Por  Alba Herre­rue­la

En los últi­mos años, muchas empre­sas de todo el mun­do han inver­ti­do millo­nes en las dife­ren­tes redes socia­les. Esto ha con­ver­ti­do las cuen­tas de social media en un dul­ce muy ape­te­ci­ble para hac­kers, quie­nes han vis­to que, con una sim­ple con­tra­se­ña, pue­den acce­der a la infra­es­truc­tu­ra social de las fir­mas más impor­tan­tes del pla­ne­ta, a sus cuen­tas, sus segui­do­res, sus clien­tes… lo que pue­de ser la lla­ve para unos ingre­sos millo­na­rios y poco legí­ti­mos. Casos como los de Asso­cia­ted Press, Bur­guer King, Jeep o el pre­si­den­te de Esta­dos Uni­dos, Barack Oba­ma, han vis­to cómo sus per­fi­les eran usur­pa­dos por usua­rios no auto­ri­za­dos.

Con el boom de las redes socia­les, los pira­tas se han dado cuen­ta de la impor­tan­cia de entrar en per­fi­les aje­nos y éstos, se han con­ver­ti­do en obje­ti­vo. Pese a lo ante­rior, la mayo­ría de las mar­cas no saben cómo mini­mi­zar los ries­gos o cómo reac­cio­nar de dar­se el caso de un ata­que ilí­ci­to.

Entre las medi­das que sí apli­can los que tie­nen algún tipo de pre­cau­ción, apa­re­cen la doble iden­ti­fi­ca­ción o un SSL, siglas en inglés de Secu­re Soc­ket Layer, o capa de cone­xión segu­ra en cas­te­llano. Es decir, uti­li­zar un ser­vi­dor auten­ti­ca­do que garan­ti­ce la encrip­ta­ción de la infor­ma­ción. Otras opcio­nes son el uso de fil­tros entre los dife­ren­tes depar­ta­men­tos de la empre­sa o los ser­vi­cios de una agen­cia de segu­ri­dad exter­na.

Sin embar­go, estos méto­dos no ofre­cen garan­tía total para evi­tar la acción de los o las hac­kers. Por ejem­plo, un sis­te­ma de doble auten­ti­ca­ción no está dis­po­ni­ble en todos los paí­ses y no fun­cio­na en aque­llas cuen­tas con más de un admi­nis­tra­dor auto­ri­za­do. Por su par­te, el SSL está dise­ña­do para faci­li­tar comu­ni­ca­cio­nes segu­ras, no para evi­tar que un ter­ce­ro cap­te estos inter­cam­bios.

Una par­te muy impor­tan­te de los pro­ble­mas de segu­ri­dad deri­van de las con­tra­se­ñas, de las herra­mien­tas uti­li­za­das para ges­tio­nar varios per­fi­les, de pane­les de regis­tro fal­sos que los pira­tas infor­má­ti­cos pro­gra­man y que con­fun­den a los admi­nis­tra­do­res, o de infor­ma­ción obte­ni­da a tra­vés del nave­ga­dor o las coo­kies que deja cada uno de nues­tros movi­mien­tos en Inter­net. En base a esto, ¿qué pue­des hacer para evi­tar hac­keos?

For­ta­le­ce tus con­tra­se­ñas

Las pro­pias pla­ta­for­mas como Face­book, You­tu­be o Twit­ter tie­nen herra­mien­tas pro­pias para defen­der­se con­tra las accio­nes de hac­kers. La cau­sa más común que posi­bi­li­ta incur­sio­nes no desea­das en nues­tros per­fi­les es el uso de pass­words débi­les o que no se cam­bian con sufi­cien­te fre­cuen­cia. Algu­nos casos tam­bién son de tra­ba­ja­do­res o tra­ba­ja­do­ras que se dedi­can a delin­quir con­tra una empre­sa una vez que están fue­ra de ella, o pro­ce­den­tes de cier­tas apli­ca­cio­nes ins­ta­la­das que com­pro­me­ten la segu­ri­dad de los per­fi­les. Las accio­nes que debe­mos lle­var a cabo para evi­tar dis­gus­tos en este sen­ti­do son:

• Uti­li­za una solu­ción de segu­ri­dad en Redes Socia­les que inclu­ya auten­ti­ca­ción de usua­rio y regu­lar el acce­so a las dife­ren­tes pla­ta­for­mas y apli­ca­cio­nes.
• Impul­sa que el equi­po de desa­rro­llo iden­ti­fi­que gru­pos o usua­rios que hayan teni­do acce­so a las con­tra­se­ñas.
• Pla­ni­fi­ca qué emplea­dos o part­ners deben tener acce­so a cada apli­ca­ción y des­de las dife­ren­tes herra­mien­tas de ges­tión (como Hootsui­te, MyPad, Sco­pe o Every­post) orga­ni­za los dife­ren­tes per­fi­les.
• No des acce­so direc­to a los per­fi­les de las redes cor­po­ra­ti­vas. Si lo hicis­te en el pasa­do, res­cin­de el acce­so y noti­fí­ca­lo a quien corres­pon­da.
• Ase­gú­ra­te de que tus emplea­dos saben que no deben com­par­tir sus con­tra­se­ñas y el ries­go que esto con­lle­va.

Usa herra­mien­tas de cali­dad

Una empre­sa nun­ca debe uti­li­zar una úni­ca herra­mien­ta para ges­tio­nar todos los per­fi­les de las dife­ren­tes redes socia­les. Los res­pon­sa­bles deben ase­gu­rar­se de que sólo los usua­rios que pue­dan publi­car en cada pla­ta­for­ma ten­gan acce­so a las herra­mien­tas usa­das.

Las orga­ni­za­cio­nes no debe­rían dar acce­so a sus redes a trabajadores/as o part­ners. En lugar de esto, exis­te la tec­no­lo­gía SSO (Sin­gle Sign-on), que es un pro­ce­di­mien­to de auten­ti­ca­ción que habi­li­ta al usua­rio para acce­der a varias cuen­tas con una úni­ca cla­ve. Con este sis­te­ma, los altos car­gos podrían iden­ti­fi­car usua­rios o gru­pos y dar­les acce­so a las dife­ren­tes par­tes, ges­tio­nán­do­lo todo ellos mis­mos o mis­mas de for­ma cen­tra­li­za­da.

Cui­da­do con las ven­ta­nas emer­gen­tes

Se basa en que el o la hac­ker envía un correo o men­sa­je direc­to con el mis­mo dise­ño que los for­mu­la­rios de regis­tro de las dife­ren­tes pla­ta­for­mas. El usua­rio o usua­ria, quien cree que está logueán­do­se en su cuen­ta de Face­book o Twit­ter, intro­du­ce su nom­bre y con­tra­se­ña, apor­tán­do­le las cla­ves al pira­ta para entrar en ese per­fil. Lo mejor para evi­tar esta tram­pa es seguir los siguien­tes con­se­jos:

• Limi­ta el núme­ro de per­so­nas y apli­ca­cio­nes que tie­nen acce­so a tus cuen­tas de social media. Cuqn­tas menos sean, menos posi­bi­li­da­des habrá de sufrir un ata­que.
• Acon­se­ja a los admi­nis­tra­do­res de los dife­ren­tes per­fi­les que ten­gan cui­da­do con los emails o men­sa­jes que reci­ban en los que se deman­dan sus datos. Nun­ca deben clic­kar en links o men­sa­jes sos­pe­cho­sos y han de acce­der a las redes socia­les sólo a tra­vés del nave­ga­dor habi­tual.
• Ase­gú­ra­te de que los trabajadores/as usen con­tra­se­ñas muy fuer­tes, dife­ren­tes de las de otras cuen­tas cor­po­ra­ti­vas o per­so­na­les. Si hay dema­sia­dos pass­words para recor­dar, uti­li­za un gene­ra­dor de con­tra­se­ñas como Last­Pass o One­Lo­gin.
• Usa pro­gra­mas como Pro­fi­le­lock que avi­san de cual­quier cam­bio, líci­to o no en la cuen­ta; lo que pue­de aler­tar sobre irrup­cio­nes no desea­das.

Al ter­mi­nar, cie­rra la sesión

Algu­nos hac­kers pue­den obte­ner acce­so a las redes de una empre­sa median­te un segui­mien­to del his­to­rial del nave­ga­dor, des­de un orde­na­dor per­so­nal, del tra­ba­jo o cual­quier otro ter­mi­nal de uso com­par­ti­do.

Face­book, Twit­ter o You­tu­be están dise­ña­das para per­ma­ne­cer con la sesión abier­ta una vez que se acce­de a ellas por pri­me­ra vez. En cual­quier caso, man­te­ner una sesión abier­ta de for­ma inde­fi­ni­da pue­de faci­li­tar­le la tarea a hac­kers.

Las redes men­cio­na­das uti­li­zan un sis­te­ma de coo­kies que con­ta­bi­li­zan cuán­to tiem­po per­ma­ne­ce­mos conec­ta­dos, entre otros datos. Des­gra­cia­da­men­te, estas coo­kies pue­den ser inter­cep­ta­das con una cone­xión a red WIFI abier­ta, que no es segu­ra. Si un ata­can­te cap­ta las coo­kies de un per­fil podría pos­tear o hacer cam­bios con la mis­ma auto­ri­dad que el admi­nis­tra­dor. Ade­más, si se entra en una de estas pla­ta­for­mas des­de un orde­na­dor de uso com­par­ti­do y la per­so­na olvi­da des­lo­guear­se, el siguien­te usua­rio de ese equi­po podría publi­car en ella. Para evi­tar­lo, son reco­men­da­bles cua­tro pasos:

• Ase­gú­ra­te de que el acce­so a las redes de la empre­sa se reali­ce sólo des­de ter­mi­na­les de con­fian­za, cuyos usua­rios se des­lo­gueen obli­ga­to­ria­men­te al final de la jor­na­da.
• Los admi­nis­tra­do­res o admi­nis­tra­do­ras deben usar cone­xio­nes segu­ras (HTTPS) a la hora de acce­der a la Web.
• Uti­li­za herra­mien­tas con licen­cia en cada paso de tus accio­nes onli­ne, tan­to para escu­char, publi­car, moni­to­ri­zar, etc. No entres en Face­book o el res­to de pla­ta­for­mas direc­ta­men­te si no estás com­ple­ta­men­te seguro/a de que el orde­na­dor que uti­li­zas está lim­pio de virus o pre­sen­cias sos­pe­cho­sas.
• Man­tén el anti malwa­re y el anti­vi­rus de todos los ter­mi­na­les actua­li­za­dos.