Como el delito cibernético tiene que ver con la ganancia monetaria, los atacantes saben que cuanta más inteligencia recopilen sobre sus objetivos, más fácil será lograr un compromiso. Por otro lado, la mayoría de las personas comparten voluntariamente grandes cantidades de información personal en las redes sociales sin apreciar completamente los riesgos.
En esta publicación, descubriremos qué es el perfilado en redes sociales, cómo los piratas informáticos usan las redes sociales para sus objetivos y cómo puedes protegerte a ti mismo ya tu negocio.
Indice
¿Qué es la elaboración de perfiles de redes sociales?
Las redes sociales tienen que ver con compartir, ya sean fotos de la última conferencia, vacaciones en el extranjero o un evento importante de la vida, o simplemente curiosidades sobre tus rutinas diarias, el nombre de tu gato, equipo de fútbol favorito o programa de televisión; son todos los datos que tienen valor para alguien. Ese alguien puede ser una empresa que quiere venderte una nueva marca de comida para gatos o un anuncio de una nueva temporada de ese gran drama televisivo, o pueden ser ciberdelincuentes involucrados en una campaña de spear-phishing .La verdad es que los datos de las redes sociales son un bien primordial, y esa verdad es tanto para los piratas informáticos válidos y los actores de amenazas como para los comerciantes legítimos.
La creación de perfiles en las redes sociales, la creación de un compuesto de la identidad y el estilo de vida de una persona a partir de información disponible públicamente, es solo el último truco en el arsenal de los ciberdelincuentes.
La minería de redes sociales en busca de pistas sobre las personas y sus intereses es una técnica muy utilizada por los gobiernos, las empresas y ahora los actores de amenazas. Es parte integrante de la realidad actual de la interconexión. Así como un departamento de marketing puede emplear técnicas legítimas para identificar audiencias que serán receptivas al mensaje de su marca, los atacantes también pueden usar los mismos métodos para identificar posibles objetivos.
Entonces, ¿qué tipo de información se puede obtener de los perfiles de las redes sociales? Todo depende de cuanto compartas. Si compartes un currículum detallado o un currículum en línea, eso es oro en polvo para los perfiladores. Si también compartes información sobre eventos especiales, nombres de miembros de la familia, lugares que están visitando y similares en las redes sociales, eso puede sumarse a una imagen compuesta bastante detallada sobre ti, tu estilo de vida y tus antecedentes, especialmente si esa información es cosechada durante un período prolongado de tiempo.
Si estás tratando de utilizar las redes sociales para promocionarte , los consejos sobre cómo hacerlo de manera efectiva también facilitarán tu perfil. Por ejemplo, usar el mismo identificador en todas las plataformas de redes sociales lo hace fácil de encontrar. Si eres jane-marie-smith en Facebook y @jane-marie-smith en Twitter y Skype, es probable que tu correo electrónico sea jane-marie-smith@gmail , jane-marie-smith@icloud .com y así sucesivamente.
Del mismo modo, es bueno para el marketing de la marca personal incluir una imagen de perfil que sea una foto de la cabeza, pero esa imagen también te identifica ante los malos actores y les brinda una imagen que pueden raspar y usar para hacerse pasar por ti. Con la tecnología de inteligencia artificial que ahora puede generar cuerpos enteros de personas que no existen, utilizando un trastorno en decenas de millas de fotos en línea, eso puede ser más convincente de lo que crees.
Peligros de compartir en exceso
Casi todos los aspectos de nuestras vidas se comparten en las redes sociales. Como resultado, se está volviendo fácil para las personas aprender rápidamente acerca de ti a partir de tus pasatiempos, miembros de la familia y registros de ubicación con etiquetas geográficas. Incluso si no participas o tienes mucho cuidado con lo que compartes en línea, otros pueden etiquetarte en las publicaciones, lo que hace que sea casi imposible mantenerse alejado de los ojos vigilantes.
Las vacaciones, los cumpleaños, las conferencias, las salidas nocturnas e incluso el título de tu trabajo en LinkedIn pueden ayudar a proporcionar a los actores maliciosos la información confidencial que necesitan antes de lanzar un ataque. Por ejemplo, compartir fotos de ti mismo viviendo tu mejor vida en múltiples plataformas podría dejarte vulnerable a los ladrones que saben que tu casa está vacía en este momento.
Aunque las compañías de seguros no controlan las publicaciones en las redes sociales, están comenzando a advertir a los titulares de pólizas que tienen en cuenta lo que publican en línea y que publiquen imágenes o se registran en el aeropuerto. Como resultado, podemos ver que las aseguradoras adoptan una postura diferente contra las víctimas que han sido culpables de compartir en exceso y tal vez podría eventualmente incitar a los usuarios a recalibrar su relación con la gran tecnología.
También existe una creciente preocupación por el aumento del fraude de identidad sintética (SIF), donde los atacantes combinan los perfiles de redes sociales de un usuario con datos personales filtrados para crear la llamada identidad de Frankenstein. Pero son solo algunos ejemplos del aumento de los ataques sofisticados que son posibles gracias a las huellas digitales que deja nuestra obsesión por las redes sociales.
¿Cómo pueden los actores de amenazas explotar las redes sociales?
La creación de perfiles en las redes sociales fue una gran noticia cuando se supo que Facebook había permitido que una empresa privada, Cambridge Analytics, recopilara datos como la ubicación, la fecha de nacimiento, los Me gusta de la página y los perfiles públicos de decenas de millones de usuarios sin su consentimiento. Una charla de un periodista británico sacó a la luz cómo esa información podría usarse para animar a una persona en un lugar particular a tomar una decisión electoral determinada.
Para los delincuentes que buscan robar datos y/o dinero, se puede usar el mismo tipo de creación de perfiles para crear anuncios dirigidos y correos electrónicos de phishing que pueden transportar malware para infectar la máquina del usuario. Las técnicas son idénticas; sólo difiere la «carga útil».
Sitios como LinkedIn alientan a los usuarios a ser completos en los detalles que brindan, ya que pueden ayudar en la contratación de trabajo, pero también pueden convertir a los delincuentes en víctimas con el aparente pretexto de ofrecer empleo. Tal fue el modus operandi de un grupo de hackers, supuestamente Lazarus APT, que se infiltró en Redbanc, el consorcio de cajeros automáticos para bancos chilenos. Un anuncio de LinkedIn para un desarrollador de software resultó ser una fachada para el grupo de hackers. Entrevistaron a un empleado de Redbanc por Skype y lo convencieron de abrir un PDF malicioso que supuestamente era un formulario de solicitud. La ofensa realizada en diciembre de 2018 no se reveló hasta el mes siguiente.
No se trata solo de sitios de «negocios» en los que tienes que pensar en lo que compartes. ¿Qué pasa con las comunidades de juego en línea? Millones de personas juegan y chatean en entornos de juegos MMORPG, y las estadísticas sugieren que solo alrededor del 26% de ellos son adolescentes. El resto son adultos (edad media: 26 años), empleados (50%), casados (36%) y con hijos (22%). Pero esos porcentajes no son el punto. Sin embargo, el hecho de que esos porcentajes se puedan recopilar sí lo es. ¿Cuántos datos estás entregando a los proveedores de juegos en línea y qué tan seguro es el manejo de tus datos? Cuando incluso los «chicos grandes» como Sony son pirateados, hay muchas razones para creer que los equipos más pequeños con grandes cantidades de datos valiosos sobre millones de usuarios también es probable que sean el objetivo de los actores de amenazas.
No caigas en el phishing de LinkedIn
Si un atacante quiere apuntar a una empresa, puede navegar fácilmente a través de todos los empleados en LinkedIn. Luego, con algunas búsquedas más, también pueden consultar los otros perfiles de redes sociales de un empleado para comprender mejor quién es alguien e identificar sus intereses o pasiones en la vida. Finalmente, una visita rápida al sitio web de la empresa revelará el dominio de correo electrónico para permitir que el atacante envíe un correo electrónico de phishing personalizado que se puede personalizar según los pasatiempos del objetivo, la aerolínea favorita, el bar o la tienda minorista.
En cuanto a una red comercial, un atacante también podría usar una publicación pública en LinkedIn de un director ejecutivo que acaba de registrarse en una conferencia en el extranjero como una oportunidad para enviar un correo electrónico falso a un gerente financiero solicitando la aprobación de una factura Urgente. Con suficiente información, los atacantes pueden hacerse pasar fácilmente por una marca comercial para engañar a los usuarios para que envíen dinero o compartan sus credenciales de inicio de sesión.
En un entorno empresarial, una publicación de LinkedIn aparentemente inocente podría aprovecharse para hacer verosímiles los correos electrónicos de phishing o incluso a las llamadas telefónicas en las que los delincuentes intentarán completar transferencias de dinero y casi cualquier fraude de cuenta que puedas imaginar. Pero aunque el debate sobre las redes sociales frente a la ciberseguridad en la oficina puede parecer desalentador, se puede lograr el uso seguro de las redes sociales en el trabajo siguiendo unos sencillos pasos.
¿Qué es la inteligencia de las redes sociales?
Social Media Intelligence (SOCMINT) se refiere a las técnicas y tecnologías que permiten a las personas, empresas o gobiernos monitorizar sitios de redes sociales, como Facebook, Twitter e Instagram, así como sitios de redes profesionales como LinkedIn. Esto puede incluir la monitorización del contenido, como mensajes o imágenes publicadas, y otros datos, que se generan cuando alguien usa cualquiera de los sitios antes mencionados. Esta información involucra de persona a persona, de persona a grupo, de grupo a grupo e incluye interacciones que son tanto públicas como privadas.
En 2018, se evaluó que la persona promedio pasó 144 minutos al día en los sitios de redes sociales, un aumento del 62,5 % desde 2012. Si bien este número es impresionante, no sugiere que los usuarios pasen ese tiempo todos los días subiendo contenido a las redes sociales. Dicho esto, habrá individuos y grupos haciendo precisamente eso. Es esta información, aparentemente trivial para el ojo inexperto, la que atrae a investigadores y analistas por igual.
La inteligencia de fuente abierta es información disponible públicamente (es decir, cualquier miembro del público podría obtener legalmente la información mediante solicitud u observación). Incluye libros, periódicos, revistas, transmisiones de radio y televisión, cables de noticias, Internet y grupos de noticias, cartografía, imágenes, fotografías, bases de datos de suscripción comercial y literatura gris (actas de conferencias e informes de institutos).
¿Cómo se utiliza la inteligencia de las redes sociales?
Si bien SOCMINT generalmente se usa para verificar información o generar nuevas pistas de investigación, hay ocasiones en las que proporciona una información vital que finalmente conduce a un compromiso de la red corporativa de los clientes. Uno de esos eventos tuvo lugar como parte de un compromiso reciente.
Los investigadores utilizarán y explotarán una variedad de fuentes de inteligencia durante los compromisos de SOCMINT, para incluir Open Source Intelligence (OSINT), Human Intelligence (HUMINT) e Technical Intelligence (TECHINT), la última de las cuales se enfoca en muestras de malware y registros que un cliente puede proporcionar. Durante una operación de SOCMINT, se investigan varias funciones comerciales clave para identificar a los empleados que podrían ser el objetivo de una campaña de phishing selectiva. Los empleados de recursos humanos, reclutamiento y ventas son objetivos principales, principalmente debido a sus frecuentes interacciones con terceros y miembros del público.
Industrias con capacidad de vigilancia
Hay dos industrias que crean capacidades de vigilancia en la inteligencia de las redes sociales: la industria de la vigilancia y la industria del marketing. Ambas industrias están creando servicios y capacidades para usuarios del sector público y privado.
Existen varias empresas que proporcionan herramientas de búsqueda SOCMINT y OSINT para facilitar la búsqueda de personas y empresas. Aware Online e Intel Techniques son dos de esas empresas que permiten realizar búsquedas capturadas de información como nombres de usuario, direcciones de correo electrónico y documentación. Luego está Datasift, una empresa que afirma utilizar datos de una multitud de redes sociales y otras plataformas para proporcionar información única a partir de datos humanos.
Además, un proyecto titulado ‘Gestión de ‘amenazas’: Usos de las redes sociales para vigilar el extremismo y el desorden doméstico en el Reino Unido’ divulgó que las capacidades de la policía SOCMINT giraban en torno al uso de herramientas de marketing para minimizar los costes. Algunas de las herramientas que usan son familiares para los usuarios cotidianos, como Tweetdeck y Hootsuite, y la revelación es que algunas de las herramientas que usan «no pueden hacer nada más que Google».
¿Es ilegal la vigilancia de las redes sociales?
El uso de la inteligencia de las redes sociales puede ser una intrusión en la privacidad de las personas y, por lo tanto, debe cumplir con los principios internacionales de legalidad, necesidad y proporcionalidad. Si bien se trata de información disponible públicamente, se aplican las normas internacionales de derechos humanos, específicamente el artículo 8 del Convenio Europeo de Derechos Humanos, que detalla el «derecho al respeto de la vida privada y familiar, el hogar y la correspondencia».
El Tribunal Europeo de Derechos Humanos sostuvo durante mucho tiempo que “existe una zona de interacción de una persona con otras, incluso en un contexto público, que puede caer dentro del ámbito de la vida privada”. Por ejemplo, al comentar sobre el uso de CCTV, el Tribunal concluyó que la grabación de un lugar público no violó el artículo 8 del Convenio, ya que la misma escena podía ser vista por miembros del público en el mismo espacio físico. Sin embargo, «pueden surgir problemas una vez que cualquier registro sistémico o permanente de dicho material sea de dominio público».
¿Cómo evitar la creación de perfiles en las redes sociales?
Hay varios pasos que puedes tomar para protegerte a sí mismo ya tu negocio. Comenzamos con los de sentido común.
Primero, debes tratar a todos los contactos solícitos con una dosis de sano escepticismo. Verifica las declaraciones de amistad de personas que no conoces y considera si los detalles incluidos en la correspondencia no solicitada son detalles que has puesto a disposición del público. La precaución es tu defensa número uno y, por el contrario, la falta de ella es la principal razón por la que los ataques de phishing y de spear-phishing tienen éxito. Esto se debe a que, a pesar del arduo trabajo del atacante, el éxito de una campaña de phishing o de spear-phishing depende de un factor crucial: la cooperación de la víctima prevista. Por lo tanto, incluso cuando has sido perfilado por actores de amenazas, todavía tienes el control.
En segundo lugar, asegúrate de que tu empresa cuente con protecciones contra documentos maliciosos de Office y PDF, como con una solución de seguridad ActiveEDR moderna, y asegúrate de informar cualquier actividad sospechosa de phishing a tu departamento de TI o seguridad.
Tercero, revisa la información que estás compartiendo en las redes sociales. ¿Realmente necesitas revelar todos esos detalles en LinkedIn? Tal vez aún podrías volverte atractivo para los potenciales sin revelar tantos detalles. Siempre puedes ofrecer más detalles de un pedido y, por supuesto, verificar los contactos que realmente hacen esas solicitudes.
Finalmente, aprende una lección del desarrollador que fue engañado por Skype y de estos administradores de sistemas involuntarios: no ejecutes programas proporcionados por otros. Si debes abrir un archivo de una fuente desconocida, verifícalo primero con una solución de software de seguridad confiable; mejor aún, utiliza una solución de seguridad automatizada que bloquee y ponga en cuarentena de forma autónoma los archivos que intentan ejecutar código sospechoso.
Creciente superficie de ataque digital
A medida que la gran tecnología comienza a construir múltiples metaversos y los usuarios comienzan a explorar nuevos mundos digitales, podemos esperar que la superficie de ataque digital se expanda con nuestras aspiraciones. Una vez más, nuestras preocupaciones de seguridad cibernética actuales y pasadas nos seguirán al metaverso mediante la introducción de una infraestructura completamente nueva que contiene dispositivos avanzados, aplicaciones y una mezcla heterogénea de datos.
La seguridad y la privacidad en torno a la actividad de las redes sociales seguirán dominando las conversaciones en los próximos meses. Existen numerosas formas en que los estafadores pueden usar la información fácilmente disponible en línea para realizar ataques relacionados con la ingeniería social, el phishing, la suplantación de identidad de marca y el robo de datos. Pero a medida que sale a la luz la gravedad de estos ataques, muchos comienzan a preguntarse quién es el responsable cuando los ataques cibernéticos resultan en muertes.
A pesar del aumento de los ataques de alto perfil y las numerosas advertencias, no se necesita buscar demasiado para encontrar personas boca abajo en sus teléfonos inteligentes, todos usando las mismas aplicaciones mientras reutilizan sus contraseñas en redes sociales en constante expansión. Como era de esperar, las redes sociales se han convertido en la superficie de un ataque de más rápido crecimiento. Pero la pregunta más importante es, ¿qué vas a hacer tu y tu negocio de manera diferente?
Conclusión
Compartir en las redes sociales tiene la gran ventaja de ayudarnos a conectarnos con otros, ya sea por motivos comerciales o personales, con todos los beneficios que eso puede traer: nuevos amigos, nuevos trabajos, nuevas experiencias. Desafortunadamente, siempre existe la posibilidad de que haya malos actores al acecho que usarán esa información para su propio beneficio.
Es importante recordar que antes de la llegada del mundo moderno por cable, todos éramos razonablemente cuidadosos con nuestra información personal. No compartimos detalles como nuestras fechas de nacimiento, trabajos y animales favoritos con cualquiera, y ciertamente no con casi todos, como lo hacemos ahora a través de Internet. Eso fue porque antes del advenimiento del mundo conectado, todos entendíamos implicado el límite entre lo que era personal y lo que era público. Las redes sociales han derribado ese límite, pero ahí radica el peligro. Cuando se trata de ciberseguridad, los límites y la precaución, son elementos esenciales de defensa.