fecha de nacimiento, número de seguridad social, fotos, historial de compras, números de tarjetas de crédito, etc.). También posibilitan crear perfiles personales de comportamiento monitorizando la información personal de correos de los usuarios a sus amigos, familia y al resto del mundo, así mismo las aplicaciones de minería de datos permiten obtener patrones de comportamiento más complejos y sofisticados. Se debe tener en cuenta además el riesgo de aplicaciones de terceros como el reconocimiento facial de amigos de amigos, los anuncios dirigidos, las herramientas de marketing, las herramientas de correlación de relaciones, etc. Las RRSS no se pueden utilizar en entornos de producción donde la seguridad es crítica, actualmente es una aberración establecer conexiones entre RRSS y procesos industriales en combinación con autómatas programables, sensores-actuadores, robots, maquinaria, sistemas SCADA, etc. 

Algunos de los riegos identificables en Redes Sociales son:
(1) Perfiles falsos. Se observa un crecimiento en cuanto a nuevos perfiles que son falsos con objeto de: (i) Iniciar robo de identidades, ataques de phishing y scam. El scam designa el intento de estafa con beneficio económico a través de páginas Web y correos electrónicos fraudulentos. Normalmente se pretende estafar por medio del engaño basándose en donación a recibir (estafa nigeriana), lotería, premio producto o servicio falso al que se llega previo envío de dinero o número de cuenta. El hoax es un engaño sin obtener beneficio económico sería el caso de la suplantación de la identidad de una madre que hostiga a su hija hasta que consigue que se suicide o se marche de casa o de su trabajo. (ii) El aceptar invitaciones permite un mayor grado acceso a la información. Como contramedida tener en cuenta que de extraños no aceptar invitaciones a ser “amigo”. Es difícil prevenir en Twitter a menos que se bloquee “followers” (lo cual no se considera sociable) y no sentirse obligado a una reciprocidad con extraños.

(2) Demasiada información. La proposición de valor de las Redes Sociales es compartir información. En la Red Social LinkedIn los por defecto para el acceso al exterior no son muy malos. En Facebook los por defecto son muy abiertos, en Twitter no se espera privacidad de ningún modo. Como contramedidas: (i) Comprobar las settings de privacidad de tu perfil. En Facebook “friend only” en “settings”. Leer la guía gratis para settings de privacidad. En LikedIn comprobar los por defecto (cuenta y settings). (ii) Sensibilidad. Se debe tener en cuenta que cualquiera puede estar vigilando (tus padres, tus jefes, el gobierno, tu comunidad).

(3) Engaño. Identificar ladrones, atacantes, espías corporativos. Todas las URLs (sitios Web) pueden ser igualmente peligrosas ya que a partir de una URL se puede crear una TinyURL dañina. El malware se difunde diez veces más rápido en redes sociales. Como contramedida sospechar de mensajes no esperados y links de hipertexto desconocidos que pueden fomentar engaño y spam. Cambios no esperados en patrones y wordings. No utilizar una única fuente de información. Obtener ayuda de herramientas de seguridad como firewalls, antivirus, sistemas de detección y prevención de intrusiones, gestión de vulnerabilidades y parches en todos los componentes TIC, gestión de identidad IAM, etc.

(4) Robo de identidad – secuestro de cuentas. Se basa en utilizar políticas de contraseñas deficientes, por ejemplo contraseñas débiles y empleadas en todas partes y mezclar contraseña de uso personal y la utilizada en el trabajo. A veces los atacantes utilizan keyloggers la solución es utilizar teclados virtuales por pantalla y biometría. Como contramedida utilizar cuentas separadas para negocios y uso personal con contraseñas diferentes. Emplear diferentes contraseñas para cada cuenta, utilizar caracteres especiales en el medio de las contraseñas. Longitud de contraseñas de ocho a doce caracteres y cambiarlas con frecuencia, siempre de contenido diferente. Dos programas útiles de gestión de contraseñas son: (i) Keepass (ii) Onepassword

(5) Amenazas desde dentro. El robo de datos se utiliza como “seguro contra despidos“. Se produce abuso de computadores y redes para uso personal. Cuestiones de recursos humanos como faltar al trabajo, acoso, etc. Como contramedida disponer de políticas o reglas estándares de seguridad sobre uso de Internet. Así mismo fomentar la comunicación entre ejecutivos y gestores de TIC. Utilizar gestión de riesgos basada en workflow.

Protección de datos y privacidad en redes sociales
Es evidente que nadie dá nada por nada (no se puede obtener algo en el contexto de las RRSS por nada), las Redes Sociales revelan información personal y de comportamiento de red. Se debe pensar en el mañana cuando se actúe hoy, a veces no son cosas de sentido común; se debe ser consciente de los costos y consecuencias asociadas con dejar información e imágenes en RRSS ya que será imposible de retirarlos incluso aunque se borre la información de tu perfil o sitio Web, ya que versiones antiguas siempre estarán accesibles a otros por ejemplo debido a mecanismos caché de los motores de búsqueda y sitios Web. Se puede dar de alta en muchas Redes Sociales gratuitamente pero se debe proporcionar información personal para poder participar. Los beneficiarios de la información personal obtenida de los usuarios son: (i) Operadores del sitio Web. Se hace dinero a través de anuncios, a más usuarios que atraigan mayor es la audiencia, el espacio de anuncios es más valioso y mayores serán los ingresos por anuncios. (ii) Compañías que desean vender tu información (aunque hoy creas que no tiene importancia mañana podrá servirles). Desean anunciar y vender sus productos, desean conocer al usuario y su lealtad, preferencias e intereses marcados. Pueden desear la trazabilidad y luego decir a tus amigos sobre los productos que compras como otra forma de anuncio. Existen diversas entidades que pueden acceder a tu información personal: (i) Colegas. Pueden desear saber más sobre ti que sólo tus estudios y calificaciones. Tu perfil puede ser un buen recurso. (ii) Actuales o futuros jefes. Pueden desear saber que clase de persona eres en realidad más allá de tu resumen de Currículo Vitae y entrevista personal. (iii) Padres. (iv) Depredadores sexuales y pedófilos. Muchos spammers compran en sitios de RRSS.

Consideraciones sobre la revelación de información identificable personal y de comportamiento en redes sociales
Es conveniente ser parco en dar tu información personal, si uno es socialmente activo en Redes Sociales, debe proporcionar estrictamente sólo la información que se este obligado facilitar. Si se tiene un nombre de usuario, evitar incluir su nombre real o fecha de nacimiento. Nunca compartir su contraseña con nadie. En un perfil no se debe proporcionar su apellido, números de teléfono, dirección de casa, fecha de nacimiento, nombre del colegio o del equipo donde juega o los planes de viajes. No se debe proporcionar su número de seguridad social, información financiera familiar, números de tarjeta de crédito o de cuenta bancarios. A veces una Red Social puede exigir proporcionar la fecha de nacimiento debido a que las leyes de algunos países prohíben recoger información de niños menores de 13 años. Se debe disponer los settings de privacidad de modo que la fecha de nacimiento no sea visible en tu perfil. Si deseas mostrar tu cumpleaños sólo muestra el día del mes pero no el año de nacimiento. Aunque por lo general no se debería proporcionar el nombre de tu escuela o colegio online, algunos sitios Web de Redes Sociales revelan tu escuela. Se debe limitar la participación en Redes Sociales a grupos de escuelas ya que puede proporcionar un grado extra de protección y privacidad.
Utilizar configuraciones (o settings) de privacidad para sólo compartir la información que la persona desee y limitar su audiencia. Los settings por defecto normalmente permiten una compartición muy elevada, se debe analizar para limitar dicho nivel de revelación. El ajuste de las configuraciones de privacidad puede ser un proceso multi-etapa: se accede a la página de configuraciones de privacidad de la Red Social de tu preferencia y se investiga la forma de proteger la privacidad de la información personal. Algunos sitios ofrecen la posibilidad de establecer diferentes configuraciones de privacidad para diferentes partes de tu página de perfil. Se debe leer la política de privacidad y si es una barbaridad buscar otra Red Social.

Consideraciones finales
Nuestro grupo de investigación lleva trabajado más de diez años en el campo de la protección en el ámbito de la seguridad y privacidad en Redes Sociales. Se han desarrollado guías, políticas de uso para organizaciones, protocolos, mecanismos y servicios criptográficos y de anonimato en este campo. Se han realizado auditorias y análisis forenses en Redes Sociales valorando el nivel de riesgos y proponiendo contramedidas así como infiriendo el grado de violación de privacidad y seguridad.
Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).

Bibliografía

- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2009.
- Areitio, J. “Nuevos enfoques en el análisis de sistemas de detección-prevención y gestión de ataques-intrusiones”. Revista Conectrónica. Nº 123. Enero 2009.
- Areitio, J. “Identificación y análisis de servicios y mecanismos de seguridad de la información”. Revista Conectrónica. Nº 97. Mayo 2006.
- Tinm, C. and Perez, R. “Seven Deadliest Social Networks Attacks”. Syngress. 2010.
- Parches para algunas vulnerabilidades-bugs de Twitter ver en la URL:  - Ataques a Twitter, ver URLs.

- Dhanjani, N., Rios, B. and Hardin, B. “Hacking: The Next Generation”. O’Reilly. 2009.
- Fry, C. and Nystrom, M. “Security Monitoring. Proven Methods for Incident Detection on Enterprise Networks”. O’Reilly. 2009.

Autor:

Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Catedrático de la Facultad de Ingeniería. ESIDE.
Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .

Más información o presupuesto