Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Peligros en Redes Sociales 1. Redes Sociales 2. Conclusiones
Carlos González Sánchez
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Qué es seguridad? Podemos entender como seguridad una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Como estas características, particularizando para el caso de redes de computadora, es muy difícil de conseguir (según la mayoría de los expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad (probabilidad que un sistema se comporte tal y como se espera de él) más que se seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de sistemas seguros. A grandes rasgos se entiende que mantener un sistema seguro (o fiable) consiste básicamente en garantizar tres aspectos: confidencialidad, integridad y disponibilidad. Confidencialidad nos dice que los objetos de un sistema han de ser accedidos únicamente por los elementos autorizados a ello, Integridad significa que los objetos sólo oueden ser modificados por elementos autorizados y de una manera controlada,
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
¿Qué son las redes sociales? Sitios donde podemos: Conocer gente con intereses comunes Compartir archivos, fotografías, comentarios, etc. Hacer amigos Establecer relaciones laborales
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Uso de redes sociales Los usuarios adultos de Internet que tienen un perfil en sitios de redes sociales se ha cuadruplicado en los últimos 4 años –de 8% en 2005 al 35% de acuerdo con “Pew Internet & American Life Project's December 2008 tracking survey”. La privacidad en las redes sociales Según“Pew Internet & American Life Project's December 2008 tracking survey”: 60% de los usuarios adultos de redes sociales restringen el acceso a su perfil para que solo pueda ser visto por sus amigos. 36% de los usuarios permiten que cualquier persona pueda ver su perfil 58% de los usuarios restringe el acceso a cierto contenido dentro de su perfil
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
¿Que tan fácil es llegar a conocera alguien por su perfil en una red social? Según“Pew Internet & American Life Project's December 2008 tracking survey”: 43% de los usuarios adultos y 23% de los usuarios adolescentes creen que sería facil saber quiénes son por la información de su perfil 33% de los usuarios adultos y 40%de los usuarios adolescentes creen que con algo de trabajo, se podría saber quiénes son por la información de superfil 20% de los usuarios adultos y 36% de los usuarios adolescentes creen que difícilmente se podría saber quiénes son por la información de su perfil
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Riesgos
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Predadores sexuales Un adulto puede hacerse pasar por un menor de edad y entablar una relación con otro menor de edad –Los atacantes pueden averiguar los gustos y preferencias de su victima y perfilar mejor su “identidad falsa” haciéndola más atractiva –Puede buscar contactar otras personas de su circulo de amigos, y tratar de ‘’pertenecer” al grupo para facilitar el acercamiento –Buscan crear una relación de confianza, cercanía y amistad, basada en la empatía, gustos y preferencias similares –Después de crear confianza, buscan un encuentro presencial en donde ocurre el ataque
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Abusadores / Acosadores Una persona puede obtener información para abusar de alguien o acosar a alguien –Buscar información vergonzosa/incriminatoria en el perfil que no se quiera revelar de manera general o a alguien específico (la pareja, el jefe, los padres, etc.) Fotos reveladoras Comentarios negativos, discriminatorios respecto a personas Pertenecer a grupos –Encontrar canales/medios/formas a través de los cuales acosarlo Teléfonos, direcciones físicas (de trabajo o de casa), dirección electrónica Información de personas cercanas, familiares Información de compañeros de trabajo, amigos
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Levantamiento de información para ataques de ingeniería social –Información para deducir contraseñas/reseteo de contraseñas –Información para poder suplantara la victima • En un sitio/ red social (evil twin –gemelo maligno) • En comunicaciones • En transacciones (comprasy subastas en línea) • La información se puede obtener de uno o de varios sitios de redes sociales (integración de información), por ejemplo, Facebook tiene información personal, LinkedIn tiene información laboral/profesional; integrando las dos fuentes, un atacante puede tener un perfil más completo de su victima!
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Levantamiento de información para ataques de ingeniería social • ¿Que tipo de información hay disponible sobre mí? –Información personal –Escuela, Universidad y carrera –Ciudad/Dirección/Teléfonos –Cuentas de correo electrónico/de sitios en línea –Preferencias y gustos en actividades, libros, música, cine, televisión, etc. –Membresía a grupos/comunidades –Posición económica (fotos, viajes, vacaciones, compras electrónicas) –Información sobre amigos, familiares, parejas/relaciones sentimentales –Eventos y acontecimientos (cumpleaños, actividades sociales, nacimientos, enfermedades, muertes, etc.)
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Ataques contextualizados • “Spear phishing”: Ataque de Phishing, que se basa en información recopilada del perfi lde la victima para parece rgenuino, y/o que parece provenir de alguien conocido (del circulo de amigos) • “Context SPAM”: Correo no solicitado, que se basa en los gustos y preferencias de la víctima para mejorar la probabilidad de que ésta se interese en el producto/ servicio ofrecido.
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Vulnerabilidades de aplicaciones • Las redes sociales se pueden utilizar para distribuir aplicaciones maliciosas, invitando a la lista de amigos a instalar la aplicación –Aplicaciones de terceros –Widgets –XSS: Su nombre original "Cross Site Scripting", y renombrado XSS para que no sea confundido con las CSS ejecutar código de "scripting", como VBScript o JavaScript, en el contexto de otro dominio. • Algunas aplicaciones invitan de manera automática a la lista de contactos • Otras violan las políticas de seguridad/privacidad del perfil del usuario
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
¿Y qué puedo hacer para protegerme?
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Use contraseñas seguras • La contraseñas NO deben poder deducirse de la información personal ni de la información de otras personas ni de información relacionada con gustos, preferencias, afiliaciones pasadas y presentes ni nada que se pueda llegar a obtener o deducir con su información o la de otros, incluso si esta información no está en línea –Las contraseñas deben crearse de manera aleatoria, incluir minúsculas, mayusculas, números y signos (!@$#%^&*) y tener como mínimo 8 caracteres de longitud
- Cambiarla por lo menos una vez al mes, algunos bancos aplican estas políticas para obligar al usuario al cambio de la misma
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Use contraseñas seguras No se debe usar la misma contraseña para todas las cuentas –Si no puede tener una contraseña para cada sitio, tenga al menos 3 contraseñas diferentes, una para el trabajo, otra para sitios de alta seguridad (banca en linea, pago de servicios públicos, comercio electrónico y subastas en línea) y otra para su correo electrónico y sitios en línea corrientes. Las respuestas a las preguntas para “resetear” las contraseñas tampoco deben poder deducirse de la información personal, ni obtenerse de amigos, familiares o conocidos, vicios.
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
No publique información sensible Abstengase de publicar información: –Personal, privada o confidencial suya o de otros que pueda ser usada para: Contactarlo personalmente en el mundo real Saber en dónde vive o en dónde trabaja Saber donde va a estar en una fecha y hora determinada Saber o deducir su posición económica o ingresos Si necesita publicar un teléfono, publique el de su celular, así podrá identificar y bloquear llamadas no deseadas fácilmente. Nunca publique el teléfono de su casa ni su dirección, ni siquiera a su circulo de amigos mas cercano, ellos ya tienen esta información o pueden contactarlo si la necesitan
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
No publique información sensible Abstengase de publicar: –Información vergonzosa o comprometedora – Fotos reveladoras personales o de otros – Comentarios negativos o discriminatorios respecto a una persona o grupos de ellos, religiones, filiaciones políticas, etc. – Bromas pesadas o vulgares – Videos con contenido sexual o vulgar o que puedan sobornar.
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
No publique información sensible Piense si un delincuente, secuestrador, o alguien que quiera extorsionarlo podría encontrar información valiosa en su perfil –Si tiene fotos de su casa, pinturas, muebles, electrónicos, casa de campo, automóbiles, si viaja mucho y reseña todos los sitios que ha visitado puede dar la apariencia de ser alguien económicamente viable para un robo/secuestro/ extorsión –Si publica cuando va a estar de vacaciones –Si confirma una invitación de la que se puede deducir en donde va a estar en un día determinado –Si alguien podría saber dónde estudian sus hijos, sobrinos , nietos por las fotos que publica de ellos en uniforme –Quienes son sus familiares o amigos más cercanos
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
No publique información sensible No asuma que lo que publique/envie solo lo van a poder ver quienes tengan acceso a su perfil – Sus amigos pueden ser atacados, y el atacante tendría acceso a su información sensible a través de la cuenta de ellos – Las comunicaciones que reciba de perfiles de amigos pueden ser originadas por el atacante y sus respuestas podrían ser publicadas Siempre asuma que lo que publique o escriba en su perfil o en el de otros, o en mensajes y/o comunicaciones va a ser público – Si preferiría que alguien no lo sepa/vea, mejor abstengase de publicarlo – Piense que personas de su trabajo, su jefe, familiares, amigos o conocidos de su círculo social pueden llegara tener acceso a ese comentario, ese chiste, ese video o a esa foto que usted va a publicar y piense si es apropiado hacerlo, y si podría llegar a afectarlo social o laboralmente
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Evite dar información que permita que un atacante pueda perfilarlo No publique información sobre sus gustos o preferencias. No se afilie a grupos de interés que den mucha información sobre usted o sus actividades Reduzca o elimine las notificaciones que son causadas por las acciones de su perfil – Limítelas a su grupo de familiares y amigos más cercanos o elimínelas del todo Esto incluye todas las acciones/actividades que le son notificadas a otras personas sobre la actividad de su cuenta, Notificaciones que otros reciben cuando usted – Sube fotos – Cambia su información personal - Se añade a grupos - Escribe recomendaciones
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
No instale aplicaciones de terceros desconocidas Verifique que la aplicación sea popular/conocida en Internet y que no hayan reportes de que sea software malicioso Verifique la fuente de la cual está obteniendo la aplicación Prefiera no instalar aplicaciones desconocidas o de fuentes en las que no confíe
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Recomendaciones para las escuelas Actualizar a la planta docente en temas de tecnologías de información Impartir pláticas que permitan a los maestros y padres de familia saber cómo actuar ante problemas como acoso o acecho No restringir el uso de redes sociales
Recomendaciones para los padres Explicar apegado a la realidad de los posibles problemas que se pueden enfrentar los hijos por compartir información personal y familiar Consultar sitios de seguridad en cómputo No restringir el uso de redes sociales
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Desaconsejan confianza a ciegas en el candado de SSL [ 24/02/2009 CET ] SSL (Secure Socket Layer), el sistema más usado en el mundo para el cifrado de datos transmitidos vía redes informáticas, ya no es totalmente seguro. Hacker ha logrado vulnerarlo con una combinación de ingeniería social y software. En el marco de la conferencia Black Hat, realizada en Washington DC, Estados Unidos, el hacker Moxie Marlinspike demostró la forma en que un software, combinado con técnicas de phishing (en que se induce a un usuario a acceder a un sitio adulterado), hace posible acceder subrepticiamente al sistema SSL. El hacker demostró además un procedimiento que le permitió apoderarse de 16 números de tarjetas de crédito, acceder a 117 cuentas de Gmail e ingresar a 300 otras áreas cifradas de Internet. El hacker aseguró en la conferencia haber usado las páginas del sitio de pagos PayPal para obtener la información del caso. Aparte de ello habría usado Facebook, Gmail y sitio de venta de billetes Ticketmaster.
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
Bibliografía http://pewinternet.org/pdfs/PIP_Adult_social_networ king_data_memo_FINAL.pdf http://blogs.techrepublic.com.com/security/?p=730 http://socialrisk.weebly.com/index.html http://pewresearch.org/pubs/1079/social-networks-grow http://spylogic.net/downloads/online_social_networks.pdf Security Issues and Recommendations for Online Social Networks http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_p p_social_networks.pdf Safer Internet Day -Social Networking Sites sign EU agreement http://gozonews.com/item/safer-internet-day- social-networking-sites-sign-eu-agreement/
Roberto Arbeláez roberto.arbelaez@microsoft.com Security Program Manager for Latin America Microsoft Corp.
Centro de Nanociencias y Nanotecnología Universidad Nacional Autónoma de México
¿Preguntas?
Gracias! Carlos González Sánchez!