En los últimos meses se ha observado un aumento en el empleo de este tipo de páginas web como medio para distribuir malware.
Los ciberdelincuentes han demostrado una habilidad asombrosa para seguir a los usuarios de Internet allá donde ellos van para poder infectarles con sus creaciones. La razón es que las grandes aglomeraciones de usuarios, como sucede en el caso de las redes sociales, les permite distribuir sus creaciones entre un gran número de internautas de una manera rápida.
El primer ataque contra las redes sociales se produjo en 2005. Ese año, un usuario de MySpace, que debía sentirse muy solo, creó un gusano (detectado por Panda como MySpace.A) que le permitió añadir un millón de usuarios a su lista de contactos.
MySpace.A lanzaba ataques de tipo “cross-site scripting”. Estos ataques consisten en que el gusano lanza un script a los distintos usuarios que tropiezan con él en busca de vulnerabilidades que pueda aprovechar para realizar acciones maliciosas como infectar cookies con código malicioso, abrir conexiones SSL, etc.
El primer intento serio de infección a través de MySpace no llegó hasta finales de 2006. Consistía en un gusano que aprovechaba los perfiles de los usuarios de esa red para propagarse, es decir, todos aquellos que visitasen un perfil de usuario quedaban, a su vez, infectados.
Por esas mismas fechas, un banner publicitario en la misma red aprovechó una vulnerabilidad en Windows Metafile para infectar a más de un millón de usuarios con spyware. Apenas unos días después se descubría, también en esa red, un gusano que incrustaba un código Java script en los perfiles de usuario. Cuando alguien intentaba visitar uno de esos perfiles, era redirigido a una web que culpaba al gobierno de USA de los ataques del 11-S.
Pero el caso más grave tuvo lugar a principios del 2007. Esta vez se aprovechó una característica del reproductor QuickTime de Apple para propagar un gusano. Lo que hicieron los ciber-delincuentes fue asociar varias películas subidas con este reproductor a distintos perfiles. Dicha película tenía una pista HREF con un código JavaScript asociado. ¿Esto qué significa? Que los hackers podían modificar a su antojo el perfil de cualquier usuario que, con el propósito de ver la película, visitase el perfil infectado que ellos habían creado.
La modificación tenía un doble camino. Por un lado, se incluía en el perfil del visitante la película que estaba causando la infección, de modo que la propagación del gusano continuase. Por otro lado, se modificaba la cabecera de esos perfiles (donde aparecen las pestañas de grupos, foros,…) de modo que todos ellos apuntasen a un sitio web fraudulento. Esta web falsa simulaba ser la oficial de MySpace para sacar a los usuarios datos como su nombre de usuario y su contraseña.
Este tipo de infección es bastante molesta porque no basta con el limpiar el propio perfil para estar a salvo. Mientras uno de nuestros contactos esté infectado, la infección se puede volver a repetir una y otra vez.
Hasta aquí, y pese a las molestias, no dejaba de ser la típica propagación de un gusano, aunque aprovechara las nuevas estructuras como MySpace. Pero, estamos en el siglo XXI y a los creadores de malware no les basta con causar daño y lograr fama. Lo que quieren, sobre todo, es ganar dinero. Por ello, añadieron a este gusano una última funcionalidad: estaba diseñado para enviar spam de forma masiva a todos los contactos de los usuarios infectados.
El spam que enviaba contenía una supuesta película. Cuando el usuario pulsaba para verla, era conducido a una página web pornográfica. ¿Cuál es el objetivo? Además de que el usuario compre algo en esa web (vídeos, fotos,…), la mayoría era infectado con un adware de la familia Zango diseñado para mostrarle publicidad personalizada. En resumen: una auténtica estructura de negocio basada en el malware.
Para atajar el problema, que según MySpace afectó a 10.000 usuarios, Apple se vio obligada a eliminar la característica que permitía la infección a través de QuickTime con un parche de urgencia.
El caso de Facebook
Facebook se ha convertido, en sus cinco años de existencia, en una de las redes sociales con más éxito de Internet. Con más de 50 millones de afiliados, situada entre las veinte páginas más vistas de la Red, y con más de 200.000 usuarios nuevos cada día, esta página es, sin duda, uno de los fenómenos cibernéticos más grandes de los últimos años.
Gran parte del éxito de Facebook se debe a su facilidad para añadir “amigos” a tu perfil. Sin embargo, esta prestación puede tener un “lado oscuro”, si no se usa adecuadamente. Y es que, como en otras redes sociales, los perfiles de los usuarios de Facebook dan mucha más información de la que sería conveniente.
Pérdida de datos, posibilidad de ser infectado con algún malware o encuentros no deseados, son otros de los peligros de las redes sociales como Facebook.
Los primeros problemas de seguridad en Facebook se registraron a principios del año 2007. El servicio comenzaba a ganar adeptos y, a la vez, a despertar recelo entre los usuarios. Un primer caso espinoso se registro en Illinois, USA. Un hombre se hizo pasar por un adolescente para atraer a menores e intercambiar fotos con ellos. El hombre fue detenido y varios medios y asociaciones comenzaron a criticar la forma en que Facebook protegía a los menores (1).
A mediados del mes de julio, Facebook tuvo que enfrentarse a un nuevo problema de seguridad. En este caso se trató de un problema de programación que provocó que cuando un usuario introducía su clave, en vez de a su cuenta, era dirigido a la bandeja de correo de otro usuario, de modo que la información confidencial de unos usuarios quedó a la vista de otros. Afortunadamente para la compañía, otros datos más sensibles como el número de teléfono o la dirección de contacto no quedó expuesta.
Unos meses después, en septiembre, la seguridad en Facebook volvía a ser tema de interés en los medios tecnológicos. La razón fueron unas declaraciones de la Fiscalía General de Nueva York criticando que la empresa, en su afán por crecer, no estuviera dando prioridad a los mecanismos de seguridad, en los que el fiscal dijo haber encontrado “significativos defectos”. Los problemas con la seguridad de los menores fueron, de nuevo, el punto más atacado (2).
Aunque, sin duda, el caso más grave ocurrió a mediados del mes de diciembre, cuando una compañía canadiense de pornografía fue denunciada por Facebook como responsable de haber “hackeado” la cuenta de 200.000 usuarios, logrando acceso a datos como su nombre de usuario, su contraseña o su dirección de correo (3).
El penúltimo escándalo se vivió en enero de 2008. Entonces, una empresa creó una herramienta cuya instalación para poder ser usada en Facebook implicaba la llegada al equipo de los usuarios de una copia del adware zango. El largo tiempo que Facebook tardó en retirar la herramienta fue motivo de crítica por varias empresas de seguridad.
Finalmente, en agosto de 2008, PandaLabs ha detectado un gusano, Boface.A, que se propaga a través de las redes sociales MySpace y Facebook. Este gusano inserta en los comentarios de ambas redes un link que parece conducir a un vídeo de YouTube, pero que, en realidad, conduce a una página falsa que imita a esta conocida web. Cuando el usuario intenta ver el supuesto vídeo, aparece un mensaje diciéndole que para ello necesita instalar la última versión de Flash Player. Si algún usuario realiza esa instalación, lo que realmente estará introduciendo en su equipo es una copia del gusano.
Para incitar a los usuarios a ver esos vídeos, el gusano utiliza asuntos llamativos como “Hello; You must see it!!! LOL. My friend catched you on hidden cam” (Hola. Deberías ver esto. Mi amigo te pilló con una cámara oculta), entre otros.
En resumen, Facebook ha sido criticada varias veces por sus problemas de seguridad, sobre todo, en lo que se refiere a la facilidad que ofrece la red para que se escondan predadores sexuales y, también, por la cantidad de información sensible que se maneja en los perfiles de forma inadecuada.
Un troyano en Orkut
En marzo de este año, PandaLabs detectó un troyano, llamado Orkut.AT, que utilizaba la red social Orkut- una de las más populares de la Red- para propagarse. El procedimiento seguido era el siguiente:
En primer lugar aparecía un perfil en el “scrapbook” (libro de notas) del usuario que contenía una imagen de un vídeo de YouTube al que parecía estar vinculada. La imagen muestra a Giselle, una participante del “reality show” Gran Hermano en Brasil.
“Este es el gancho”, asegura Luis Corrons, directo técnico de PandaLabs, que añade: “los ciberdelincuentes aprovechan el interés por personajes famosos para incitar a los usuarios a abrir archivos o seguir vínculos maliciosos”.
En este caso, cuando el usuario pinchaba sobre el link se le mostraba un mensaje diciendo que no puede ver el vídeo porque no tiene el códec correspondiente y se le ofrecía la posibilidad de descargarlo. Si lo hace, realmente estará introduciendo en su equipo una copia del troyano Orkut.AT. Para que no sospeche nada, al mismo tiempo que el troyano llegaba al equipo, el usuario era redirigido a una página en la que se le mostraba el vídeo en cuestión.
Una vez en el equipo, el troyano publicaba su mensaje malicioso en los “scrapbook” de todos los contactos de Orkut de su nueva víctima.
También fue en marzo cuando un grupo de hackers lanzó un ataque contra MySpace y Facebook. Este ataque aprovechaba un exploit en el control activex que permite a los usuarios subir imágenes a sus perfiles. La vulnerabilidad les permitía saturar el búfer de dicho control para que interpretara las instrucciones que los ciberdelincuentes desearan darle, en lugar de aquellas para las que originalmente estaba diseñado.
Otros riesgos: Contenidos inapropiados y pérdida de información confidencial
Un elemento común de las redes sociales es la necesidad de crear un perfil personal para acceder a las mismas. En esos perfiles se suelen poner datos como el nombre, la edad, etc.
Hay que recordar que, generalmente, no es necesario dar esta información, sino que basta con una dirección de correo y un nombre, que puede no ser el verdadero, sino un “nick” o pseudónimo. Además, conviene no facilitar datos como edad, dirección, etc. Igualmente, en el caso de los menores de edad, no se deben poner fotografías de uno mismo en abierto, sino protegerlas de modo que sólo puedan acceder a ellas personas de confianza (amigos, familiares, etc.)
Muchas de estas redes sociales ofrecen la opción de contar con un blog. Éste se ha convertido en el sustituto online del tradicional diario personal. Como en éste, en las bitácoras de la web se da en muchas ocasiones más información de la aconsejable. Por eso, hay que tomar precauciones para no publicar datos que puedan servir para identificar al usuario como un menor, o para conocer su lugar de vivienda, de estudio, etc.
Además, en varias redes sociales como MySpace se pueden compartir archivos y ficheros con el resto de usuarios. Hay que tener especial cuidado con qué se comparte y a quién se da permiso para ver esa información. No hay problema en colgar fotos, por ejemplo, siempre y cuando estas se protejan, como hemos dicho, con una clave que sólo se distribuya entre los amigos y familiares.
También hay que tener especial cuidado, en el caso de los menores, con los contenidos inapropiados que se publican en esas redes, ya que muchos no serán aptos para menores pero no habrá mensaje que lo avise antes de acceder a ellos. Además, existe el riesgo para los más pequeños de tener un mal encuentro en la Red. La razón es que la persona que converse con ellos en foros o chats, pueden no ser quien dicen, sino alguien que busca establecer contacto real con el menor, que este le envíe fotos, etc.
Consejos para navegar por las redes sociales
- Instalar en el equipo una solución de seguridad que cuenta con tecnologías proactivas. De esta manera, los usuarios estarán protegidos contra los códigos maliciosos que se propagan por estas redes, incluso si estos no han atacado con anterioridad.
- Mantener actualizado el equipo: hay que conocer y resolver todas las vulnerabilidades que afecten a los programas tenemos instalados en el equipo.
- No compartir información confidencial: Si se accede a foros o chats para intercambiar información, conversar, etc., hay que recordar que no se debe dar información confidencial (direcciones de correo, claves, etc.).
- Enseñar a los menores: En el caso de los menores, estos deben saber qué información pueden compartir y cuál no. Para ello, los padres deben conocer las redes sociales a las que acceden y enseñarles la forma correcta y segura de moverse por las mismas.
- No dar más información de la necesaria en los perfiles: A la hora de realizar perfiles de usuario, no hay que dar más información de la necesaria. En caso de que sea obligatorio dar datos privados como la dirección de correo, se debe seleccionar la opción de "no visible para el resto de usuarios" o similar, de tal modo que nadie salvo el jugador y los administradores pueda tener acceso a esos datos.
- Denunciar los delitos: Si se observa alguna conducta inapropiada o delictiva (intento de contacto con menores, fotos inadecuadas, perfiles modificados, etc.) hay que hacérselo saber a los administradores de la red social.
1. http://www.theregister.co.uk/2007/02/08/facebook_security/
2. http://www.theregister.co.uk/2007/09/25/facebook_subpoena/
3. http://www.pcpro.co.uk/news/148908/facebook-hacked-by-porn-site.html
Fuente:
Panda Security
Panda Antivirus
Dast Informática S.R.L.
Primer Reseller Enterprise
Panda Security Argentina
www.pandaantivirus.com.ar
Panda ActiveScan 2.0 TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar
Protección Perimetral Unificada de Alto Rendimiento
- Seguridad Informática UTM GateDefender Integra:
Firewall, IPS/IDS, VPN, Antivirus/Antimalware, AntiSpam, Filtrado Web, Filtrado de Contenido -:
www.pandaantivirus.com.ar/gatedefender
Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters
Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers
Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones
Registración Online de Productos/Servicios Panda Security:
www.pandaantivirus.com.ar/registraciononline
NanoScan / TotalScan
www.activescan.com.ar/totalscan
Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores
Imagen:
Portal de Seguridad Informática Antivirus Gratis
www.antivirusgratis.com.ar
