Peligros y amenazas en las redes sociales

REDES SOCIALES (PELIGROS Y AMENAZAS 

Las redes sociales ofrecen un camino para que las personas puedan conectar, compartir sus experiencias de vida, fotos y vídeos. Pero compartir en exceso, o no prestar suficiente atención a los impostores, puede comprometer la seguridad en las redes sociales y llevar a vulneraciones de cuentas, tanto empresariales como personales.

Las redes sociales pueden ser peligrosas si no se usan de manera responsable. Entre los riesgos y amenazas se encuentran: 

• Contenido inapropiado: Los adolescentes pueden exponerse a contenido violento, sexual o de odio. 
• Phishing: Los ciberdelincuentes utilizan mensajes engañosos para obtener información personal o financiera. 
• Fraudes: Los ciberdelincuentes utilizan técnicas sofisticadas para obtener datos personales o bancarios. 
• Acoso en línea: Las víctimas pueden recibir mensajes de odio, acoso o difamación. 
• Robar identidad: Los atacantes pueden suplantar la identidad de los usuarios. 
• Adicción: El uso excesivo de las redes sociales puede afectar la productividad, las relaciones personales y la salud mental. 
• Problemas de privacidad: Terceros pueden recopilar y usar indebidamente datos personales sin consentimiento. 
• Fake news: Las redes sociales permiten la proliferación de contenidos falsos. 

Maneras de evitar las amenazas en redes sociales

La mayoría de los riesgos y amenazas de redes sociales se derivan de empleados que revelan públicamente demasiada información tanto privada como de la empresa. Estas cuentas son personales, así que las empresas no pueden evitar que los usuarios tengan una presencia en redes sociales. Pero lo que sí pueden hacer es proporcionar a los usuarios formación acerca de las mejores maneras de proteger sus datos y credenciales.

La formación es clave para detener a las amenazas y proteger la seguridad en las redes sociales. Los individuos pueden formarse por su cuenta. Pero las empresas deben realizar programas de formación para los empleados, de modo que estos puedan detectar y evitar la ingeniería social y el phishing. El primer paso es informar a los usuarios acerca de los peligros de revelar demasiada información online al público. Incluso las cuentas de redes sociales configuradas como “privadas” podrían usarse en un ataque si el atacante llegara a obtener acceso a feeds privados. Los usuarios nunca deben publicar información privada de sus respectivas corporaciones en redes sociales, ni tampoco información que pudiese usarse en un secuestro de cuentas.

Algunas organizaciones entregan a sus empleados dispositivos móviles y les permiten instalar aplicaciones de redes sociales. Estas empresas deben ofrecer una política de uso aceptable que determine qué pueden publicar los usuarios desde dispositivos empresariales. También es clave proteger a estos dispositivos del malware para evitar que las cuentas de redes sociales de la empresa sean hackeadas. Es necesario instalar software de borrado remoto si un empleado llega a perder físicamente el dispositivo o se lo roban.

Algunos otros puntos de formación para los empleados son:

• Usar bloqueadores de anuncios en dispositivos corporativos. Si usar bloqueadores de anuncios no es factible, hay que instruir a los empleados para que eviten hacer clic en anuncios, especialmente en ventanas emergentes que indiquen a los usuarios que descarguen software para ver contenidos.
• Los empleados no deben compartir contraseñas jamás, incluso dentro del mismo departamento.
• Los atacantes usan el miedo y la urgencia en sus interacciones, y los empleados deben ser capaces de reconocer estas tácticas como sospechosas. Cualquier mensaje o publicación en redes sociales que apremie a los empleados para que actúen rápido debe ser ignorado.
• No aceptar solicitudes de amistad de desconocidos, incluso si tienen varios amigos en común.
• Evitar entrar a páginas de redes sociales en redes Wi-Fi públicas. Las redes Wi-Fi públicas son una ubicación desde la que los atacantes pueden espiar datos usando ataques de intermediario (MitM).
• Las contraseñas de las cuentas de los usuarios deben cambiarse regularmente. Pero a los usuarios también se les debe exhortar a cambiar las contraseñas de sus propias cuentas de redes sociales.

El personal de informática debe colocar defensas de ciberseguridad para ayudar a los usuarios a evitar caer víctimas de un ataque. Los servidores de correo electrónico pueden usar aplicaciones de inteligencia artificial para detectar correos electrónicos con enlaces y adjuntos malintencionados.

Los administradores pueden poner en cuarentena y revisar los mensajes sospechosos para determinar si la organización está sufriendo un ataque. El aislamiento de navegadores también es una opción para organizaciones que permiten a los usuarios navegar por internet. Esta tecnología permite a los usuarios navegar libremente por internet, pero confina la actividad web personal a un contenedor protegido que evita las cargas y descargas, así como también el relleno de formularios, para mantener a las amenazas fuera del entorno.

Cómo ocurren las amenazas en redes sociales

Los métodos empleados por un atacante dependerán de la plataforma de redes sociales a utilizar. Facebook permite a sus usuarios mantener en privado sus imágenes y comentarios, así que los atacantes suelen solicitar una petición de amistad a los amigos del usuario objetivo o enviar una solicitud de amistad directamente al usuario objetivo para acceder a sus publicaciones. Si un atacante puede conectarse a diversos amigos del usuario objetivo, entonces será más probable que el usuario objetivo acepte la solicitud de amistad basándose en la cantidad de amigos conectados.

LinkedIn es otra red social que suele ser objetivo para estos ataques. LinkedIn es bien conocida por estar diseñada para el networking profesional, y las redes de los usuarios típicamente están llenas de colegas y otros empleados dentro de la misma organización. Si un atacante toma a una empresa como objetivo, LinkedIn es una excelente red social para recopilar correos electrónicos empresariales para un ataque de phishing. Una empresa grande podría tener diversos empleados en la red, que publican cosas acerca de la empresa y sus cargos. Un atacante puede usar esta información pública para hallar diversos empleados con acceso a información financiera, datos privados de los clientes o acceso a redes de alto privilegio.

Recopilar información para robar datos no es el único motivo para usar las redes sociales para reconocimiento. La información publicada en redes sociales podría usarse para obtener contraseñas o suplantar la identidad de los usuarios empresariales. Muchas cuentas online permiten a los usuarios restablecer las contraseñas si ingresan una pregunta de seguridad. Con la suficiente información de publicaciones en redes sociales, un atacante podría adivinar la respuesta a estas preguntas de seguridad basándose en la información privada publicada por un usuario objetivo.

La suplantación de marca es otra amenaza en redes sociales. Con suficiente información recopilada, un atacante puede suplantar a una marca empresarial para convencer a los usuarios de que envíen dinero, divulguen información privada o le den a un atacante las credenciales de una cuenta. Los atacantes también usan esta amenaza para ejecutar ataques de cross-site scripting (XSS) o cross-site request forgery (CSRF). Estos ataques pueden llevar a filtraciones de datos masivas y a vulneraciones en la infraestructura empresarial.