Easy Solutions, compañía de Protección Total Contra Fraude, y ahora parte de Cyxtera Technologies, alertó sobre cómo el episodio de seguridad con Facebook, claramente es un problema que las empresas deben tener en cuenta.
Hace pocos días, tanto los usuarios conocedores como los informales se han esforzado para entender los pormenores del incidente que involucra a Facebook y Cambridge Analytica, una firma política contratada por la campaña de Trump que obtuvo acceso a los datos privados de millones de usuarios de Facebook. El descubrimiento desencadenó múltiples cuestionamientos sobre la forma en que Facebook protege la información de sus más de dos mil millones de usuarios. Y mientras la indignación se ha centrado en la privacidad del usuario, esta violación a su confianza también representa una amenaza a largo plazo para cualquier negocio cuyos empleados o usuarios utilicen Facebook o cualquier otra red social, es decir, casi todas las empresas.
Facebook y las demás redes sociales nos dan la libertad de compartir todo lo que queremos sobre nosotros, con quien sea, totalmente gratis. “Esto lo hacen gratis no porque sean muy amables con nosotros, sino porque así pueden tener acceso a todos los datos que compartimos. Se pueden lucrar al vender esos datos a organizaciones y marcas que deseen promocionarse entre aquellos más propensos a comprar sus productos”, afirmó Ricardo Villadiego, CEO de Easy Solutions,
“Si un vendedor quiere promocionar mercancía de los Crimson Tide de Alabama del campeonato nacional de fútbol americano de 2018, es mucho más efectivo mostrar anuncios a los “egresados de la Universidad de Alabama” que hayan tenido algún interés en “deportes” o “fútbol americano” y vivan al “sureste de Estados Unidos” que tener que ejecutar una campaña de anuncios en distintos lugares a la espera de que lleguen a los fanáticos”. Los datos recogidos por las redes sociales hacen posible este tipo de marketing directo y eficiente.
Facebook puede fácilmente ser la herramienta más poderosa para llegar directa y efectivamente a usuarios del cibermundo y está disponible a cualquiera que esté dispuesto a pagar. Estas son buenas noticias para los anunciantes, pero infortunadamente, son mejores noticias para los estafadores. Entonces, ¿qué pasa exactamente cuando esta herramienta cae en manos criminales?
Publicidad altamente dirigida, para criminales buscando el objetivo
Supongamos que un estafador está buscando un empleado de la Compañía X para atacarlo con una campaña de spear-phishing. Como señuelo, el criminal puede crear un anuncio en una red social para lo que aparentemente es un producto o servicio legítimo. Pero en lugar de esto, el anuncio dirige a un sitio web que infectará el sistema con malware, muy probablemente sin que el blanco se dé cuenta de haber visitado un sitio malicioso.
Pero ¿cómo es ubicado el blanco específico? Para comenzar, el criminal sabe dónde está ubicada la Compañía X y, en consecuencia, hará que el anuncio se ejecute solo en un radio de 16 kilómetros alrededor de sus oficinas. Además, el criminal sabe que la Compañía X trabaja en una industria muy específica y, por lo tanto, dirige el anuncio únicamente a usuarios cuyos intereses estén dentro de la línea de productos de la compañía. Finalmente, el criminal busca golpear a un empleado con cierta antigüedad dentro de la compañía, por lo que diseñara el anuncio para que sea llamativo a hombres y mujeres trabajadores de entre 25 y 65 años de edad. A partir de allí el nivel de detalle continúa.
“Todo esto puede hacerse a muy bajo costo. De manera que, con una inversión de unos cuantos cientos de dólares en esta campaña, incluso si el criminal consigue solo una víctima, él o ella tendrá un computador infectado que le brinde acceso a toda la organización de la Compañía X. El hacker obtiene un gran retorno de inversión y la Compañía X un sinfín de amenazas digitales. Esta clase de segmentación específica y detallada es posible gracias a todos los datos que intencionalmente publicamos en redes sociales. Igualmente, permitir que las plataformas los controlen por sí mismas parece no estar funcionando”, explicó Villadiego.
Datos en manos equivocadas
Aparte de todo esto, ¿qué sucede cuando los criminales no solo publican en la plataforma, sino que también acceden a toda la información de un subconjunto de personas? El último capítulo en esta historia de Facebook sugiere que los mismos datos a los que Cambridge Analytica accedió son comprados y vendidos en la Deep Web, haciendo más probable que los criminales se dirijan a esos usuarios no solo por medio de redes sociales sino a través de otros canales también. Imagine cuán detallada puede ser una campaña de phishing cuando los criminales conozcan el nombre de la compañía para la que usted trabaja, los nombres y cargos de 20 de sus colegas más cercanos, la conferencia a la que asistirá esta semana y hasta su marca de cerveza favorita. De un momento a otro, un email de phishing se parecerá mucho a un email confiable de un amigo o colega.
Es mucho más probable que un usuario perdone pequeños errores de ortografía o sintaxis y confíe en un remitente aparentemente conocido al momento en que le pida lo que parece ser una solicitud razonable: transferir este dinero, registrarse a este webinar, dar clic aquí para ver su informe de gastos y así sucesivamente. Estas solicitudes pueden resultar en una pérdida de dinero (como es el caso de las estafas BEC en las que se solicitan transferencias) o en una potencial filtración masiva de datos. El mismo perfil de datos que fue usado para dirigir con éxito anuncios a empleados de la Compañía X puede convertirse en algo mucho más riesgoso para las compañías en las que trabajan.
“Estimamos que la mayoría de las protestas de los usuarios por los hechos recientes de Facebook disminuirán pronto. Pero para las empresas y demás organizaciones, la amenaza de estas inmensas plataformas de datos a merced total de los criminales solo va a crecer con el tiempo”, concluyó Ricardo Villadiego.