Seguridad en Redes Sociales by xpj11142

VIEWS: 240 PAGES: 26

									Seguridad en Redes Sociales

          Roberto Arbeláez
  roberto.arbelaez@microsoft.com
  Security Program Manager for Latin America
                Microsoft Corp.
         Uso de redes sociales
• Los usuarios adultos de Internet que tienen un
  perfil en sitios de redes sociales se ha
  cuadruplicado en los últimos 4 años – de 8%
  en 2005 al 35% de acuerdo con “Pew Internet
  & American Life Project's December 2008
  tracking survey”.
 La privacidad en las redes sociales
Según “Pew Internet & American Life Project's
  December 2008 tracking survey”:
• 60% de los usuarios adultos de redes sociales
  restringen el acceso a su perfil para que solo
  pueda ser visto por sus amigos.
• 36% de los usuarios permiten que cualquier
  persona pueda ver su perfil
• 58% de los usuarios restringen el acceso a
  cierto contenido dentro de su perfil
  ¿Que tan fácil es llegar a conocer a
alguien por su perfil en una red social?
Según “Pew Internet & American Life Project's December
  2008 tracking survey”:

• 43% de los usuarios adultos y 23% de los usuarios
  adolescentes creen que sería facil saber quiénes son
  por la información de su perfil
• 33% de los usuarios adultos y 40% de los usuarios
  adolescentes creen que con algo de trabajo, se podría
  saber quiénes son por la información de su perfil
• 20% de los usuarios adultos y 36% de los usuarios
  adolescentes creen que difícilmente se podría saber
  quiénes son por la información de su perfil
Riesgos
             Predadores sexuales
• Un adulto puede hacerse pasar por un menor de edad
  y entablar una relación con otro menor de edad
   – Los atacantes pueden averiguar los gustos y preferencias
     de su victima y perfilar mejor su “identidad falsa”
     haciéndola más atractiva
   – Puede buscar contactar otras personas de su circulo de
     amigos, y tratar de ‘’pertenecer” al grupo para facilitar el
     acercamiento
   – Buscan crear una relación de confianza, cercanía y
     amistad, basada en la empatía, gustos y preferencias
     similares
   – Después de crear confianza, buscan un encuentro
     presencial en donde ocurre el ataque
        Abusadores / Acosadores
• Una persona puede obtener información para abusar
  de alguien o acosar a alguien
   – Buscar información vergonzosa/incriminatoria en el perfil
     que no se quiera revelar de manera general o a alguien
     específico (la pareja, el jefe, los padres, etc.)
      • Fotos reveladoras
      • Comentarios negativos, discriminatorios respecto a personas
      • Pertenecer a grupos
   – Encontrar canales/medios/formas a través de los cuales
     acosarlo
      • Teléfonos, direcciones físicas (de trabajo o de casa), dirección
        electrónica
      • Información de personas cercanas, familiares
      • Información de compañeros de trabajo, amigos
Levantamiento de información para
    ataques de ingeniería social
– Información para deducir contraseñas/reseteo de
  contraseñas
– Información para poder suplantar a la victima
   •   En un sitio / red social (evil twin – gemelo maligno)
   •   En comunicaciones
   •   En transacciones (compras y subastas en línea)
   •   La información se puede obtener de uno o de varios sitios de
       redes sociales (integración de información), por ejemplo,
       Facebook tiene información personal, LinkedIn tiene
       información laboral/profesional; integrando las dos fuentes,
       un atacante puede tener un perfil más completo de su
       victima!
  Levantamiento de información para
    ataques de ingeniería social (2)
• ¿Que tipo de información hay disponible sobre mi?
   –   Información personal
   –   Colegio, Universidad y carrera
   –   Ciudad/Dirección/Teléfonos
   –   Cuentas de correo electrónico/de sitios en linea
   –   Preferencias y gustos en actividades, libros, música, cine,
       televisión, etc.
   –   Membresía a grupos/comunidades
   –   Posición económica (fotos, viajes, vacaciones)
   –   Información sobre amigos, familiares, parejas/relaciones
       sentimentales
   –   Eventos y acontecimientos (cumpleaños, actividades sociales,
       nacimientos, enfermedades, muertes, etc.)
      Ataques contextualizados
• “Spear phishing”: Ataque de Phishing, que se
  basa en información recopilada del perfil de la
  victima para parecer genuino, y/o que parece
  provenir de alguien conocido (del circulo de
  amigos)
• “Context SPAM”: Correo no solicitado, que se
  basa en los gustos y preferencias de la víctima
  para mejorar la probabilidad de que ésta se
  interese en el producto/servicio ofrecido.
  Vulnerabilidades de aplicaciones
• Las redes sociales se pueden utilizar para
  distribuir aplicaciones maliciosas, invitando a la
  lista de amigos a instalar la aplicación
   – Aplicaciones de terceros
   – Widgets
   – XSS
• Algunas aplicaciones invitan de manera
  automática a la lista de contactos
• Otras violan las políticas de seguridad/privacidad
  del perfil del usuario
¿Y qué puedo hacer para protegerme?
       Use contraseñas seguras
• La contraseñas NO deben poder deducirse de la
  información personal suya ni de la información de
  otras personas ni de información relacionada con
  gustos, preferencias, afiliaciones pasadas y
  presentes ni nada que se pueda llegar a obtener
  o deducir con su información o la de otros,
  incluso si esta información no está en línea
  – Las contraseñas deben crearse de manera aleatoria,
    incluir minúsculas, mayusculas, números y signos
    (!@$#%^&*) y tener como mínimo 8 caracteres de
    longitud
      Use contraseñas seguras (2)

• No se debe usar la misma contraseña para todas las
  cuentas
   – Si no puede tener una contraseña para cada sitio, tenga al
     menos 3 contraseñas diferentes, una para el trabajo, otra para
     sitios de alta seguridad (banca en linea, pago de servicios
     públicos, comercio electrónico y subastas en línea) y otra para
     su correo electrónico y sitios en línea corrientes.

• Las respuestas a las preguntas para “resetear” las
  contraseñas tampoco deben poder deducirse de la
  información personal, ni obtenerse de amigos, familiares o
  conocidos.
        Limite el acceso a su perfil
• Sólo deben tener acceso a su perfil las personas a las que
  usted autorice, nadie más
• Sólo de acceso a personas que usted conozca en el mundo
  real; no acepte solicitudes de personas desconocidas, así
  tengan amigos en común
• Tenga como mínimo dos niveles diferentes de acceso para
  las personas que admita a su perfil
   – Un nivel de acceso completo, para familiares y amigos cercanos,
     con acceso completo a su información y a notificaciones sobre la
     actividad de su perfil
   – Un nivel de acceso general, para amigos lejanos, conocidos y
     compañeros de trabajo, en el que se restrinja el acceso a la
     información, y especialmente las notificaciones sobre la
     actividad de su perfil.
 No publique información sensible
• Abstengase de publicar información:
  – Personal, privada o confidencial suya o de otros que
    pueda ser usada para:
     •   Contactarlo personalmente en el mundo real
     •   Saber en dónde vive o en dónde trabaja
     •   Saber donde va a estar en una fecha y hora determinada
     •   Saber o deducir su posición económica o ingresos
     •   Si necesita publicar un teléfono, publique el de su móbil, así
         podrá identificar y bloquear llamadas no deseadas
         fácilmente. Nunca publique el teléfono de su casa ni su
         dirección, ni siquiera a su circulo de amigos mas cercano,
         ellos ya tienen esta información o pueden contactarlo si la
         necesitan
 No publique información sensible (2)
• Abstengase de publicar:
  – Información vergonzosa o comprometedora
  – Fotos reveladoras suyas o de otros
  – Comentarios negativos o discriminatorios respecto
    a personas, nacionalidades, religiones, filiaciones
    políticas, organizaciones, etc.
  – Bromas pesadas o vulgares
  – Videos vulgares o sugestivos
 No publique información sensible (3)
• Piense si un ladrón, un secuestrador, o alguien que
  quiera extorsionarlo podría encontrar información
  valiosa en su perfil
   – Si tiene fotos de sus propiedades, casa de campo,
     automóbiles lujosos, si viaja mucho y reseña todos los
     sitios que ha visitado puede dar la apariencia de ser
     alguien económicamente viable para un robo/secuestro
   – Si publica cuando va a estar de vacaciones
   – Si confirma una invitación de la que se puede deducir en
     donde va a estar el viernes en la noche
   – Si alguien podría saber dónde estudian sus hijos por las
     fotos que publica de ellos en uniforme
   – Quienes son sus familiares o amigos más cercanos
 No publique información sensible (4)
• No asuma que lo que publique/envie solo lo van a poder ver
  quienes tengan acceso a su perfil
   – Sus amigos pueden ser atacados, y el atacante tendría acceso a su
     información sensible a través de la cuenta de ellos
   – Las comunicaciones que reciba de perfiles de amigos pueden ser
     originadas por el atacante y sus respuestas podrían ser publicadas
• Siempre asuma que lo que publique o escriba en su perfil o en el de
  otros, o en mensajes y/o comunicaciones va a ser público
   – Si preferiría que alguien no lo sepa/vea, mejor abstengase de
     publicarlo
   – Piense que personas de su trabajo, su jefe, familiares, amigos o
     conocidos de su círculo social pueden llegar a tener acceso a ese
     comentario, ese chiste, ese video o a esa foto que usted va a publicar y
     piense si es apropiado hacerlo, y si podría llegar a afectarlo social o
     laboralmente
 No comparta su lista de contactos
• Nunca comparta su lista de contactos. Esto
  dificulta enormemente la labor de un atacante y
  previene cierto tipo de ataques
• Si quiere protegerse aún mas (evitando que
  puedan reconstruir su lista a partir de las listas de
  otros), prefiera no aparecer en las listas de los
  demás
• Si alguien lo está buscando, lo podrá encontrar
  con las herramientas de búsqueda, o usted lo
  encontrará a el/ella
Evite dar información que permita que
     un atacante pueda perfilarlo
• No publique información sobre sus gustos o
  preferencias, sus amigos y familiares ya las
  conocen
• No se afilie a grupos de interés que den
  mucha información sobre usted o sus
  actividades
  Reduzca la visibilidad de las acciones
               de su perfil
• Reduzca o elimine las notificaciones que son causadas por las
  acciones de su perfil
   – Limítelas a su grupo de familiares y amigos más cercano o elimínelas
     del todo
• Esto incluye todas las acciones/actividades que le son notificadas a
  otras personas sobre usted/la actividad de su cuenta, Notificaciones
  que otros reciben cuando usted
   – sube fotos
   – cambia su información personal
   – se añade a grupos
   – escribe recomendaciones
   – escribe mensajes en el muro de alguien o alguien escribe mensajes en
     su muro
   – Etc.
  No instale aplicaciones de terceros
             desconocidas
• Verifique que la aplicación sea
  popular/conocida en Internet y que no hayan
  reportes de que sea software malicioso
• Verifique la fuente de la cual está obteniendo
  la aplicación
• Prefiera no instalar aplicaciones desconocidas
  o de fuentes en las que no confíe
¿Preguntas?
                   Bibliografía
• http://pewinternet.org/pdfs/PIP_Adult_social_networ
  king_data_memo_FINAL.pdf
• http://blogs.techrepublic.com.com/security/?p=730
• http://socialrisk.weebly.com/index.html
• http://pewresearch.org/pubs/1079/social-networks-
  grow
• http://spylogic.net/downloads/online_social_networks
  .pdf
• http://pediatrics.aappublications.org/cgi/content/full/
  121/2/e350

								
To top