Gabriel Marcos, de Global Crossing, explica en esta nota las precauciones que deben tomarse ante invitaciones sospechosos que se reciben en la web.
Cuando recibí por Facebook una notificación de un amigo que hablaba acerca de una supuesta nueva funcionalidad (un botón que llevaría por nombre “No me gusta”), lo primero que pensé fue que parecía ser un ataque o algún tipo de fraude.
Para mi sorpresa, no solamente había estado en lo cierto con mi primera intuición, sino la amenaza se estaba propagando rápidamente por Internet.
Sabido es que Facebook cuenta con la posibilidad de expresarnos a través de una función llamada “Me gusta”, gracias a la cual uno puede manifestar su opinión positiva acerca de cualquier publicación sin necesidad de escribir.
Algunos usuarios de la comunidad reclamaban la existencia de una funcionalidad similar pero opuesta, es decir, la posibilidad de que existiera una forma de manifestar rechazo o desacuerdo, y esto fue lo que se aprovechó para generar el ataque: muchos creyeron ver su sueño realizado, y propiciaron la difusión masiva de una amenaza por Internet.
De esta manera, una vez más la creatividad superó la concientización.
He visto incluso versiones en inglés y español de esta amenaza, para tentar también a quienes aprendieron a desconfiar de los mensajes enviados en otro idioma.
Adicionalmente, las invitaciones para aceptar este software malicioso llegaban siempre de parte de contactos actuales, lo cual contribuyó a la rápida aceptación y propagación.
Pero no es mi intención entrar en cuestiones técnicas sobre esta amenaza en particular, sencillamente porque hace solamente unas pocas semanas ocurrió prácticamente lo mismo con sitios fraudulentos que prometían acceso a un video sobre la captura de Bin Laden, y es altamente probable que en este momento exista una nueva amenaza que aún no haya llegado a hacerse lo suficientemente pública: considero que lo más interesante en este momento es revisar qué deberíamos hacer para no volver a caer en la trampa.
Por definición, el fraude informático es un negocio de volumen: bajos costos, altos ingresos posibles; es fundamental que entendamos esto correctamente: a modo de ejemplo, si tenemos en cuenta el costo incremental de enviar 2.000.000 de e-mails (muy cercano a cero) y lo comparamos con la probabilidad de que algunos de los receptores de esos correos accedan a entregar datos personales que puedan ser utilizados para realizar un fraude y recibir algún ingreso, vemos que incluso un 1% (o mucho menos) representa un volumen que podría justificar hacer el intento (para un delincuente informático, está claro).
Tengamos en cuenta que hay muchas formas de generar dinero a través del fraude informático, siendo una de las más sencillas aquella donde una empresa paga para que otra empresa (la autora y distribuidora de la amenaza) envíe correos publicitando sus productos y asegurando su recepción (es decir, que no sean detenidos por filtros antispam); qué mejor para esto que instalar un malware en los computadores de millones de usuarios, de forma tal que la publicidad viaje directamente sin pasar por el filtro antispam del usuario (o de la empresa donde trabaja el usuario).
De hecho, ésta es una de las funcionalidades reportadas de muchas de las amenazas que están dando vueltas por Internet y las redes sociales, y hasta se podría decir que es un uso bastante inocente (si se me permite la expresión) comparado con otros que podrían acarrear consecuencias y complicaciones mucho más serias.
Por eso, mientras más preparados estemos los usuarios de Internet y las redes sociales para resistir a este tipo de amenazas, más difícil será obtener rédito económico fácilmente, y por ende veremos una disminución de este tipo de ataques y fraudes.
Las siguientes son algunas recomendaciones que me gustaría aportar:
- Siempre habrá algo que genere el suficiente interés como para tentarnos, la clave es no dejarse llevar por el primer impulso: los hackers siempre están un paso adelante, por eso es nuestra responsabilidad estar preparados.
- Antes de aceptar una aplicación en una red social y ofrecerle acceso a todos nuestros datos, pensemos si realmente vale la pena el riesgo; entre otras cosas, validemos quién es el desarrollador de la aplicación, qué empresas la respaldan, cuál es la política de privacidad, etcétera.
- El fraude informático es un negocio de volumen: cuanto más concientizados estemos todos, más difícil será que nos encontremos expuestos a riesgos, y también estaremos haciendo que el fraude sea menos rentable para el atacante; es responsabilidad de todos ayudar a difundir la información y las recomendaciones de seguridad.
- Con la motivación adecuada y el tiempo suficiente, todos somos susceptibles de cometer un error, por eso no se trata de ser imbatible sino de minimizar el riesgo a sufrir una exposición que tenga consecuencias importantes: por ejemplo, si ud. utiliza la misma contraseña en todas sus aplicaciones y redes sociales, su nivel de exposición ante un ataque es mucho más elevado.
- Las redes sociales poseen distintas configuraciones de seguridad y privacidad que han evolucionado a lo largo del tiempo y que seguramente continuarán ofreciendo más y más funciones de protección de nuestra información: por favor, utilícelas. El tiempo y esfuerzo que invierta en eso disminuyen drásticamente el riesgo de ser víctima de un ataque.
Gabriel Marcos es Datacenter & Security Marketing Specialist de Global Crossing.
Fuente: iprofesional.com