Email
- ¿Esa publicación que le dio me gusta en Facebook? ¿Tu alma mater en LinkedIn? Todas son pistas que pueden hacer que usted y su empresa sean vulnerables. FOTO: WSJ / Getty Images
Esta es una traducción hecha por El Diario de la nota What Hackers Can Learn About You From Your Social-Media Profile, original de The Wall Street Journal.
Esa linda foto de tu mullido Lagotto Romagnolo en Instagram. El video de TikTok de su equipo finalmente de nuevo juntos en la oficina. Un alma mater destacado en tu página de LinkedIn.
Armado con toda esa información disponible públicamente, un ciberdelincuente puede improvisar un perfil de usted y usarlo de innumerables formas para ingresar a la red de su empresa.
Pueden crear un correo electrónico adaptado a sus intereses (“¡Hola, compañero amante de los perros!”) Que le haga hacer clic en un enlace dudoso, dándoles acceso a la red sin darse cuenta, o información privilegiada sobre proveedores de servicios como su compañía de seguros de salud, por lo que pueden lanzar un ataque de ransomware. O pueden fingir ser tú para atrapar a alguien más en tu negocio (“Oye, es el cumpleaños de Cindy la próxima semana, haz clic en este enlace para aceptar la invitación a su fiesta”). Y así.
“Aproximadamente el 60% de la información que necesito para crear un spear phish realmente bueno se encuentra solo en Instagram”, dice Rachel Tobac, directora ejecutiva de SocialProof Security, una empresa de capacitación y evaluación de vulnerabilidades dirigida por piratas informáticos. Al buscar en las cuentas de redes sociales de alguien, dice: “Por lo general, puedo encontrar todo lo que necesito en los primeros 30 minutos más o menos”.
Tampoco son solo las cosas que publicas. “Cada ‘me gusta’ que haces en Facebook y el corazón que tocas en Instagram se pueden agregar para pintar una imagen bastante clara de quién eres y qué te gusta” , dice Carrie Gardner, ingeniera de ciberseguridad y líder del Insider Risk Team. En el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon.
El potencial de ataque es aún mayor dadas las violaciones de datos como los recientes ataques a Facebook y LinkedIn, que expusieron cientos de millones de información de identificación personal de los usuarios. Luego está el hecho de que gran parte de este espionaje criminal se realiza automáticamente: los piratas informáticos pueden usar poderosas herramientas de software e inteligencia artificial para escanear cuentas de redes sociales a velocidades increíbles en busca de detalles.
“De hecho, podemos automatizar todo ese reconocimiento utilizando inteligencia artificial, algo que los delincuentes están haciendo cada vez más a escala con la esperanza de encontrar una víctima lucrativa”, dice Aaron Barr, director de tecnología de PiiQ Media, una empresa de análisis de riesgos e inteligencia de amenazas en las redes sociales.
Preguntamos a los expertos en seguridad qué pueden hacer los usuarios de las redes sociales en términos de lo que publican en línea para evitar comprometer las redes de sus empresas. Aquí está lo que tenían que decir.
Piensa dos veces en lo que publicas. Entonces piensa de nuevo
Este es un consejo clásico para proteger su seguridad en línea, pero vale la pena repetirlo. Deje de publicar información privada en plataformas públicas, como planes de viaje, intereses personales, detalles sobre miembros de la familia o noticias específicas sobre un producto laboral. Toda esa información se puede utilizar para ganar su confianza o engañar a sus compañeros de trabajo. Por ejemplo, un pirata informático puede encontrar historias personales en tus redes sociales y luego enviar un correo electrónico de phishing que diga cosas como: “Lamento el fallecimiento de tus padres. Siento que recuerdo que usabas suéteres que tu mamá hacía en la escuela“.
Incluso los detalles más pequeños, que los actores maliciosos sin duda agregarán desde más de una plataforma, pueden ser reveladores involuntariamente. Quítese su identificación de empleado en las fotos para que los piratas informáticos no puedan usar la suya como modelo para crear la suya propia, dice Tobac. No etiquete imágenes: las geoetiquetas alertan a los actores de amenazas sobre dónde ha estado recientemente, que es el tipo de cosas necesarias para enviar una encuesta incrustada de malware sobre la estadía en el hotel de la semana pasada, y pueden buscar en Twitter etiquetas como #LifeAtCompany para obtener información sobre usted o su negocio.
Y, en las fotos, “aléjese un poco de la estación de trabajo”, agrega Tobac, que revela fácilmente qué software está utilizando para que los malos puedan personalizar los intentos de phishing. Además, agrega, “Le sorprendería la frecuencia con la que veo una nota adhesiva con un nombre de usuario y una contraseña colgando allí”.
Deja de compartir tu correo electrónico de trabajo
Una de las formas más fáciles para que los piratas informáticos hagan travesuras en la red de una empresa es comprometer su cuenta de correo electrónico para enviar mensajes de phishing. Y una de las formas más fáciles de detener a estos delincuentes es asegurarse de que no obtengan su dirección en primer lugar.
Eso significa usar su correo electrónico del trabajo solo para trabajar y nunca abiertamente en sus perfiles de redes sociales. En teoría, esto es fácil: en sitios como LinkedIn y Facebook, los usuarios pueden mantener sus correos electrónicos invisibles para todos menos para ellos mismos. Pero la mayoría de las personas continúan haciéndolos públicos, dejando así la información de contacto personal abierta a empresas de extracción de datos o actores maliciosos.
Las consecuencias pueden ser alarmantes. Con su correo electrónico, un atacante puede utilizar el spear phishing para infectar a otros empleados, explotar el perímetro de defensa de la empresa y potencialmente obtener acceso a otros empleados o espiar las comunicaciones internas de una empresa. En un tipo común de ataque, llamado estafa de fraude de desvío de pagos, los delincuentes obtienen acceso al correo electrónico de un ejecutivo que aprueba las facturas y luego vigilan el tráfico de sus mensajes, dice Derek Manky, director de información de seguridad y global alianzas de amenazas en FortiGuard Labs, el brazo de investigación de la firma de soluciones de ciberseguridad Fortinet .
Cuando llega una factura jugosa, “pueden cambiar las instrucciones de transferencia bancaria para ir a una cuenta en el extranjero. Y las redes sociales jugaron un papel protagónico en eso ”, dice.
Barr sugiere que las personas tengan al menos cuatro direcciones de correo electrónico (una para mensajes personales, una para el trabajo, una para correo no deseado y una solo para redes sociales) y, además, que nunca usen su correo electrónico del trabajo para nada más. (Por supuesto, no debe usar la misma contraseña para todas y cambiar esas contraseñas con frecuencia, preferiblemente usando autenticación multifactor para hacerlo aún más difícil para los delincuentes).
Usa diferentes imágenes de perfil en diferentes plataformas
La inteligencia artificial y los potentes programas de software pueden buscar rápidamente cuentas de redes sociales en busca de coincidencias con la imagen de perfil, así como otras características comunes (nombre de usuario, amigos, intereses) en todas las cuentas, dice Barr.
Por ejemplo, si alguien usa la misma foto de perfil en Instagram y Pinterest , la IA puede decir que las cuentas pertenecen a la misma persona, incluso si los nombres de usuario son diferentes. Los piratas informáticos pueden acumular una gran cantidad de información sobre usted para hacerse pasar por usted de manera más efectiva ante sus compañeros de trabajo.
Afortunadamente, hay una línea de defensa simple: siempre que sea posible, no uses fotos tuyas o de personas que conoces en las fotos de perfil.
“Si la imagen de su perfil no es una foto de sus hijos, su cónyuge o usted, entonces es difícil para un atacante establecer una correlación positiva entre las plataformas”, dice el Sr. Barr.
Mantén la calma en los sitios de citas
Es completamente normal e incluso se espera compartir detalles íntimos a través de aplicaciones de citas. Por lo tanto, los usuarios generalmente no consideran lo que podría suceder si esa información cayera en manos de actores malintencionados.
Es una buena idea limitar su grupo de intercambio y hacer una revisión para decidir si lo que está publicando hoy podría aprovecharse en su contra más adelante, por ejemplo, utilizando el chantaje para obligarlo a revelar información confidencial, como sus credenciales de trabajo. .
Los atacantes cibernéticos son pacientes y persistentes, dice la Sra. Tobac de SocialProof Security: “Es posible que se contengan, sigan tratando de obtener más y más acceso en silencio y esperen meses hasta que llegue el momento y ataque adecuados”.
Si ha publicado algo que pueda volver a atormentarlo, elimínelo, pero es mejor no publicarlo en primer lugar, ya que todo en Internet vive para siempre. Y una vez que haya establecido una conexión, considere investigar a su pretendiente a través de algunas búsquedas en línea y luego continuar la conversación en un canal diferente.
“Las imágenes que compartimos, las descripciones que damos, las conversaciones que tenemos cuando pensamos que solo somos nosotros dos … vale la pena pensar en cuándo es el momento adecuado para trasladar todo eso a un lugar más seguro como Signal o incluso una llamada teléfonica ”, dice la Sra. Gardner.
Desinfecte su CV online
La información que publica en un sitio de búsqueda de empleo puede ser valiosa para los delincuentes que buscan obtener información sobre usted o una empresa. Entonces, si puede salirse con la suya, no haga cosas como enumerar a un antiguo empleador o una escuela por su nombre, dice el Sr. Barr. “A menos que esté tratando de encontrar un trabajo, no estoy seguro de que sea fundamental que la gente sepa que fui a la Universidad Old Dominion, así que lo hago genérico y digo ‘Universidad principal’, los años que asistí y mi especialización. “ Junto con eso, debe eliminar los números de teléfono y las direcciones de correo electrónico, mientras muestra los conjuntos de habilidades y los tipos de trabajos que ha tenido.
Si está buscando un nuevo trabajo, el Sr. Barr sugiere publicar un CV completamente cargado durante un período y luego eliminarlo una vez que se complete la búsqueda de trabajo. Además, no envíe ninguna información a las personas que la soliciten a menos que confirme su identidad.
Manky aconseja a los solicitantes de empleo que pasen por lo que se llama un “modelo de confianza cero”. Eso incluye buscar a la persona que se puso en contacto con usted, ir al sitio web de su empresa para asegurarse de que sea legítimo y que se vincule al dominio correcto, y tratar de no caer presa de los halagos.
“Un ciberdelincuente intentará entusiasmar a un candidato, diciendo que esto encaja perfectamente”, dice Manky. “A menudo, el reclutador es agresivo o se ofrece un trabajo sin una entrevista. Esas son grandes banderas rojas “.
Examine a las personas antes de aceptar solicitudes
Del mismo modo, no todos los que se comunican con una solicitud de amistad o una invitación en las redes sociales son quienes dicen ser. La solicitud puede provenir de alguien que busca infiltrarse en su red profesional para robar secretos comerciales, interrumpir sus sistemas, robar su identidad o simplemente dañar su reputación pública o marca. Es por eso que vale la pena hacer la debida diligencia con esa persona.
Barr, de PiiQ, recuerda haber realizado una prueba de seguridad para el director de tecnología de una empresa de tecnología. Con un poco de tarea, averiguó a dónde iba el ejecutivo a la escuela secundaria.
“Luego entré en Classmates.com y encontré uno o dos compañeros que no tenían cuentas de Facebook”, dice Barr. Se hizo pasar por uno de esos compañeros de secundaria, creó una cuenta falsa y le envió a la víctima una solicitud de amistad, que aceptó.
Luego, Barr tuvo acceso a todas las rutas de navegación disponibles en el perfil de Facebook del CTO. Todo eso podría ayudarlo a obtener suficiente información y confianza para lanzar un ataque de phishing bien elaborado.
“Las vulnerabilidades pueden provenir de cualquier lugar”, dice el Sr. Barr. “Las redes sociales siguen siendo el salvaje oeste”.
Traducido por Oswaldo González
