Llegamos a ustedes gracias a:



Noticias

Las nuevas funciones de búsqueda en Facebook crean el paraíso del phishing

[11/10/2013] Facebook acaba de revelar los cambios en su función Graph Search, la herramienta que permite a los usuarios buscar un contenido concreto en la red social. Antes, este sistema limitaba sus búsquedas a la información de perfil o páginas del site al que pertenecía el comentario, pero ahora se incorpora información adicional, como actualizaciones de estado, fotos, entradas y comentarios, que también serán visibles. Aunque la promoción de esta nueva funcionalidad centra el foco en sus bondades -algo lógico-, también debería considerarse el riesgo que entraña.
Algunos expertos ya la han criticado. Este nuevo caudal de datos personales constituye una potencial mina de oro para los delincuentes más experimentados a la hora de preparar campañas de phishing, ya que las búsquedas pueden ahora concentrarse en grupos de personas concretos, en un área determinada, en personas con un interés común o cierta relación con una empresa, o incluso que comparten la mismas afición. Incluso es posible filtrar los resultados, en función del tiempo, para filtrar los comentarios o mensajes y recuperar incluso los más antiguos u olvidados.
Los datos ofrecidos por la herramienta solo tendrán una limitación, la que haya establecido el usuario en cuanto a privacidad de sus mensajes, ajustes que él mismo o sus amigos y seguidores establezcan.
Sin embargo, demasiados usuarios utilizan la configuración predeterminada y, por ello, sus perfiles, incluidos sus puestos de trabajo, se comparten ampliamente, y no todos quieren aparecer en las búsquedas aleatorias.
Críticas
"Facebook tiene una larga tradición en arrastrar al usuario a compartir más información, incluso sin preguntar", denuncia Trevor Hawthorn, CTO de ThreatSim, empresa especializada en la modalidad de ataque llamada spear phishing y en concienciación al respecto.
A principios de este año, la compañía dio a conocer las estadísticas de un informe de Verizon sobre brechas de datos empresariales, que señalaban que el éxito de una campaña de phishing no es difícil de calcular y que solo se necesitan tres mensajes previos de correo para que un objetivo entre en un enlace o mensaje adjunto.
"Esta media garantiza que el promotor de una campaña de phishing conseguirá un 50% de éxito con un solo clic. Si realiza esta campaña dos veces, probablemente alcance el 80% de éxito y con 10 correos electrónicos tendrían garantizado el éxito, señala el informe.
La mitad de los clics que consigue una campaña de phishing típica se producen en las 12 primeras horas, pero estos pinchazos no garantizan por sí solos el éxito de la misma. Sin embargo, afinando más la campaña y los mensajes, las probabilidades de conseguirlo son mayores.
Esta es la razón por la que ampliar los criterios de búsqueda en Facebook puede suponer un problema, y tanto los individuos como las empresas deben ser conscientes de ello y proteger lo que publican.
Estos cambios en Facebook Graph Search permitirán, a partir de ahora, construir mensajes de phishing de alta calidad, utilizando criterios de búsqueda concretos, que el usuario objetivo además no percibe.
"Por ejemplo, ahora se podrán buscar ´Restaurantes asiáticos visitados por personas que trabajan para el Gobierno´, y dispondremos de resultados muy concretos que permitirán seleccionar de forma muy precisa a algunos objetivos", explica Hawthorn.
Los datos encontrados a través de Graph Search serán tan privados como sus amigos quieran, destaca Hawthorn. Incluso si sus datos están bien guardados, las entradas y datos de sus imágenes o posts ya ofrecen más información de la que ya había disponible antes. Si se compara con los datos de otros servicios como LinkedIn, un atacante tendrá ahora más posibilidades de centrarse en una persona u organización concreta a través de Facebook.
"Antes de añadir estas funciones, el atacante debía profundizar más y conocer mejor los intereses de una persona concreta para tener éxito. Con Graph Search resulta más fácil buscar y encontrar datos de un objetivo", concluye el experto.
Steve Ragan. CSO (EE.UU.)