Desde hace tiempo, con el uso de Facebook, LinkedIn, Tuenti, MySpace y demás, las redes sociales en Internet están de moda. Según la wikipedia, una red social es una estructura que se puede representar en forma de uno o varios grafos en los cuales los nodos representan individuos (a veces denominados actores) y las aristas relaciones entre ellos. Son aplicaciones Web que nos permiten conectar a las personas con sus amigos y conocidos e incluso realizar nuevas amistades. Además, permiten a los usuarios compartir contenido, interactuar y crear comunidades sobre intereses similares.

No es ningún secreto que las redes sociales han sido durante mucho tiempo, las plataformas más atractivas para los diversos tipos de delitos cibernéticos como el Spam , Phishing, Pharming y otras actividades, dado que poseen una serie de características que facilitan su uso fraudulento y que pueden ser explotadas para propósitos ilegítimos:

• Gran número de usuarios: está claro que cada vez proliferan más y disponen de una gran cantidad de objetivos potenciales.

• Confianza: dadas las relaciones entre los usuarios individuales y entre grupos de usuarios, es relativamente sencillo aprovecharse de ello.

• Gran número de usuarios temporales y distribuidos geográficamente.

• El analfabetismo informático de la gran mayoría de sus usuarios

Otra característica importante es que cualquier red social dispone de una API liberada para el desarrollo de terceros de manera que un desarrollador pueda crear aplicaciones que interactúen con los usuarios. En la mayoría de los casos, se supone que las aplicaciones creadas utilizando dicha API de la red social, no resultará dañina para la seguridad. Por otro lado, debido al gran crecimiento de aplicaciones creadas, controlarlas resulta una tarea imposible. 

Es decir, estás aplicaciones, inicialmente ajenas a la propia red social, se añaden sin realizar un exhaustivo control de seguridad que pueda garantizar su buen uso y la no inclusión de algún código malicioso. Como se ha comentado anteriormente, la confianza entre los usuarios de una red social facilita una expansión muy rápida de cualquier aplicación.

Pese a las advertencias o disclaimers y las políticas de uso y privacidad de cada red social, demasiados usuarios ni leen y desconocen que las redes sociales no se responsabilizan de las aplicaciones o de los daños que los desarrollos y aplicaciones de terceros, puedan ocasionar en la seguridad y el perfil de los usuarios.

El usuario tipo de una red social prefiere confiar en cualquier aplicación de forma predeterminada o que sea recomendada por alguna otra persona de su grupo de confianza. Como resultado, un atacante tiene la capacidad de agregar y distribuir Malware, Spam  o cualquier código malicioso aprovechándose de las propias relaciones de confianza dentro de la red.

En el caso de Facebook, que regularmente es objeto de todo tipo de ataques, sobre todo por gusanos, se ha demostrado que éstos han sido distribuidos gracias a aplicaciones desarrolladas con la propia API que proporciona Facebook a los desarrolladores.

Uno de los principales motivos para la creación de nuevas funcionalidades y aplicaciones en Facebook es la propagación de código malicioso para infectar las máquinas de los usuarios y poder controlarlas remotamente para fines poco éticos (Botnets).

La idea de utilizar una red social como puede ser Facebook para crear una Botnet, no es ninguna novedad. Aparte de querer controlar y manipular los equipos de los usuarios, existen más usos fraudulentos de las redes sociales como ataques de Denegación de Servicio (DoS) utilizando la propia red social, obtención de múltiple información privada de los usuarios, robos de identidad, grupos falsos no oficiales de Facebook prometiendo nuevas funcionalidades tras la instalación de algún malware, etc. 

El pasado 2009, un grupo de investigadores FORTH, crearon una aplicación que, sin el conocimiento ni consentimiento de los usuarios, provocaba ataques de DDoS (Denegación de Servicio Distribuida) contra un objetivo concreto previamente preestablecido. En este caso, era un servidor controlado por los propios investigadores.

La aplicación en sí se llamaba “Picture of the day”  y cargaba una imagen del National Geografic en el perfil de usuario. En paralelo, cuando el usuario realizaba un click para agrandar y ver esta nueva imagen que había aparecido en su perfil de usuario, se ejecutaba un código Javascript cargado en un Iframe oculto. Esta prueba de concepto, demostraba que lanzando este tipo de código era capaz de distribuir más de 240Gb de datos maliciosos en un solo día y bloquear un servidor únicamente utilizando el navegador web de los usuarios.

Para más información y detalle acerca de esta prueba de concepto realizada por FORTH, existe un informe donde se detalla todo el experimento. Antisocial Networks: Turning a Social Networkint a Botnet.

Como conclusión, tal y como evolucionan hoy en día las redes sociales y la facilidad con las que proporcionan el desarrollo y integraciones con sus respectivas APIs, cualquier usuario malicioso podría con demasiada facilidad crear un ataque simple y sencillo pero a la vez muy efectivo, como puede ser un DDoS.

Un usuario malicioso dispone de múltiples ventajas al crear una Botnet  dentro de Facebook o cualquier red social.

• Poder usar código Web tipo Javascript  e integrarlo con el API de la red social.

• Poder distribuir fácil y rápidamente cualquier programa malicioso, gracias a la relación de confianza que existe en este tipo de redes.

• Complejidad para frenar o bloquear un ataque de este tipo.

También existen inconvenientes:

• Dificultad para controlar la Botnets desde la red social.

• El uso de la mayoría de aplicaciones se limita a sólo unos minutos, minimizando así la eficacia de un ataque ya que los usuarios no están conectados a Facebook las 24 horas del día.

Otro uso fraudulento de las redes sociales es el de caso de Twitter que se explicó ya en Security By Default donde se había conseguido controlar Botnets y sincronizarlas vía twets. La red Tuenti tampoco se libra de este tipo de ataques (Tuenti).

Pese a todo, las redes sociales tienen muchas más ventajas que inconvenientes y con sentido común y un correcto uso de las mismas, proporcionan grandes momentos de ocio y entretenimiento. Hacktimes dispone también de su grupo en Facebook al que os podéis apuntar libremente (nosotros también queremos tener nuestra propia botnet ;-) ) ,y así seguir comentando los artículos y estar al día de todo lo que se va publicando:

HackTimes en Facebook