Capítulo 5 – Redes Sociales: Concepto Fuente Abierta
Capítulo 5 de 12
Redes Sociales: Concepto Fuente Abierta
Nada como empezar con un enlace que resume algunas de las consecuencias de usar las redes sociales demasiado alegremente:
https://www.youtube.com/watch?v=ntHsv4EmuTo. No tiene desperdicio ver cómo un falso médium conoce detalles personales y privados de sus visitantes, que se quedan aún más atónitos cuando al caer una sábana, se descubre un equipo de personas con pasamontañas tecleando como locos dentro del perfil de la red social de la víctima.
En el primer curso que elaboré para la Armada sobre Hacking y Ciberdefensa, puse de manifiesto los peligros de las redes sociales como fuente de información fácil y peligrosamente explotable. Fíjate en lo que he dicho. Curso de Ciberdefensa para la Armada. Te lo repito porque merece la pena que veas la dimensión del peligro que se esconde detrás de una red social mal gestionada. El caso es que en unos cinco minutos, logré encontrar varios perfiles de mujeres relacionadas con el Ministerio de Defensa. Esos perfiles no estaban en una red social profesional, sino en otra más bien conocida por ser una red social en la que sus usuarios buscan mayoritariamente encuentros fugaces, relaciones esporádicas o compañía del otro sexo (en el caso de los heterosexuales) para compartir actividades diversas de ocio. Establecer contacto y conseguir una cita (a la que no hizo falta acudir) con una de las chicas que trabajaban en el Ministerio de Defensa fue fácil, sobre todo porque en su perfil especificaba todo aquello por lo que se siente atraída; y pasar de un tema de su interés a otro, aún más seductor, fue casi inmediato. Pero lo realmente sencillo fue inducirla a visitar una web infectada (simulada) a través de un enlace malicioso (inerte) que envié en un e-mail, con la excusa de la cita ¿Qué podría pasar si infecto el ordenador de esa chica? ¿Qué podría pasar si además infecto todos sus dispositivos con conexión USB y discos duros extraíbles? ¿Qué podría pasar si consigo varios vídeos de esa chica desnuda? Pues algunas de las cosas que podrían pasar es que uno de esos dispositivos USB acabara infectando su puesto de trabajo o todos los ordenadores en el Ministerio de Defensa (o en el Ejército en el que trabajara) o que esos vídeos se usaran para extorsionarla a cambio de información sensible.
Dejando la Seguridad Nacional a un lado, también cabe la posibilidad de que esa chica sea defraudada sentimentalmente, dado que es muy sencillo engañarla, haciéndole creer que eres una persona con sus mismos gustos para tener una cita sexual con ella y luego no volver a cogerle el teléfono en la vida. Supón que eres un hombre que tiene una cuenta de correo que sólo usa para publicidad y un teléfono móvil de prepago. Te creas un perfil en una red social como la descrita arriba con una foto atractiva, o sea, para tener relaciones sexuales. Buscas a todas aquellas chicas que tengan un perfil conveniente para tus intenciones y que te atraigan para luego elaborar una estrategia de aproximación y establecer contacto con esas chicas, de forma similar al caso descrito antes de la chica del Ministerio de Defensa. Proporcionas nombres falsos, un teléfono difícil de rastrear, y una cuenta de correo que no está vinculada a ti. De hecho, imagina que eres cauto y te conectas a Internet a través de la red TOR, que sirve para reforzar el anonimato. Si terminaras con esa chica en la cama, algo muy habitual en estos días, podrías dejarla en plena noche sin tener que preocuparte de darle explicaciones, en el mejor de los casos. En el peor, el hombre descrito podría hacer con la chica lo que quisiera, con relativo poco miedo a las consecuencias (según su habilidad planeando crímenes o abusos sexuales).
Ahora ponte en el caso de que la chica sea una menor, digamos de 12 años en lugar de 30. Si para la Seguridad Nacional puede suponer un peligro y para una mujer madura también, imagínate lo que puede hacerse con un menor. La manipulación, si se gestiona convenientemente, puede ser casi total. Internet es una fuente abierta de información a la que todo el mundo puede acudir. Si se revelan datos explotables, serán explotados. El alcohol puede traer consecuencias desastrosas para un menor imprudente. Facebook también. Si existe una legislación para el tabaco y el alcohol con el fin de proteger a los menores, ¿por qué no se exigió desde el principio que Facebook proporcionara a los padres herramientas de gestión para la supervisión de la información que sus hijos hacen pública? Quizá a más de una madre no le haya hecho mucha gracia que su hija de 13 años pusiera en el muro público que estaría sola en casa, porque sus padres pasarían el fin de semana en Suiza. Por suerte recientemente ha nacido en España una empresa (www.netclean4.me) que proporciona servicios de limpieza de reputación online, solicitando el borrado de información, vídeos o fotografías que pudieran suponer un peligro para los menores; y entiéndase peligro como un término general y a largo plazo, ya que la imagen profesional que un currículum transmite puede irse al traste con una simple búsqueda en Facebook; o tu puesto de trabajo podría quedar vacante si en tu perfil publicas comentarios despectivos de tu jefe (ha ocurrido y varias veces).
Tú como padre o madre, debes procurar tener acceso a la red social de tus hijos (como contacto) para moderar la información que hacen pública y qué contactos pertenecen a su red social. Sé que es habitual que los hijos no acepten a sus padres en Facebook, pero antes que el menor sienta una invasión de la privacidad, es preferible probar la vía consensuada. Si no diera resultado, siempre queda el software de control parental y monitorización de uso de la red (explicados en el siguiente capítulo).
Bueno, y si después de una larga charla explicándole a tus hijos que no deben aceptar solicitudes de amistad de desconocidos, reciben una de alguien que sí conocen y la aceptan, habrán seguido a pie juntillas tus instrucciones. Sin embargo, hay que definir muy bien las connotaciones del término “conocer” en ámbitos digitales. Nuestros menores están muy habituados a la interacción continua en las redes sociales, los foros, blogs, chats, etc. En estos tiempos, no es raro conocer a alguien primero en Internet y luego físicamente. Ocurre con frecuencia. Si esto no sucediera, no se explotarían las inmensas posibilidades de Internet en cuanto a relaciones globales y el niño o niña deben, forzosamente, entender qué es la ingeniería social y cómo detectarla.
Hay muchas definiciones de ingeniería social. Antes he utilizado unas cuantas formas de expresarla. Realmente, como titula su libro Kevin Mitnick (famoso experto en seguridad de la información, conocido por su maestría en el uso de la ingeniería social), no es más que el arte del engaño. La ingeniería social es una disciplina muy versátil utilizada por distintos gremios (a ambos lados de la ley) para obtener información, acceder a oficinas, casas particulares, despachos, etc. Lo que trata de explotar la ingeniería social es el descuido, un fallo humano o un error de procedimiento. Por ejemplo, a pesar de que te pueda parecer inverosímil, si quiero que me dejen entrar en un museo en pleno horario de visitas, robar una obra de arte y salir por la puerta principal, no tendría más que preparar una buena estrategia de ingeniería social. Incluso a lo mejor, me ayudaría el personal del museo a sacarla. Ni pasamontañas, ni pistolas, ni láser para cajas fuertes. Sólo con la palabra. En la ingeniería social se basan la gran mayoría de los timos. Recuerdo, dando un curso para escoltas, en el que había que demostrarles lo importante que es la protección esférica (y no en círculos, como se ha venido diciendo de forma errónea durante mucho tiempo). La manera de hacerles ver que no prestaban atención a lo que estaba sobre sus cabezas en una ciudad, era precisamente fotografiarlos desde una ventana ¿Cómo se puede acceder a un piso para hacerles fotos? La respuesta es, sin duda, mediante técnicas de ingeniería social. Me dirigí hacia un edificio en una de las calles por las que iban a pasar los alumnos y esperé a que viniera una vecina. Subí con ella en el ascensor, viendo a qué piso iba y le pregunté si su casa daba a la calle que me interesaba. Me dijo que no, pero que la de Pili, la del primero, sí. Entonces le di las gracias y le pregunté su nombre para terminar la frase “Gracias Fina”. Acto seguido, bajé a los buzones. Miré los nombres e identifiqué a Pilar Serrano y Francisco García (no son los nombres reales) como inquilinos del 1º- A. Subí, llamé y esperé. Al abrir, apareció un chaval de unos 17 años, al que no le dejé ni hablar: “—Hombre tú debes ser el hijo de Pili y de Paco… Me ha dicho Fina, la del 3º-C, que tu madre me dejaría entrar para tomar unas fotos desde la terraza, porque desde su casa he mirado y no puedo hacer las fotos, puesto que da a la parte de atrás; será sólo un momento.” En menos de siete minutos, estaba en una casa que no conocía de nada, haciendo fotos desde la ventana a un grupo de incautos escoltas, que aprendieron a mirar hacia arriba después de analizar las fotos en el aula ¿Qué pasó en realidad?
Lo que hice fue añadir a mis frases, nombres de personas con los que el chaval sentía familiaridad (sus padres) y usar informaciones coherentes, como el nombre de su vecina y el piso en el que vivía (que también comprobé en el buzón, por cierto). Generé una situación de confianza que me permitió modificar en parte la voluntad del chaval. Eso que hice físicamente, se puede hacer también en el ciberespacio. De hecho, la ingeniería social en Internet tiene dos vías de explotación distintas. Estrictamente hablando, es preciso diferenciar cuándo un ataque de ingeniería social es puramente digital o clásico, para poder percibir la peligrosidad de esta disciplina de engaño. Con clásico me refiero a aquel ataque de ingeniería social que emplea los medios de comunicación como el e-mail para alcanzar su fin (sin usar la tecnología en sí misma) y, por tanto, necesita una interacción voluntaria por parte de la víctima (debe al menos leerlo o escucharlo, como el hijo de Pili). Si una persona no te escucha, no la puedes engañar o manipular. En cambio, en los casos de ingeniería social digital, la interacción suele producirse de forma que la víctima no es consciente (la información que recibe no va destinada a interpretación o lectura) y, como cabe la posibilidad de ser manipulado sin siquiera percibirlo, debe considerarse como una amenaza muy seria. Ambos son engaños que emplean el descuido como vía de explotación, eso sí, con sutiles diferencias.
En 2012 enseñé en una conferencia cómo podía lograrse que un alto ejecutivo de una importante compañía (considerada crítica para la Seguridad Nacional) hiciera clic en un enlace malicioso para descargar un troyano en su ordenador. La técnica utilizada, que tampoco me llevó más de cinco o seis minutos, fue idéntica a la del 1º-A. Recopilé información del ejecutivo en Internet. Vi en LinkedIn con quién mantenía relación. Investigué su origen, anteriores empleos y dónde había hecho apariciones públicas en seminarios o conferencias. Con toda esa información, me dispuse a redactar el siguiente e-mail (que no se corresponde con el redactado en la conferencia, por seguridad):
Che Pedro!
Perdona que no te haya escrito antes.
Acabo de llegar a Valencia y con el tema de mi hijo no he podido enviarte lo que te dije en Madrid el mes pasado durante tu conferencia en IFEMA. Suerte que guardé bien tu tarjeta. La verdad que me alegró mucho verte. No veas si ha pasado tiempo desde la facultad en Cartagena.
En este enlace tienes lo que te dije sobre el puerto de Valencia: http[:]//www[.]ejemplo[.]es/PuertoValencia[.]qhp. Échale un vistazo rápido ahora mismo que no quiero dejar el enlace mucho tiempo, porque aún está sin registrar el proyecto. O descárgatelo y ya cuando puedas lo ves y me pones un e-mail. Te va a gustar.
Au, ¡que tengas un buen día!
Felipe.
El e-mail está lleno de elementos familiares. Pedro, el objetivo a engañar para que haga clic sobre el enlace (que he inactivado mediante corchetes en esta edición digital), nació en Valencia y estudió Navales en Cartagena. Como tiene cerca de 55 años, es probable que no recuerde bien a sus compañeros de universidad y, dado que gracias a Facebook y LinkedIn es fácil encontrar antiguos compañeros, no le extraña este tipo de correo. Además, Felipe utiliza expresiones valencianas para crear un entorno cercano, aparte de incluir en el texto un evento en el que participó Pedro, al que acudieron numerosos asistentes. Igualmente, el enlace hace referencia a un tema sobre algo de alto interés para Pedro, al que incluso le mete prisa diciendo que va a quitarlo rápido. Aunque es sólo un ejemplo en el que no interesa mantener una relación duradera (basta con que haga clic en el enlace malicioso), ilustra cómo funciona la generación de confianza. Es muy fácil utilizar la información de las redes sociales (son fuentes abiertas de información) para manipular a una persona. Insisto: imagínate lo que puede hacerse con un menor.
Intereses, gustos, aficiones, fechas, lugares, amigos, pasiones, fotos, hábitos, números de teléfono, etc., son datos muy útiles para forjar un perfil muy compatible, que abra la puerta a una relación de confianza, duradera y peligrosa con un ciberdepredador interesado en una cita íntima con nuestros hijos. Sabiendo todo eso, y más, es posible crear un perfil falso, de acuerdo a los gustos de tu hijo o hija, para llamar su atención y provocar un contacto inicial. Si ves esto que te cuento con ojos adultos olvídate. El pedófilo se pone al nivel del menor, para no incrementar el rudimentario nivel de alerta de la víctima y extraer así el máximo posible de información. La ingeniería social se aplica siempre de forma que el nivel de alerta permanezca al mínimo, fluyendo, en ese estado, información explotable de la propia boca (teclado) de la víctima. Más adelante, si el pedófilo lo ve oportuno, entra en juego como una tercera persona en la relación virtual o se descubre con sutileza, depende del caso y del modus operandi.
Por eso es tan importante que nuestros niños aprendan a interaccionar con la jungla digital en presencia de los padres, es decir, bajo supervisión adulta. A determinadas edades permitirles frecuentar Internet en privado puede ser considerado una temeridad educativa, salvo que de algún otro modo estés supervisando su actividad en la red. No confíes en el buen juicio de tus menores, pues Internet tiene vida propia y ofrece lo que es más rentable que veas, no sólo lo que uno quiere ver. Internet seduce, manipula y atrapa ¿Quieres atraer un perro hacia una habitación? Mete un muslo de pollo en esa habitación ¿Quieres atraer a un menor inexperto a una página web? Igual de fácil que en el caso del perro. Mira la siguiente imagen; en ella podrás ver unas páginas web (representadas por esferitas) interrelacionadas.
Figura 2: Captura de pantalla de Collusion. https://www.mozilla.org/en-US/collusion/
El gráfico de la figura 2 (obtenido con Collusion, un add-on de Firefox – Mozilla) representa las páginas web que sin que tú lo sepas, están involucradas en una visita y un par de clics de ratón. En realidad, para este ejemplo sólo he visitado una (marcada con un círculo negro en la imagen), que ofrece descargas gratuitas de episodios de tus series favoritas, pero al hacer clic en el enlace de descarga para acceder al contenido elegido, ha aparecido una segunda página web (marcada con un icono en forma de nube), donde está alojado el capítulo, que informa a otras páginas web sobre mí. Casualmente, una de las páginas que tiene información sobre mí (mi IP para empezar) se dedica a publicidad erótica, presentando anuncios con contenido para adultos ¿Te das cuenta de que en un par de clics, ya estoy expuesto a publicidad sexual? ¿Imaginas que después de utilizar un adulto tu ordenador, a continuación lo hicieran tus hijos? ¿Ves lo sencillo que es llevar a un niño por el mal camino digital? ¿Percibes lo inconsciente que eres de los intercambios de información que se suceden cuando visitas una página en Internet? En este ejemplo concreto intervienen 17 sitios web distintos, con tan solo hacer clic en un enlace dentro de la web que estamos visitando ¿Sabías que esto sucede así?
Visto lo anterior, quiero darte un toque de atención si eres el tipo de persona que acepta las condiciones del software que instala sin leer, o que se registra sin repasar los términos y condiciones de privacidad. En esas condiciones se especifican pormenorizadamente los términos del servicio que va a disfrutarse, estableciéndose “el precio” que ya sabes que no es dinero, sino que podría ser algo más caro. Para el caso concreto de las redes sociales, debes conocer en todo momento qué va a pasar con la información que decidas almacenar en sus sistemas ¿Qué pasa con toda tu información una vez que canceles la cuenta? ¿A quién pertenece y cómo pueden transferir esa información? ¿Cómo verifican la edad de sus usuarios? ¿Con qué dispositivos o medidas cuentan para combatir abusos o acosos? En definitiva: mide las consecuencias de tus acciones en Internet, por tu seguridad y la de tu familia ¿Firmarías un préstamo sin revisar primero las condiciones? Yo no, porque podría salirme muy caro. Pero cuidado, que no estoy diciendo que no tengas una cuenta en Facebook porque las condiciones no son convenientes para tu seguridad. Lo que estoy diciendo es que conozcas las reglas del servicio que solicitas para actuar de una u otra forma en beneficio de la seguridad de tu familia. En la red, si no cuidas tú por la seguridad de tus hijos, nadie lo hará.
<- Ir al capítulo anterior Ir al capítulo siguiente ->
=======================================================================
Eduardo Orenes
Autor de “CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet”
=======================================================================
“Hoy es Mañana…”
NOTA:
Todo el contenido de la categoría “Libro” está protegido por Copyright. Está prohibido copiar el contenido para publicar en otros medios sin la autorización expresa del autor (aunque sí puedes, y te invito a ello, compartir los enlaces libremente).
Además, si vas a utilizar contenido parcial de este blog (cualquier otro post o entrada), debes mencionar al autor y la página web (con hipervínculo). No ya sólo por cuestiones de Copyright, sino también por temas de clonado de contenido que Google penaliza a la hora de posicionar. Por si se te olvida, he añadido un código que lo hace automáticamente cada vez que copies y pegues algún fragmento de texto de esta web 😉
Leave a Reply
Want to join the discussion?Feel free to contribute!