Las redes sociales como Facebook, Plaxo, LinkedIn y MySpace, entre otras, se han convertido en una herramienta de interacción cotidiana con millones de usuarios a nivel global. Acorde a estadísticas recientes, dos tercios de la población de Internet visita al menos una red social y su popularidad como aplicación ha superado a la del correo electrónico (1).
Como suele ocurrir con las nuevas tecnologías, este crecimiento llama la atención a criminales informáticos. Se estima que los ataques dirigidos a redes sociales representan el 19% de todos los incidentes de seguridad detectados entre enero y julio de este año (2).
Acorde a un estudio realizado, dos tercios de las organizaciones encuestadas sienten que las redes sociales ponen en peligro su seguridad (3). Por este motivo, muchas empresas e instituciones consultan sobre los riesgos inherentes en permitir a sus empleados el acceso a estos sitios utilizando los recursos tecnológicos disponibles en los ámbitos de trabajo (el acceso a Internet, estaciones de trabajo, notebooks, etc.).
Desde la perspectiva de seguridad de la información, existen varios riesgos a los cuales se podría enfrentar una organización si es que no toma las medidas preventivas necesarias.
El primero, y el más común, es la difusión de información confidencial. Supongamos que un empleado está trabajando en un proyecto confidencial e inconcientemente publica en una red social, como ser LinkedIn, lo que está haciendo (la mayoría de las redes permiten publicar las actividades recientes de uno bajo la pregunta “¿Qué estás haciendo ahora?”) ¿Cuál es el impacto de esta acción? Las personas con acceso a su perfil (ú otros) saben en que proyecto está trabajando, difundiéndose así información supuestamente confidencial.
El segundo riesgo es el aumento de las posibilidades de éxito de un ataque basado en la ingeniería social. La mayoría de estas redes permiten guardar datos personales del usuario, como nombre, apellido, fecha de nacimiento, organización para la cual trabaja, hobbies, preferencias, experiencias laborales, etc. Sin la correcta configuración de las opciones de privacidad de la aplicación, uno podría armar un perfil social de la víctima simplemente buscando en las diferentes redes y Google, volviéndolo vulnerable al robo y/o usurpación de identidad. Al contar con su información personal, ¿qué impide llamar a la mesa de ayuda de su organización y pedir un cambio de contraseña?
También se han hecho públicos casos en los que las víctimas padecieron la usurpación virtual de sus identidades, como un usuario en Facebook que se hace pasar por otra persona (esto normalmente ocurre con personajes famosos).
Si alguien usurpa la identidad de un alto ejecutivo de una organización en una red social, agrega a sus contactos empleados de la misma y puede obtener información confidencial o comenzar a realizar actos difamatorios contra otra persona ¿Es posible? La respuesta es sí y ya ha sucedido, tanto a nivel empresarial como personal.
Otro riesgo son los ataques causados por malware, principalmente gusanos. La cantidad de virus que utilizan las redes sociales como medio de distribución ha aumentado notoriamente. El hecho de permitir el acceso a estos sitios en las organizaciones incrementa los riesgos de infección.
¿Qué hacer entonces frente a los peligros mencionados? Como medidas preventivas, es esencial configurar la privacidad de las redes sociales, validar a la persona que agregamos, capacitar al personal, monitorear las actividades, contar con controles técnicos adecuados y desarrollar un marco normativo acorde.
Notas: (1). Nielsen – Global Faces and Networked Places. (2) Breach – The Web Hacking Incidents Database 2009. (3) Sophos – Security threat report: Update July 2009.
Agustín Chernitsky es consultor especializado en seguridad informática y tecnología de la división Advisory de Ernst & Young Argentina.
Fuente: iProfesional.com