Según análisis de
Monetización
en Redes Sociales:
su información sí tiene precio
La monetización es el proceso de convertir algo en dinero. En Internet,
casi todos los sitios populares que visitas diariamente monetizan o hacen
dinero de una o varias formas: a través de la publicidad, vendiendo información
de usuarios como geolocalización y demás datos obtenidos a través de las cookies del navegador, redirigiendo a otros
sitios por determinada cantidad de dinero por visita, entre otras. .
La
mayoría de los sitios que hoy en día están entre los más populares en
Latinoamérica arrancaron como grandes
ideas que no tenían la
obtención de dinero como razón para existir, pero hoy en día tienen ganancias
importantes. Facebook,
muchos años atrás, era básicamente igual que hoy… pero sin la espeluznante
cantidad de publicidad que vemos siempre que hacemos clic (en cualquier lado).
Por su
parte, Youtube tiene una colección increíble de
videos de música, bloopers y tutoriales de cómo hacer
prácticamente cualquier cosa: desde programar en C++ hasta cómo abrir un
candado con un clip. Pero, como de seguro habrás visto, en muchos casos tienes
que mirar por lo menos 5
segundos de publicidad antes de ver un video. ¡Y a veces la publicidad
incluso salta en la mitad del clip!
Ahora
bien, estas son formas lícitas (aunque no siempre agradables para el
usuario) de monetizar, o sea: se ofrece contenido deseado, pero no es
totalmente gratuito. Pero en paralelo, sabemos que existen formas ilícitas de atacar este proceso a través del malvertising, práctica utilizada por
atacantes de insertar malware en publicidad.
El
área gris sería el adware, que consiste en programas que, más allá de ser “potencialmente
no deseados” en algunas ocasiones, no causan daños al usuario ni la
pérdida de dinero, sino que simplemente descargan y/o hacen que la víctima
visualice publicidades que de otra forma no vería.
Ahora
que conocemos las prácticas comunes de monetizar, prestemos atención a las nuevas formas maliciosas de hacerlo en la Deep Web:
Cosecha de PII (Personal Identifiable Information)
El
proceso de cosechar
información personal en
las redes sociales solía ser muy sencillo para los atacantes: con tan solo
visitar perfiles de usuarios, sus amigos, y los amigos de sus amigos, juntaban
información suficiente como para adivinar el nombre
de usuario, contraseña y la respuesta a preguntas de seguridad (nombre de la madre o nombre de la
mascota, por ejemplo).
Pero
con las nuevas medidas de seguridad de las redes sociales, como el dinosaurio azul de Facebook que ofrece tips para proteger los perfiles, se vieron
obligados a mejorar sus tácticas.
Un
atacante, utilizando la red TOR para navegar
la Deep Web de forma anónima, puede muy fácilmente encontrar
otros atacantes que ofrecen perfiles
completos de personas,
con información que va desde nombre, apellido y fecha de nacimiento, hasta
usuario y contraseña de PayPal, número de teléfono y de tarjetas de crédito
(PIN incluido).
Robo de Configuraciones de formas de pago en redes
sociales
Actualmente
es posible encontrar software desarrollado
específicamente para robar credenciales de prácticamente todos los
servicios más conocidos, como Facebook, Twitter, Linkedin y Gmail, entre otros.
Esta clase de software ilegal normalmente tiene un costo que varía
entre 200 y 600 dólares, pero normalmente los cibercriminales ofrecen un “free
trial” (o prueba gratuita) para comprobar que funciona, y las forma de
pago pueden ser desde bitcoins hasta trasferencias a través de Western Union. Incluso ofrecen una
garantía de devolución del dinero si el cliente no está satisfecho.
Ahora bien, ¿qué buscan los atacantes con esto?
La razón para, por ejemplo,
acceder al perfil de una víctima, sería acceder a sus configuraciones, donde
pueden visualizar y robar información financiera asociada.
Compra de páginas de fans con seguidores reales
Las
páginas con muchos seguidores reales son un activo
importante para empresas
legítimas y para los atacantes. El número de fans y toda la información personal que se
hace disponible una vez que un usuario de redes sociales se asocia a una página
hace que un ataque a medida pueda sea diseñado y dirigido a los miembros de
esta página. No es difícil encontrar atacantes dispuestos a pagar por
páginas con seguidores, para poder, por ejemplo, crear nuevas campañas
de phishing con una mejor tasa de éxito,
ya que las costumbres y gustos de los usuarios quedan al descubierto y pueden
ser analizados por los atacantes
Entonces, ¿qué podemos hacer?
La mayoría de los sitios
populares ofrecen formas más seguras para el acceso de sus usuarios, veamos qué
podemos hacer para mitigar los riesgos descriptos hasta aquí:
·
Utilizar doble factor de autenticación (ya ofrecido por
la mayoría de los sitios que mencionamos en este post, como Facebook, Twitter y ahora también iCloud). Si un atacante logra adivinar el usuario y contraseña, igualmente no
puede acceder sin una OTP (contraseña de
un solo uso)
·
Utilizar contraseñas fuertes que no puedan
ser adivinadas con facilidad
·
Ajustar las configuraciones de seguridad del servicio que
utilizamos
·
Utilizar un software de seguridad que tenga la
funcionalidad de analizar el tráfico de red, buscando actividades sospechosas
· Cifrar todos los medios de acceso a
la Internet, no solo la computadora, sino también los
dispositivos móviles
Si sigues estos pasos
sencillos, podrás disfrutar de la tecnología de forma más segura, mitigando los
riesgos resultantes de estas nuevas tendencias.
Visítelos en:
@ESETLA
/company/eset-latinoamerica
No hay comentarios:
Publicar un comentario