Por Alba Herreruela
En los últimos años, muchas empresas de todo el mundo han invertido millones en las diferentes redes sociales. Esto ha convertido las cuentas de social media en un dulce muy apetecible para hackers, quienes han visto que, con una simple contraseña, pueden acceder a la infraestructura social de las firmas más importantes del planeta, a sus cuentas, sus seguidores, sus clientes… lo que puede ser la llave para unos ingresos millonarios y poco legítimos. Casos como los de Associated Press, Burguer King, Jeep o el presidente de Estados Unidos, Barack Obama, han visto cómo sus perfiles eran usurpados por usuarios no autorizados.
Con el boom de las redes sociales, los piratas se han dado cuenta de la importancia de entrar en perfiles ajenos y éstos, se han convertido en objetivo. Pese a lo anterior, la mayoría de las marcas no saben cómo minimizar los riesgos o cómo reaccionar de darse el caso de un ataque ilícito.
Entre las medidas que sí aplican los que tienen algún tipo de precaución, aparecen la doble identificación o un SSL, siglas en inglés de Secure Socket Layer, o capa de conexión segura en castellano. Es decir, utilizar un servidor autenticado que garantice la encriptación de la información. Otras opciones son el uso de filtros entre los diferentes departamentos de la empresa o los servicios de una agencia de seguridad externa.
Sin embargo, estos métodos no ofrecen garantía total para evitar la acción de los o las hackers. Por ejemplo, un sistema de doble autenticación no está disponible en todos los países y no funciona en aquellas cuentas con más de un administrador autorizado. Por su parte, el SSL está diseñado para facilitar comunicaciones seguras, no para evitar que un tercero capte estos intercambios.
Una parte muy importante de los problemas de seguridad derivan de las contraseñas, de las herramientas utilizadas para gestionar varios perfiles, de paneles de registro falsos que los piratas informáticos programan y que confunden a los administradores, o de información obtenida a través del navegador o las cookies que deja cada uno de nuestros movimientos en Internet. En base a esto, ¿qué puedes hacer para evitar hackeos?
Fortalece tus contraseñas
Las propias plataformas como Facebook, Youtube o Twitter tienen herramientas propias para defenderse contra las acciones de hackers. La causa más común que posibilita incursiones no deseadas en nuestros perfiles es el uso de passwords débiles o que no se cambian con suficiente frecuencia. Algunos casos también son de trabajadores o trabajadoras que se dedican a delinquir contra una empresa una vez que están fuera de ella, o procedentes de ciertas aplicaciones instaladas que comprometen la seguridad de los perfiles. Las acciones que debemos llevar a cabo para evitar disgustos en este sentido son:
- Utiliza una solución de seguridad en Redes Sociales que incluya autenticación de usuario y regular el acceso a las diferentes plataformas y aplicaciones.
- Impulsa que el equipo de desarrollo identifique grupos o usuarios que hayan tenido acceso a las contraseñas.
- Planifica qué empleados o partners deben tener acceso a cada aplicación y desde las diferentes herramientas de gestión (como Hootsuite, MyPad, Scope o Everypost) organiza los diferentes perfiles.
- No des acceso directo a los perfiles de las redes corporativas. Si lo hiciste en el pasado, rescinde el acceso y notifícalo a quien corresponda.
- Asegúrate de que tus empleados saben que no deben compartir sus contraseñas y el riesgo que esto conlleva.
Usa herramientas de calidad
Una empresa nunca debe utilizar una única herramienta para gestionar todos los perfiles de las diferentes redes sociales. Los responsables deben asegurarse de que sólo los usuarios que puedan publicar en cada plataforma tengan acceso a las herramientas usadas.
Las organizaciones no deberían dar acceso a sus redes a trabajadores/as o partners. En lugar de esto, existe la tecnología SSO (Single Sign-on), que es un procedimiento de autenticación que habilita al usuario para acceder a varias cuentas con una única clave. Con este sistema, los altos cargos podrían identificar usuarios o grupos y darles acceso a las diferentes partes, gestionándolo todo ellos mismos o mismas de forma centralizada.
Cuidado con las ventanas emergentes
Se basa en que el o la hacker envía un correo o mensaje directo con el mismo diseño que los formularios de registro de las diferentes plataformas. El usuario o usuaria, quien cree que está logueándose en su cuenta de Facebook o Twitter, introduce su nombre y contraseña, aportándole las claves al pirata para entrar en ese perfil. Lo mejor para evitar esta trampa es seguir los siguientes consejos:
- Limita el número de personas y aplicaciones que tienen acceso a tus cuentas de social media. Cuqntas menos sean, menos posibilidades habrá de sufrir un ataque.
- Aconseja a los administradores de los diferentes perfiles que tengan cuidado con los emails o mensajes que reciban en los que se demandan sus datos. Nunca deben clickar en links o mensajes sospechosos y han de acceder a las redes sociales sólo a través del navegador habitual.
- Asegúrate de que los trabajadores/as usen contraseñas muy fuertes, diferentes de las de otras cuentas corporativas o personales. Si hay demasiados passwords para recordar, utiliza un generador de contraseñas como LastPass o OneLogin.
- Usa programas como Profilelock que avisan de cualquier cambio, lícito o no en la cuenta; lo que puede alertar sobre irrupciones no deseadas.
Al terminar, cierra la sesión
Algunos hackers pueden obtener acceso a las redes de una empresa mediante un seguimiento del historial del navegador, desde un ordenador personal, del trabajo o cualquier otro terminal de uso compartido.
Facebook, Twitter o Youtube están diseñadas para permanecer con la sesión abierta una vez que se accede a ellas por primera vez. En cualquier caso, mantener una sesión abierta de forma indefinida puede facilitarle la tarea a hackers.
Las redes mencionadas utilizan un sistema de cookies que contabilizan cuánto tiempo permanecemos conectados, entre otros datos. Desgraciadamente, estas cookies pueden ser interceptadas con una conexión a red WIFI abierta, que no es segura. Si un atacante capta las cookies de un perfil podría postear o hacer cambios con la misma autoridad que el administrador. Además, si se entra en una de estas plataformas desde un ordenador de uso compartido y la persona olvida desloguearse, el siguiente usuario de ese equipo podría publicar en ella. Para evitarlo, son recomendables cuatro pasos:
- Asegúrate de que el acceso a las redes de la empresa se realice sólo desde terminales de confianza, cuyos usuarios se deslogueen obligatoriamente al final de la jornada.
- Los administradores o administradoras deben usar conexiones seguras (HTTPS) a la hora de acceder a la Web.
- Utiliza herramientas con licencia en cada paso de tus acciones online, tanto para escuchar, publicar, monitorizar, etc. No entres en Facebook o el resto de plataformas directamente si no estás completamente seguro/a de que el ordenador que utilizas está limpio de virus o presencias sospechosas.
- Mantén el anti malware y el antivirus de todos los terminales actualizados.
www.noergia.com @albaherreruela