Las redes sociales no solo han cambiado la manera en que los ciudadanos se informan y se comunican entre sí, sino también la manera en que los Gobiernos y organizaciones transmiten sus mensajes a los ciudadanos y la forma en que estos responden.
Comunicarse, compartir información, mantener un contacto por interés o afinidad, relacionarse, formar una identidad y reputación, reivindicarse, protestar, manipular, … son múltiples los objetivos buscados a la hora de utilizar una u otra red social.
No obstante, el éxito alcanzado, las enormes posibilidades que brindan y su uso masivo, las han hecho situarse en el punto de mira de los ciberatacantes que no dudan en explotar los riesgos y vulnerabilidades que tienen tanto las plataformas que sustentan estas redes sociales como las personas u organizaciones que las utilizan.
Una vez más, el eslabón más débil de esta cadena vuelve a ser el factor humano por su escasa concienciación y su exceso de confianza a la hora de emplear estas redes.
En general, los riesgos asociados a las redes sociales son los mismos que los del resto de actividades y/o servicios en Internet: grandes dificultades para eliminar la información subida, el acceso futuro por terceros (el derecho a cambiar de opinión es nulo y será muy difícil borrar cualquier opinión, fotografía o vídeo subido a la red) y la dificultad de discernir entre información veraz y propaganda o manipulación.
En este punto hay que recordar la importancia que tiene la configuración de seguridad del dispositivo (sistema operativo y navegador) utilizado para conectarse a Internet y, de esta manera, acceder a las redes sociales.
Actualmente, las redes sociales se han convertido en una herramienta muy importante para las empresas, permitiendo dar a conocer sus productos o servicios y un trato más cercano con los clientes o posibles clientes [Ref. – 1].
Son muchas las ventajas que aportan las redes sociales a una empresa: ► Mediante la analítica del uso de las redes sociales se pueden obtener datos sobre las características de los seguidores como género, edad o ubicación y sus preferencias de uso, que pueden ser útiles a la hora de lanzar una determinada campaña comercial, maximizando los beneficios de esta.
► También son una buena herramienta para captar nuevos clientes y conocer lo que piensan sobre tus servicios o productos.
► Permiten aumentar el tráfico web haciendo que la web de la empresa se posicione mejor en los buscadores y aumentando así su visibilidad.
► Sirven para potenciar la marca con la colaboración de los propios usuarios de la red social.
No obstante, las redes sociales también pueden suponer un riesgo para la empresa, una mala gestión de las mismas, un comentario inoportuno o los ciberdelincuentes pueden afectar negativamente a la imagen o a la reputación de tu empresa.
2. Posibles riesgos de su uso
Generar una imagen y reputación de la empresa en las redes sociales no es tarea fácil y lo que
ha costado esfuerzo y tiempo en crear se puede perder en un instante por un fallo o una mala
gestión. Las siguientes circunstancias suponen riesgos para la empresa en el uso de las redes sociales.
► 2.1. – ERROR HUMANO
Muchos de los incidentes que afectan a la reputación y a la seguridad de la empresa en las redes sociales tienen su origen en el error humano. Algunos de los errores más habituales que se producen consisten en publicar juicios de valor personal en representación de la empresa y el intercambio de comentarios con un tono elevado.
Otro error humano que afecta a la seguridad de la empresa, y que se comete tanto a través del perfil de la empresa, como del personal de los empleados, es hacer pública información que debería ser privada. En otros casos publicar detalles sobre la empresa donde se trabaja o del evento al que se va a acudir puede ser usado por un ciberdelincuente para atacar a la empresa.
► 2.2. – CONFIGURACIONES DE PRIVACIDAD DÉBILES
Tener una configuración de privacidad débil [Ref. – 2] en los perfiles profesionales de redes sociales, es un riesgo para la seguridad la empresa y para la imagen que se quiere proyectar al usuario. Cada red social tiene opciones de privacidad que deben ser revisadas.
Como en cualquier servicio que requiere credenciales de acceso, utilizar una contraseña débil puede poner en riesgo el perfil empresarial. Si las credenciales son robadas o se usan contraseñas fáciles de intuir, cualquiera podría publicar en nombre de la empresa o comunicarse con nuestros seguidores.
Permitir que cualquier empleado pueda publicar en la página o grupo de la empresa puede ser un riesgo, ya que la imagen que se quiere dar al público terminará diluyéndose. La empresa debe definir la imagen que quiere dar, qué se publica y qué no, en qué tono o lenguaje, cómo se responde a los clientes y a las quejas, etc. Solo empleados autorizados y conocedores de ello deben publicar contenidos.
Las aplicaciones que tienen acceso a los perfiles de redes sociales también pueden suponer un riesgo para la privacidad, ya que podríamos otorgarles acceso (permisos) a determinados datos (como seguidores o clientes) que se deberían mantener en privado.
► 2.3. CAMPAÑAS DE FRAUDE: SUPLANTACIÓN, MALWARE Y PHISING
Los ciberdelincuentes [Ref. – 3] también acechan en las redes sociales mediante diferentes tipos de campañas. Los fraudes que realizan pueden ser llevados a cabo de varias formas, pero el objetivo final siempre será su propio beneficio económico. Para obtener este beneficio, los ciberdelincuentes cuentan con varios métodos:
► Fraude por suplantación de clientes o proveedores. Los ciberdelincuentes pueden crear perfiles falsos suplantando a un cliente o proveedor para modificar datos en su beneficio. Podría modificar, por ejemplo, la cuenta de facturación, direcciones de envío, etc.
► Campañas de malware. El envío de software malicioso por medio de los perfiles en redes sociales también es utilizado por los ciberdelincuentes para infectar los equipos de las víctimas. Para engañar a las víctimas utilizan diferentes técnicas como hacerse pasar por un cliente, un proveedor o incluso por alguien de la empresa. Terminan dirigiendo a la víctima a sitios web maliciosos donde descargarán el malware al hacer clic en un anuncio o simplemente por visitarla. En otros casos, lo envían adjunto en mensajes privados dando como resultado, en ambos casos, la infección del equipo.
► Campañas de phishing. Los ciberdelincuentes pueden hacerse pasar por una marca conocida y redirigir a la víctima a una página web fraudulenta donde robar información personal, bancaria y datos de la empresa.
3. Medidas de seguridad
Los riesgos anteriores pueden afectar a la reputación de la empresa, además de causar infecciones por malware, fugas de información y otros incidentes de seguridad. Para evitarlos tendremos que tomar algunas medidas.
A continuación, se indican los principales consejos que se pueden dar como buenas prácticas en el uso de redes sociales:
Creación cuidadosa del perfil y la configuración de privacidad. No basarse en la configuración por defecto que proporcionan las plataformas.
Reflexión sobre todo lo que se publica y emplear un pseudónimo. Dar por sentado que todo lo que se sube en una red social es permanente, aunque se elimine la cuenta.
Escoger cuidadosamente a nuestros amigos.
Para evitar revelar las direcciones de correo de sus amigos, no permita que los servicios de redes sociales examinen su libreta de direcciones de correo.
Prestar atención a los servicios basados en la localización y la información del teléfono móvil.
Precaución con los enlaces. Evitar hacer clic en hipervínculos o enlaces de procedencia dudosa.
Escribir directamente la dirección de su sitio de redes sociales en el navegador para evitar que un sitio falso pueda robar su información personal.
Tener precaución al instalar elementos adicionales en su sitio ya que, en ocasiones, se usan estas aplicaciones para robar información personal.
Revisar la información publicada. Eludir dar excesiva información sobre uno mismo entre otras cosas para evitar que puedan entrar en su cuenta al responder a preguntas del tipo su cumpleaños, su ciudad natal, clase del instituto, etc.
Seguridad de las contraseñas, utilice contraseñas complejas que incluyan números, símbolos y signos de puntuación.
Es importante no compartir la misma contraseña para todas las redes sociales ni para el resto de servicios que se utilizan en Internet (empleo de gestores de contraseñas tipo keepass).
Incrementar la seguridad en el acceso a la cuenta añadiendo un segundo factor de autenticación (2FA) que impida a un potencial atacante que se haya hecho con la contraseña acceder al servicio.
Destacamos algunas de las medidas más importantes:
► 3.1. – CONTRASEÑA DE ACCESO
El primer aspecto a tener en cuenta como en cualquier servicio o aplicación que se use en la empresa es requerir una contraseña de acceso robusta. En este caso, la contraseña es la llave de acceso a la red social. Si alguien no autorizado accede al perfil de nuestra red social podría publicar en nuestro nombre o acceder a nuestros seguidores mediante mensajes directos, deteriorando la imagen de la empresa.
La mayoría de redes sociales permiten habilitar el doble factor de autenticación [Ref. – 4], que obliga a tener, además de la contraseña, otro factor (huella, código de un solo uso, etc.) para permitir el acceso. Siempre que sea posible se activará. Así, en caso de que la contraseña sea capturada por un ciberdelincuente, no tendrá acceso si no conoce el segundo factor.
► 3.2. – SENTIDO COMÚN
El sentido común es una de las mejores herramientas que se tienen en ciberseguridad, y en el uso de las redes sociales también aplica. Antes de publicar cualquier información de la empresa o en
nombre de ella, tenemos que pensar si puede ser usada en contra o puede afectar negativamente a la imagen de esta. Por el bien de la empresa y porque pueden ser constitutivos de delito, debemos evitar:
» lanzar comentarios inoportunos, negativos o inapropiados, como quejas laborales; » emitir juicios de valor; » enfrascarnos en discusiones sin sentido, insultar, amenazar o acosar; » propagar noticias falsas; » dar información confidencial o sujeta a propiedad intelectual, etc.
► 3.3. – PRIVACIDAD
Configurar correctamente las opciones de privacidad de los diferentes perfiles reducirá, en gran medida, los intentos de fraude por parte de ciberdelincuentes. Las opciones de privacidad [Ref. – 5] deben estar configuradas lo más restrictivamente posible, sin que llegue a afectar al objetivo fijado por la empresa para la red social, como puede ser comunicarse con los clientes y establecer una relación más cercana.
► 3.4. -MALWARE Y ENLACES
El malware también se ha colado en las redes sociales. Los ciberdelincuentes tienen dos métodos, principalmente, para difundir este tipo de software malicioso, mediante documentos adjuntos en mensajes dentro de la propia red o por medio de sitios web de terceros.
Cualquier tipo de documento adjunto enviado por la red social se ha
de considerar como una potencial amenaza y se tomarán todas las
medidas de seguridad necesarias como analizarlo con el antivirus o con herramientas como Virustotal [Ref. – 6]. También se prestará especial atención a la extensión del archivo, como ya se indicó en el recurso formativo 4, El correo electrónico, principales fraudes y riesgos. Ante la menor duda no se ejecutará el archivo adjunto. Además, los dispositivos desde los que se utilicen redes sociales, como sucede con cualquier otro dispositivo, siempre deben contar con soluciones antimalware, sistema operativo y otro software actualizado.
De manera similar, sucede con los enlaces, estos pueden redirigir a
sitios web fraudulentos de tipo phishing o a sitios web donde descargar archivos infectados. Ante la menor duda con el enlace se evitará acceder al sitio web.
► Ángeles – Centro Criptológico Nacional CNN – https://angeles-elearning.ccn-cert.cni.es/
► OSI – Recursos – Guía de privacidad y seguridad en Internet – https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet
► Protege tu empresa – Blog-¡Es el día de los tuiteros! Aprovecha para revisar la seguridad de tu cuenta – https://www.incibe.es/protege-tu-empresa/blog/el-dia-los-tuiteros-aprovecha-revisar-seguridad-tu-cuenta
Índice
1. El valor de las redes sociales
2. Posibles riesgos de su uso
2.1. Error humano
2.2. Configuración de privacidad débiles
2.3. Campañas de fraude: suplantación, malware y phising
3. Medidas de seguridad
3.1. Contraseña de acceso
3.2. Sentido común
3.3. Privacidad
3.4. Malware y enlaces
4. Referencias
1. El valor de las redes sociales
Las redes sociales no solo han cambiado la manera en que los ciudadanos se informan y se comunican entre sí, sino también la manera en que los Gobiernos y organizaciones transmiten sus mensajes a los ciudadanos y la forma en que estos responden.
Comunicarse, compartir información, mantener un contacto por interés o afinidad, relacionarse, formar una identidad y reputación, reivindicarse, protestar, manipular, … son múltiples los objetivos buscados a la hora de utilizar una u otra red social.
No obstante, el éxito alcanzado, las enormes posibilidades que brindan y su uso masivo, las han hecho situarse en el punto de mira de los ciberatacantes que no dudan en explotar los riesgos y vulnerabilidades que tienen tanto las plataformas que sustentan estas redes sociales como las personas u organizaciones que las utilizan.
Una vez más, el eslabón más débil de esta cadena vuelve a ser el factor humano por su escasa concienciación y su exceso de confianza a la hora de emplear estas redes.
En general, los riesgos asociados a las redes sociales son los mismos que los del resto de actividades y/o servicios en Internet: grandes dificultades para eliminar la información subida, el acceso futuro por terceros (el derecho a cambiar de opinión es nulo y será muy difícil borrar cualquier opinión, fotografía o vídeo subido a la red) y la dificultad de discernir entre información veraz y propaganda o manipulación.
En este punto hay que recordar la importancia que tiene la configuración de seguridad del dispositivo (sistema operativo y navegador) utilizado para conectarse a Internet y, de esta manera, acceder a las redes sociales.
Actualmente, las redes sociales se han convertido en una herramienta muy importante para las empresas, permitiendo dar a conocer sus productos o servicios y un trato más cercano con los clientes o posibles clientes [Ref. – 1].
Son muchas las ventajas que aportan las redes sociales a una empresa:
► Mediante la analítica del uso de las redes sociales se pueden obtener datos sobre las características de los seguidores como género, edad o ubicación y sus preferencias de uso, que pueden ser útiles a la hora de lanzar una determinada campaña comercial, maximizando los beneficios de esta.
► También son una buena herramienta para captar nuevos clientes y conocer lo que piensan sobre tus servicios o productos.
► Permiten aumentar el tráfico web haciendo que la web de la empresa se posicione mejor en los buscadores y aumentando así su visibilidad.
► Sirven para potenciar la marca con la colaboración de los propios usuarios de la red social.
No obstante, las redes sociales también pueden suponer un riesgo para la empresa, una mala gestión de las mismas, un comentario inoportuno o los ciberdelincuentes pueden afectar negativamente a la imagen o a la reputación de tu empresa.
2. Posibles riesgos de su uso
Generar una imagen y reputación de la empresa en las redes sociales no es tarea fácil y lo que
ha costado esfuerzo y tiempo en crear se puede perder en un instante por un fallo o una mala
gestión. Las siguientes circunstancias suponen riesgos para la empresa en el uso de las redes sociales.
► 2.1. – ERROR HUMANO
Muchos de los incidentes que afectan a la reputación y a la seguridad de la empresa en las redes sociales tienen su origen en el error humano. Algunos de los errores más habituales que se producen consisten en publicar juicios de valor personal en representación de la empresa y el intercambio de comentarios con un tono elevado.
Otro error humano que afecta a la seguridad de la empresa, y que se comete tanto a través del perfil de la empresa, como del personal de los empleados, es hacer pública información que debería ser privada. En otros casos publicar detalles sobre la empresa donde se trabaja o del evento al que se va a acudir puede ser usado por un ciberdelincuente para atacar a la empresa.
► 2.2. – CONFIGURACIONES DE PRIVACIDAD DÉBILES
Tener una configuración de privacidad débil [Ref. – 2] en los perfiles profesionales de redes sociales, es un riesgo para la seguridad la empresa y para la imagen que se quiere proyectar al usuario. Cada red social tiene opciones de privacidad que deben ser revisadas.
Como en cualquier servicio que requiere credenciales de acceso, utilizar una contraseña débil puede poner en riesgo el perfil empresarial. Si las credenciales son robadas o se usan contraseñas fáciles de intuir, cualquiera podría publicar en nombre de la empresa o comunicarse con nuestros seguidores.
Permitir que cualquier empleado pueda publicar en la página o grupo de la empresa puede ser un riesgo, ya que la imagen que se quiere dar al público terminará diluyéndose. La empresa debe definir la imagen que quiere dar, qué se publica y qué no, en qué tono o lenguaje, cómo se responde a los clientes y a las quejas, etc. Solo empleados autorizados y conocedores de ello deben publicar contenidos.
Las aplicaciones que tienen acceso a los perfiles de redes sociales también pueden suponer un riesgo para la privacidad, ya que podríamos otorgarles acceso (permisos) a determinados datos (como seguidores o clientes) que se deberían mantener en privado.
► 2.3. CAMPAÑAS DE FRAUDE: SUPLANTACIÓN, MALWARE Y PHISING
Los ciberdelincuentes [Ref. – 3] también acechan en las redes sociales mediante diferentes tipos de campañas. Los fraudes que realizan pueden ser llevados a cabo de varias formas, pero el objetivo final siempre será su propio beneficio económico. Para obtener este beneficio, los ciberdelincuentes cuentan con varios métodos:
► Fraude por suplantación de clientes o proveedores. Los ciberdelincuentes pueden crear perfiles falsos suplantando a un cliente o proveedor para modificar datos en su beneficio. Podría modificar, por ejemplo, la cuenta de facturación, direcciones de envío, etc.
► Campañas de malware. El envío de software malicioso por medio de los perfiles en redes sociales también es utilizado por los ciberdelincuentes para infectar los equipos de las víctimas. Para engañar a las víctimas utilizan diferentes técnicas como hacerse pasar por un cliente, un proveedor o incluso por alguien de la empresa. Terminan dirigiendo a la víctima a sitios web maliciosos donde descargarán el malware al hacer clic en un anuncio o simplemente por visitarla. En otros casos, lo envían adjunto en mensajes privados dando como resultado, en ambos casos, la infección del equipo.
► Campañas de phishing. Los ciberdelincuentes pueden hacerse pasar por una marca conocida y redirigir a la víctima a una página web fraudulenta donde robar información personal, bancaria y datos de la empresa.
3. Medidas de seguridad
Los riesgos anteriores pueden afectar a la reputación de la empresa, además de causar infecciones por malware, fugas de información y otros incidentes de seguridad. Para evitarlos tendremos que tomar algunas medidas.
A continuación, se indican los principales consejos que se pueden dar como buenas prácticas en el uso de redes sociales:
Destacamos algunas de las medidas más importantes:
► 3.1. – CONTRASEÑA DE ACCESO
El primer aspecto a tener en cuenta como en cualquier servicio o aplicación que se use en la empresa es requerir una contraseña de acceso robusta. En este caso, la contraseña es la llave de acceso a la red social. Si alguien no autorizado accede al perfil de nuestra red social podría publicar en nuestro nombre o acceder a nuestros seguidores mediante mensajes directos, deteriorando la imagen de la empresa.
La mayoría de redes sociales permiten habilitar el doble factor de autenticación [Ref. – 4], que obliga a tener, además de la contraseña, otro factor (huella, código de un solo uso, etc.) para permitir el acceso. Siempre que sea posible se activará. Así, en caso de que la contraseña sea capturada por un ciberdelincuente, no tendrá acceso si no conoce el segundo factor.
► 3.2. – SENTIDO COMÚN
El sentido común es una de las mejores herramientas que se tienen en ciberseguridad, y en el uso de las redes sociales también aplica. Antes de publicar cualquier información de la empresa o en
nombre de ella, tenemos que pensar si puede ser usada en contra o puede afectar negativamente a la imagen de esta. Por el bien de la empresa y porque pueden ser constitutivos de delito, debemos evitar:
» lanzar comentarios inoportunos, negativos o inapropiados, como quejas laborales;
» emitir juicios de valor;
» enfrascarnos en discusiones sin sentido, insultar, amenazar o acosar;
» propagar noticias falsas;
» dar información confidencial o sujeta a propiedad intelectual, etc.
► 3.3. – PRIVACIDAD
Configurar correctamente las opciones de privacidad de los diferentes perfiles reducirá, en gran medida, los intentos de fraude por parte de ciberdelincuentes. Las opciones de privacidad [Ref. – 5] deben estar configuradas lo más restrictivamente posible, sin que llegue a afectar al objetivo fijado por la empresa para la red social, como puede ser comunicarse con los clientes y establecer una relación más cercana.
► 3.4. -MALWARE Y ENLACES
El malware también se ha colado en las redes sociales. Los ciberdelincuentes tienen dos métodos, principalmente, para difundir este tipo de software malicioso, mediante documentos adjuntos en mensajes dentro de la propia red o por medio de sitios web de terceros.
Cualquier tipo de documento adjunto enviado por la red social se ha
de considerar como una potencial amenaza y se tomarán todas las
medidas de seguridad necesarias como analizarlo con el antivirus o con herramientas como Virustotal [Ref. – 6]. También se prestará especial atención a la extensión del archivo, como ya se indicó en el recurso formativo 4, El correo electrónico, principales fraudes y riesgos. Ante la menor duda no se ejecutará el archivo adjunto. Además, los dispositivos desde los que se utilicen redes sociales, como sucede con cualquier otro dispositivo, siempre deben contar con soluciones antimalware, sistema operativo y otro software actualizado.
De manera similar, sucede con los enlaces, estos pueden redirigir a
sitios web fraudulentos de tipo phishing o a sitios web donde descargar archivos infectados. Ante la menor duda con el enlace se evitará acceder al sitio web.
4. Referencias
► VIRUSTOTAL – https://www.virustotal.com/gui/home/upload
► Ángeles – Centro Criptológico Nacional CNN – https://angeles-elearning.ccn-cert.cni.es/
► OSI – Recursos – Guía de privacidad y seguridad en Internet – https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet
► Protege tu empresa – Blog-¡Es el día de los tuiteros! Aprovecha para revisar la seguridad de tu cuenta – https://www.incibe.es/protege-tu-empresa/blog/el-dia-los-tuiteros-aprovecha-revisar-seguridad-tu-cuenta
Archivos adjuntos1
-
Add a note