Mucho cuidado con aceptar a un robot de amigo en Facebook

Un estudio de una universidad canadiense que ha sido desacreditado por
Facebook, dice haber dejado al descubierto la vulnerabilidad de los usuarios.

Investigadores de la Universidad de British Columbia, en
Vancouver, dieron a conocer una
nueva técnica que hace posible robar información de Facebook
.

Utilizando socialbots, programas que imitan perfiles reales de Facebook, los
investigadores fueron capaces de recopilar grandes cantidades de información
personal de los usuarios de la red social.

Según los expertos, cada vez más los
criminales cibernéticos están usando los software socialbots
,
que son puestos a la venta en internet por una cifra tan baja de US$29 dólares.

Facebook cuestionó la investigación y dijo que las conclusiones fueron exageradas.

Un socialbot es una adaptación «social» de los botnets, que son
usados por criminales para esparcir spam o correo basura.

Botnet es el término que se usa para definir a un conjunto de robots o
«bots» que se ejecutan automáticamente. Un tradicional botnet es una red de computadoras
infectadas por un virus
que permite que un criminal del
ciberespacio ejerza control remoto de las computadoras afectadas.

Con frecuencia, los controladores de la red botnet roban información de las
computadoras de las víctimas o usan dichas máquinas para enviar correos basura
o llevar a cabo otros ataques.

Haciendo amigos

Lo que hace al socialbot diferente es que es capaz de hacerse pasar por un usuario real de Facebook
y de interactuar como uno más en el ecosistema de la red.

El software toma el
control de un perfil de la red social
y desde ahí ejecuta
actividades básicas como publicar mensajes y enviar solicitudes de amistad.

Los cuatro investigadores de la Universidad de British Columbia crearon 102
socialbots para usar en sus experimentos y un «botmaster», un
software que envió las órdenes a los otros robots.

Los investigadores usaron sus socialbots por un periodo de ocho semanas. En
total, los robots intentaron hacerse amigos de 8.570 usuarios de Facebook. 3.055 aceptaron la solicitud.

Los investigadores hallaron que entre más amigos tenía una persona en Facebook,
era más probable que aceptara una amigo «falso».

Para evitar activar el software de Facebook dedicado a la detección de fraudes,
las cuentas falsas sólo enviaron 25 solicitudes de amistad por día.

«Phising»
De los perfiles de aquellas personas de las cuales se convirtieron en amigos y
de los perfiles de los amigos de ellos, los investigadores aseguraron que «robaron» 46.500 direcciones
de correo electrónico
y 14.500 direcciones residenciales.

En el estudio, que será presentado en la Conferencia Anual de Seguridad
Informática en Florida, los investigadores escribieron: «A medida de que
los socialbots infiltran una red social que ha sido atacada, ellos pueden
recopilar información privada de los usuarios como direcciones de correo
electrónico, números telefónicos y detalles con valor monetario».

«Para un adversario, esa información es valiosa y puede ser usada para
hacer perfiles online, para la difusión de correos electrónicos a gran escala y
para campañas de phising«.

Facebook señaló que el experimento no era realista porque las direcciones IP
usadas provenían de una fuente universitaria confiable. En su opinión, las
direcciones IP usadas por criminales reales prenderían las alarmas.

La red social también aseguró que había inhabilitado la mayoría de las cuentas
falsas que los investigadores aseguran activaron.

«Tenemos numerosos sistemas diseñados para detectar cuentas falsas y
evitar la obtención de información. Estamos constantemente actualizando esos
sistemas para mejorar su efectividad y enfrentar nuevos ataques», señaló
un vocero.

«Usamos investigaciones confiables como parte de ese proceso. Tenemos
serias preocupaciones sobre la metodología de la investigación realizada por la
Universidad de British Columbia y se las presentaremos (al grupo de
investigadores)».

«En adición, como siempre, exhortamos a las personas a que sólo se
conecten con personas que ellos realmente conocen y que reporten cualquier
comportamiento sospechoso que observen en el sitio».

¿Ético?
Los investigadores estimaron que un ataque malicioso real pudo haber conseguido
un nivel de éxito de 80%.

«Las defensas de las redes sociales en internet, como el Sistema Inmune de
Facebook, no son lo suficientemente efectivos al detectar o al frenar
infiltraciones de largo alcance cuando ocurre», concluyeron los
investigadores.

«Consideramos que la infiltración, a larga escala, de las redes sociales
por internet es sólo una de muchas amenazas futuras en el ciberespacio y
defenderse de dichas amenazas es el primer paso para mantener una web social
más segura para millones de usuarios activos».

El experto en seguridad de la compañía Sophos, Graham Cluley, indicó que la
investigación es «interesante».

«Claramente hay una lección para los usuarios de Facebook sobre la
necesidad de ser más cuidadosos a la hora de aceptar una invitación de amistad
y sobre la información que decides compartir online», señaló Cluley en su
blog.

Pero, el especialista cuestionó cuán ética es la investigación.

«No es probable que el equipo de seguridad de Facebook vea con buenos ojos
a las personas que condujeron los experimentos, como los investigadores de la
universidad, y a los usuarios se les recuerda que bajo las condiciones de uso
de Facebook, está prohibido crear perfiles falsos, que deben usar su nombre
verdadero y que sólo puede recabar información de otros usuarios con su
consentimiento», indicó el experto.

Deja una respuesta