Todos tus contactos nos pertenecen

Este era el título de un breve ensayo realizado por el centro de investigación EURECOM, y que se presentó en el pasado WWW 2009 Madrid. Podéis encontrar la versión inglesa del artículo en este enlace.

Los autores realizaron dos experimentos para comprobar si el robo de identidad de un perfil existente en una red social (Facebook fue una de las redes estudiadas), y a partir de ahí lanzar dos tipos de ataques: clonar un perfil en una misma red, y duplicarlo en otra red en la que el usuario no estuviera registrado.

En el primer caso, pensad que un perfil en una red social no tiene un ID único. No son como los nombres de correo, que no pueden estar duplicado. Si el ususario Alfa,usa una red social y se accede a su información, se puede crear un nuevo perfil de usuario con todos los datos de Alfa, incluyendo alguna foto. Depués, se envía una solicitud de amigo a los contactos de Alfa, con un pequeño texto añadido como "He tenido problemas con mi cuenta y he creado otra vez mi perfil. Por favor, añadidme de nuevo a vuestra lista de amigos". Alguien podrá sospechar (sobre todo si tiene contacto diario con el usuario), pero la mayoría de contactos, compañeros de colegio reencontrados pero con los que se habla de higos a brevas y cosas así, aceptarán sin dudarlo. Y voilá, ahora el malvado clon de Alfa tiene acceso a toda la información de sus contactos.

En el segundo caso, se usa la información de nuestro vilipendiado usuario Alfa para crear un perfil en otra red social. Como ya se conocen de antemano qué contactos de Alfa están registrados en la segunda red, simplemente se les envía la petición de amigo. Nuevamente, el éxito estará asegurad, al fin y al cabo las redes sociales están hechas para mantener a la gente en contacto.

Las conclusiones de la investigación muestran que es viable romper la seguridad de las redes sociales usando métodos automatizados para acceder a la información de un perfil. Aunque muchas redes sociales utilizan el sistema CAPTCHA para evitar que programas automáticos accedan a la red, lo cierto es que el método CAPTCHA no es la panacea, y se puede resolver con un porcentaje relativamente alto de aciertos. Y aunque algunas redes usan sistemas más seguros (Facebook usa el llamado reCAPTCHA), la posibilidad de solicitar nuevas imágenes sin límite o retardo restan bastante seguridad a esta barrera de protección.

Una vez se accede a él, se puede clonar un perfil y usarlo para obtener contactos mediante los dos tipos de ataques antes mencionados. Como sabéis, en las redes sociales, una vez que se acepta una "solicitud de amigo" (hay que revisar el concepto de amigo), ambos usuarios tienen acceso recíproco a los datos, fotos, etc, del otro. Aquí queda en evidencia que el eslabón más débil de la seguridad de una red social es el usuario. Y es que el factor humano, con su estúpida predisposición a ayudar, siempre ha sido el gran inconveniente de la seguridad informática.

Las redes sociales se sustentan en un presupuesto bastante arriesgado: la buena intención de sus usuarios. No sé en otros países, pero eso es pedir demasiado en España. Un poco de suspicacia a veces no viene mal en estos temas. Os dejo aquí un par de consejos básicos.

Las redes sociales como Facebook, LinkedIn, Tuenti, y un largo etcétera, son redes sociales en las que se le pide al usuario demasiada información personal: currículum, centros en los que ha estudiado, trabajos que ha tenido, o incluso ideología religiosa y política. Algunos datos estan relativamente justificados: LinkedIn es una red orientada a los vínculos profesionales. En otras, la posibilidad de reencontrar compañeros de instituo o facultad pasa por aportar ese dato. Pero algunos datos como las ideologías, aquí están protegidos por la Ley Orgánica de Protección de Datos (LOPD). Supongo que como muchas de estas redes nacen en EE.UU., será relativamente normal preguntar eso, pero aquí no estamos obligados a dar ese dato. Pero en definitiva, es este perfil detallado de nuestra persona lo que resulta tan atractivo a un posible atacante. Y es que en estas redes, la información aportada por el usuario (incluida la cuenta de correo electrónico) es más veraz que en otras páginas del estilo.

Normalmente, en Facebook y derivados, no nos registramos para conocer gente, sino para encontrar a gente que ya conocemos. Esto es lo que hace que un usuario acepte una petición de amigo al ver que conoce a esta persona. A veces, dependiendo del uso que le demos a esas redes, aceptamos incluso a gente relativamente desconocida. Es recomendable que cuando nos registremos en una red social, nos tomemos un tiempo para revisar la configuración de privacidad, y asegurarnos de que nuestro perfil sólo lo pueda ver quien nosotros queramos y que no se muestra información a visitantes desconocidos o no registrados. Incluso si se puede, establecer qué usuarios en concreto pueden ver según qué cosas. No sé a vosotros, pero a mí no me hace gracia que mi tía la del pueblo esté en el mismo saco que mis colegas de parranda. Configurar la privacidad no es una solución definitiva, pero es un primer paso indispensable. Ya he encontrado un par de agujeros de seguridad en Facebook sin proponérmelo. Además, incluso si no estamos registrados en Facebook, al final nuestros colegan colgarán una foto donde salgamos más pedo que Alfredo (cosa que en mi caso es paradójica), foto en la que como se pueden etiquetar a las personas que aparecen, todos sabrán quiénes somos. Si esta es la idea de la web semántica, apaga y vámonos.

Por último, tened un poco de ojo con los miles de test, eventos, grupos, aplicaciones y juegos varios de las redes sociales. Aquí, nuevamente es Facebook quien me sirve de ejemplo. Estas aplicaciones piden nuestro consentimiento para acceder a cierta información necesaria para funcionar (¿seguro que es necesaria?) y se expanden como un vulgar hoax porque hay que invitar a un cierto número de amigos si queremos que nos digan a qué personaje de tal o cual peli nos parecemos después de haber respondido a cinco preguntas que parecen haber sido redactadas por un chimpancé ebrio. Los grupos en plan Guinnes de los récords, a ver si encuentro a tantas personas que odien a un político, o intentar reunir al mayor número de gente porque sí, sólo sirven para poner en bandeja esos datos personales que antes estábamos intentando proteger. Y por cierto, decir que eres "fan de echarte la siesta", "detractor de la cómic sans", "fan de escaquearse del curro", o del grupo "por la dimisión de la Ministra de Cultura (aunque luego no vayamos a votar en las elecciones)" no habla muy bien de ti.

Aparte de eso, con un poco de cabeza, una red social puede ser desde un simple juguete hasta incluso una herramienta útil en algunos casos. Poco a poco aprenderemos a usarlas con algo más de criterio, sin meter a amigos, amigos de mis amigos, compañeros y jefes del trabajo, antiguos compañeros del trabajo, familiares varios, y conocidos con los que he hablado un par de veces, en un mismo saco. En fin, paciencia.