Los usuarios de Internet pecamos de ingenuos.
Hay que admitirlo: muchas veces, caemos en trampas por desconocimiento.
Los ladrones de datos personales lo saben y han desarrollado trucos basados en la ingeniería social, conocida como la obtención de información sensible mediante la manipulación.
Facebook se ha convertido en uno de sus territorios favoritos, porque en él estamos ávidos -consciente e inconscientemente- de ventilar detalles de nuestra vida.
Facebook se ha convertido en uno de sus territorios favoritos, porque en él estamos ávidos -consciente e inconscientemente- de ventilar detalles de nuestra vida.
Empecemos por hablar un poco de la ingeniería social y cómo caemos en sus trampas y más adelante, veremos algunos de los engaños más conocidos.
Los usuarios: el eslabón débil
En seguridad informática, esta frase es cierta.
Los usuarios: el eslabón débil
En seguridad informática, esta frase es cierta.
La base de la ingeniería social radica en engañar al usuario, ya que se asume que es el menos capacitado para detectar el peligro (y en muchas ocasiones, así es).
La técnica tiene más bases de psicología que de cualquier otra disciplina: se basa en la idea de que los individuos tienen comportamientos y reacciones predecibles que las llevan a poner en riesgo su seguridad sin darse cuenta.
Un ejemplo básico es nuestra disposición a otorgar información sensible a ciertas personas, por ejemplo a un empleado de un banco, un administrador de redes, un técnico o incluso a un cliente.
Todos hemos recibido correos de supuestas instituciones bancarias donde nos piden datos privados: muchas veces, si leemos las letras pequeñas, notaremos errores de ortografía y si revisamos la dirección electrónica, veremos que proviene de un dominio no oficial.
Esta práctica se conoce popularmente como phishing. Lamentablemente, muchos no se percatan del engaño y responden las preguntas sin analizarlas o preguntarse por las consecuencias.
Otra técnica común es el uso de archivos adjuntos o descargas. Pueden ser enlaces a fotografías, imágenes, documentos o programas.
Un ejemplo básico es nuestra disposición a otorgar información sensible a ciertas personas, por ejemplo a un empleado de un banco, un administrador de redes, un técnico o incluso a un cliente.
Todos hemos recibido correos de supuestas instituciones bancarias donde nos piden datos privados: muchas veces, si leemos las letras pequeñas, notaremos errores de ortografía y si revisamos la dirección electrónica, veremos que proviene de un dominio no oficial.
Esta práctica se conoce popularmente como phishing. Lamentablemente, muchos no se percatan del engaño y responden las preguntas sin analizarlas o preguntarse por las consecuencias.
Otra técnica común es el uso de archivos adjuntos o descargas. Pueden ser enlaces a fotografías, imágenes, documentos o programas.
Son frecuentes en los correos electrónicos, pero también están presentes en mensajería instantánea (desde el viejo Microsoft Messenger hasta WhatsApp) y en redes sociales.
El incauto presiona la liga de descarga y su dispositivo se infecta con software malicioso.
Esto ocurre porque muchos usuarios hacen clic sin reflexionar en el riesgo potencial.
Si bien la ingeniería social suele basarse en la confianza, también se sustenta en la curiosidad.
Si bien la ingeniería social suele basarse en la confianza, también se sustenta en la curiosidad.
Queremos conocer datos reservados de otros. Somos propensos a lo prohibido.
Nos preguntamos quién nos bloqueó en Messenger (hoy, en Twitter), quién visitó nuestro perfil de Facebook. Por desgracia, ese comportamiento casi siempre lleva a exponer información sensible. Ahora sí, veamos algunos casos.
Engaño 1: ¿Quién visitó mi perfil?
Quizás el engaño más popular en Facebook se refiera a la posibilidad de saber quién visitó tu perfil previa instalación de una aplicación.
Engaño 1: ¿Quién visitó mi perfil?
Quizás el engaño más popular en Facebook se refiera a la posibilidad de saber quién visitó tu perfil previa instalación de una aplicación.
No hay forma de que lo sepas, básicamente, porque Facebook no lo permite por medio de su API (la interfaz que usan las aplicaciones para conectar con la red social).
Lo que buscan esos programas es que visites sitios de encuestas, te des de alta en servicios que no necesitas o, peor aún, entregues tus datos personales a alguien más.
¿Cómo funcionan? Una vez que se acepta la aplicación, ésta busca enviarse a más contactos y publicarse en el muro (a manera de un virus, lo primero que hace es asegurar la propagación).
Lo que buscan esos programas es que visites sitios de encuestas, te des de alta en servicios que no necesitas o, peor aún, entregues tus datos personales a alguien más.
¿Cómo funcionan? Una vez que se acepta la aplicación, ésta busca enviarse a más contactos y publicarse en el muro (a manera de un virus, lo primero que hace es asegurar la propagación).
La aplicación despliega una lista bloqueada (es decir, sin imágenes ni nombres) y pide al usuario llenar una (o muchas) encuestas antes de desbloquear lo que le interesa conocer.
Muchas veces, la aplicación envía un mensaje intencional de error o, en su defecto, muestra una lista aleatoria de contactos. Por supuesto, el negocio está en que quienes programan esas aplicaciones reciben dinero por cada encuesta completada.
¿Por qué no existe una aplicación que permita ver quién vio tu perfil? Muy sencillo: porque a Facebook no le conviene revelarlo.
Muchas veces, la aplicación envía un mensaje intencional de error o, en su defecto, muestra una lista aleatoria de contactos. Por supuesto, el negocio está en que quienes programan esas aplicaciones reciben dinero por cada encuesta completada.
¿Por qué no existe una aplicación que permita ver quién vio tu perfil? Muy sencillo: porque a Facebook no le conviene revelarlo.
Mientras en otros servicios como LinkedIn sí es posible (y a veces veladamente, cuando es un contacto fuera de tus redes principales); en Facebook sería un despropósito. Sin ir más lejos: ¿se imaginan cuántos stalkers se inhibirían?
Por supuesto, la red social se vería afectada y el número de interacciones se reduciría.
Engaño 2: El botón “no me gusta”
La lógica indica que si podemos indicar a Facebook qué nos gusta, también deberíamos poder señalar qué no. Bajo esa tónica, ha sido un reclamo constante de los usuarios que exista un botón “no me gusta”.
La justificación es que, si la red social usa la información de los “me gusta” para generar recomendaciones, entonces los datos del “no me gusta” ayudarían a evitar que ciertos contenidos llegaran a nuestra portada. Mark Zuckerberg incluso alimentó el rumor en 2010 cuando dijo que trabajaban en dicha función.
En mayo de 2011, se popularizó un malware que se hacía pasar por el ansiado botón “no me gusta”.
Engaño 2: El botón “no me gusta”
La lógica indica que si podemos indicar a Facebook qué nos gusta, también deberíamos poder señalar qué no. Bajo esa tónica, ha sido un reclamo constante de los usuarios que exista un botón “no me gusta”.
La justificación es que, si la red social usa la información de los “me gusta” para generar recomendaciones, entonces los datos del “no me gusta” ayudarían a evitar que ciertos contenidos llegaran a nuestra portada. Mark Zuckerberg incluso alimentó el rumor en 2010 cuando dijo que trabajaban en dicha función.
En mayo de 2011, se popularizó un malware que se hacía pasar por el ansiado botón “no me gusta”.
El resultado, como imaginarán, fueron miles de cuentas infectadas.
Al hacer clic en el enlace, se llegaba a una página nueva, en la que se otorgaba una dirección o código que era necesario pegar en el navegador.
Esta técnica, por sencilla que parezca, combina 2 tácticas de inseguridad informática: el clickjacking (o secuestro de clic), que consiste en engañar al usuario para que haga clic en páginas aparentemente inofensivas; y el cross-site scripting (XSS o secuencias de comandos en sitios cruzados), que consiste en pegar código HTML peligroso en la ruta URL del navegador.
Por cierto, parece que la función de “no me gusta” pronto llegará a Facebook, como adelantó la jefa de producto de la red social, Fidji Simo.
Esta técnica, por sencilla que parezca, combina 2 tácticas de inseguridad informática: el clickjacking (o secuestro de clic), que consiste en engañar al usuario para que haga clic en páginas aparentemente inofensivas; y el cross-site scripting (XSS o secuencias de comandos en sitios cruzados), que consiste en pegar código HTML peligroso en la ruta URL del navegador.
Por cierto, parece que la función de “no me gusta” pronto llegará a Facebook, como adelantó la jefa de producto de la red social, Fidji Simo.
Tendrá una pequeña diferencia respecto al rumor: será factible indicar al algoritmo cuál es el contenido que es desagradable (de modo que no se refleje en la portada del usuario), pero dicha información no se hará pública para los contactos, como con el botón “me gusta”.
Engaño 3: Usar WhatsApp desde Facebook
Una de las características que se han criticado de WhatsApp es su carencia de un cliente de escritorio (también sus agujeros de seguridad, pero ése es otro cantar). Mientras Skype, iMessage, Viber, GroupMe y LINE (por mencionar algunos) tienen clientes web y/o de escritorio, WhatsApp sólo puede usarse desde el teléfono móvil. A pesar de eso —e inexplicablemente—, sigue como la opción número uno para buena parte de los usuarios.
Por eso, que aparezca la opción de utilizar WhatsApp desde Facebook suena tentador, pero como tantas cosas en la vida, es mentira.
Engaño 3: Usar WhatsApp desde Facebook
Una de las características que se han criticado de WhatsApp es su carencia de un cliente de escritorio (también sus agujeros de seguridad, pero ése es otro cantar). Mientras Skype, iMessage, Viber, GroupMe y LINE (por mencionar algunos) tienen clientes web y/o de escritorio, WhatsApp sólo puede usarse desde el teléfono móvil. A pesar de eso —e inexplicablemente—, sigue como la opción número uno para buena parte de los usuarios.
Por eso, que aparezca la opción de utilizar WhatsApp desde Facebook suena tentador, pero como tantas cosas en la vida, es mentira.
Funciona como otros engaños: al hacer clic, aparece un mensaje en el que el usuario debe autorizar la aplicación; de este modo, el programa gana acceso a los contactos y los muestra en una lista de supuestos usuarios de WhatsApp para Facebook (¡mentira, mentira!).
¿Qué hace esta aplicación? Al igual que otras, al aceptarla, inicia su propagación automática hacia los perfiles de tus contactos.
¿Qué hace esta aplicación? Al igual que otras, al aceptarla, inicia su propagación automática hacia los perfiles de tus contactos.
Después, manda un mensaje en el que solicita tu número de celular y responder un SMS, que carga una cantidad determinada a tu cuenta (en el caso de España, donde se popularizó el engaño, cobra €1.5 EUR por activación y €1.45 EUR por cada mensaje posterior).
La aplicación también aparece disfrazada como WhatsApp para PC o WhatsApp para iPad.
Para que no les quede duda: ¡no existe WhatsApp para Facebook! El objetivo de la aplicación es estafar y, de paso, tener acceso a datos privados. Si buscas un servicio de mensajería que sea compatible con Facebook y con una aplicación móvil, ahí está Skype.
Engaño 4: Cambia de color tu página de Facebook
Cierro con uno engaño que reaparece cada 3 o 4 meses: el cambio de color de Facebook. No entiendo por qué la gente puede estar tan deseosa de personalizar el color de su perfil y que no repare en este engaño, pero ¡oh, la vanidad!
Para que no les quede duda: ¡no existe WhatsApp para Facebook! El objetivo de la aplicación es estafar y, de paso, tener acceso a datos privados. Si buscas un servicio de mensajería que sea compatible con Facebook y con una aplicación móvil, ahí está Skype.
Engaño 4: Cambia de color tu página de Facebook
Cierro con uno engaño que reaparece cada 3 o 4 meses: el cambio de color de Facebook. No entiendo por qué la gente puede estar tan deseosa de personalizar el color de su perfil y que no repare en este engaño, pero ¡oh, la vanidad!
Es muy conocida por su presentación llamada Switch to Pink Facebook (Cambia al Facebook Rosa) —aparentemente, dirigida a engañar a las usuarias—, así como su versión más neutra, Facebook Black.
La versión más popular de este engaño se comporta como las examinadas antes: una invitación que, al dar acceso a datos personales, se propaga con nuestros contactos.
La versión más popular de este engaño se comporta como las examinadas antes: una invitación que, al dar acceso a datos personales, se propaga con nuestros contactos.
De ahí, también se puede derivar a la estafa de las encuestas, la de los mensajes de texto, o simplemente, convertirse en un ladrón de información de la cuenta de Facebook.
Curiosamente, en este caso sí hay un programa que permite alterar la estética y funcionalidades de forma legítima: Social Fixer.
Esta aplicación tiene varias presentaciones, una de las más novedosas es que pide descargar una extensión para Google Chrome que da acceso a un desconocido al historial de los sitios que visita el usuario y toda la actividad del navegador del mismo.
¿Qué hago si caí en la trampa?
Supongamos que alguien se aprovechó de tu inocencia y caíste en uno de estos engaños (o en otro similar). Primero, estoy seguro de que te servirá como lección para dejar de hacer clic de manera indiscriminada en cualquier enlace.
Esta aplicación tiene varias presentaciones, una de las más novedosas es que pide descargar una extensión para Google Chrome que da acceso a un desconocido al historial de los sitios que visita el usuario y toda la actividad del navegador del mismo.
¿Qué hago si caí en la trampa?
Supongamos que alguien se aprovechó de tu inocencia y caíste en uno de estos engaños (o en otro similar). Primero, estoy seguro de que te servirá como lección para dejar de hacer clic de manera indiscriminada en cualquier enlace.
Lo siguiente lo resumo en los siguientes pasos:
1.Informa de la aplicación.
Es muy importante avisar a Facebook, porque de ese modo, pueden tomar cartas en el asunto —a veces, en cuestión de horas— y eliminar la aplicación. Así evitas el contagio.
2.Quítalo de tu muro.
No quieres que tus contactos caigan en el engaño, ¿verdad? Entonces, retira el mensaje automático que puso la aplicación en tu muro.
3.Retíralo de tus sitios.
En caso de que te haya suscrito a una página, ve a la sección de Intereses de tu perfil y retira la aplicación. Si no aparece en el listado a primera vista, examina en el enlace “mostrar otras páginas”.
4.Retírala de tus aplicaciones.
En la pestaña de Configuración (esquina derecha superior, icono de engrane), encontrarás el menú “Administrar aplicaciones”.
1.Informa de la aplicación.
Es muy importante avisar a Facebook, porque de ese modo, pueden tomar cartas en el asunto —a veces, en cuestión de horas— y eliminar la aplicación. Así evitas el contagio.
2.Quítalo de tu muro.
No quieres que tus contactos caigan en el engaño, ¿verdad? Entonces, retira el mensaje automático que puso la aplicación en tu muro.
3.Retíralo de tus sitios.
En caso de que te haya suscrito a una página, ve a la sección de Intereses de tu perfil y retira la aplicación. Si no aparece en el listado a primera vista, examina en el enlace “mostrar otras páginas”.
4.Retírala de tus aplicaciones.
En la pestaña de Configuración (esquina derecha superior, icono de engrane), encontrarás el menú “Administrar aplicaciones”.
Ahí aparecerá un listado con todos los programas que tienen acceso a tus datos. Retira la aplicación maliciosa (y todas aquellas que no te interese tener conectadas a tu cuenta).
Recuerda que lo más importante es la protección a la información y como dirían por ahí: ¡ojo, mucho ojo!
