Hola amigos,
Aprovechando los comienzos nuevo año, probablemente ya hayáis pensado en esos propósitos que pensáis abordar durante este 2016: desde ponerte en forma e ir al gimnasio hasta, por ejemplo, tener pareja.
Aunque os sorprenda, algunas de las páginas más frecuentadas en la red son aquéllas asociadas a las relaciones, tanto para buscar parejas estables (como Meetic), otras para relaciones más efímeras (como Tinder) o para buscar relaciones extra-matrimoniales (como es el caso de AshleyMadison). Antes de continuar, y por si a alguno le ha entrado la curiosidad, esta última página (AshleyMadison) ha sido hackeada recientemente y muchos de sus usuarios se han visto envueltos en temas de extorsiones y demás. Piénsalo bien antes de asociarte a estas redes sociales.
Está claro que el uso de las redes sociales, debido a la tranquilidad de poder gestionarlo todo desde casa o en la comodidad que nos da un teléfono móvil, nos dan una falsa sensación de intimidad. Sin embargo debéis saber que todas las acciones que hacéis en la vida "tecnológica" tienen consecuencias en la vida real, tal y como se pudo comprobar en la entrada que realicé sobre el racismo en internet.
En relación a esta falsa sensación de intimidad, donde parece que lo que hacemos no tiene represalias, os invito a que leáis un libro llamado 'El juego de Ender', un libro de ciencia ficción en la que niños son entrenados para ser pilotos de guerra mediante un videojuego que "simula" el combate, cuando en realidad lo que utilizaban no era en absoluto un juego. ¡Muy recomendable!
Aprovechando los comienzos nuevo año, probablemente ya hayáis pensado en esos propósitos que pensáis abordar durante este 2016: desde ponerte en forma e ir al gimnasio hasta, por ejemplo, tener pareja.
Aunque os sorprenda, algunas de las páginas más frecuentadas en la red son aquéllas asociadas a las relaciones, tanto para buscar parejas estables (como Meetic), otras para relaciones más efímeras (como Tinder) o para buscar relaciones extra-matrimoniales (como es el caso de AshleyMadison). Antes de continuar, y por si a alguno le ha entrado la curiosidad, esta última página (AshleyMadison) ha sido hackeada recientemente y muchos de sus usuarios se han visto envueltos en temas de extorsiones y demás. Piénsalo bien antes de asociarte a estas redes sociales.
Está claro que el uso de las redes sociales, debido a la tranquilidad de poder gestionarlo todo desde casa o en la comodidad que nos da un teléfono móvil, nos dan una falsa sensación de intimidad. Sin embargo debéis saber que todas las acciones que hacéis en la vida "tecnológica" tienen consecuencias en la vida real, tal y como se pudo comprobar en la entrada que realicé sobre el racismo en internet.
En relación a esta falsa sensación de intimidad, donde parece que lo que hacemos no tiene represalias, os invito a que leáis un libro llamado 'El juego de Ender', un libro de ciencia ficción en la que niños son entrenados para ser pilotos de guerra mediante un videojuego que "simula" el combate, cuando en realidad lo que utilizaban no era en absoluto un juego. ¡Muy recomendable!
Volviendo al tema de las parejas, sobre todo para aquéllos que utilizan este tipo de páginas para encontrar su media naranja, probablemente hayáis puesto mucha información personal para que el algoritmo correspondiente te busque matemáticamente las personas con las que eres más compatible.
Es por ello que, de cara a que tengáis toda la información posible, os quiero dejar algunos de los problemas que muchos investigadores sacan a la luz con este tipo de páginas. Dicho esto, no estoy comentado que no utilicéis estas páginas, sino que las utilicéis con la mayor precaución posible:
Datos Personales
Estas páginas web requieren que des de alta un perfil donde, aparte de tu nombre, apellidos y edad, incluyes otros aspectos de tu persona y tus gustos, en algunos casos incluso afiliaciones políticas y religiosas, o el rango salarial en el que te mueves.
Obviamente, esta información puede utilizarse para indagar en la vida personal de un individuo concreto, obteniendo además datos personales y que, para muchos, son intimidades secretas de cada uno. En algunos casos, el mero hecho de estar en una de estas páginas puede ser ya un tema meramente personal; por ejemplo, alguien que tenga un perfil en la plataforma de citas enfocado al público homosexual (como es el caso de Grindr) puede ya dar datos sobre una persona que quizás no quiere que sea de conocimiento público.
Esos datos personales pueden utilizarse para infinidad de cosas, como por ejemplo para casos de 'doxing'. El 'doxing' consiste en el uso de la información recopilada sobre una persona, con la intención de hacer ataques de ingeniería social con ella. Hablé sobre este tipo de cosas en esta entrada.
Alguno pensará que puedes incluir información falsa en estas páginas, simplemente para "ver lo que hay"... Pero, ¿qué sentido tiene meterte en una página para relacionarte con gente en la que empiezas publicando información no veraz? Utilices información falsa o no, espera que el resto de personas también lo pueda hacer... aunque, en mi humilde opinión, ya pierde todo el sentido el utilizar este tipo de plataformas.
Estas páginas web requieren que des de alta un perfil donde, aparte de tu nombre, apellidos y edad, incluyes otros aspectos de tu persona y tus gustos, en algunos casos incluso afiliaciones políticas y religiosas, o el rango salarial en el que te mueves.
Obviamente, esta información puede utilizarse para indagar en la vida personal de un individuo concreto, obteniendo además datos personales y que, para muchos, son intimidades secretas de cada uno. En algunos casos, el mero hecho de estar en una de estas páginas puede ser ya un tema meramente personal; por ejemplo, alguien que tenga un perfil en la plataforma de citas enfocado al público homosexual (como es el caso de Grindr) puede ya dar datos sobre una persona que quizás no quiere que sea de conocimiento público.
Esos datos personales pueden utilizarse para infinidad de cosas, como por ejemplo para casos de 'doxing'. El 'doxing' consiste en el uso de la información recopilada sobre una persona, con la intención de hacer ataques de ingeniería social con ella. Hablé sobre este tipo de cosas en esta entrada.
Alguno pensará que puedes incluir información falsa en estas páginas, simplemente para "ver lo que hay"... Pero, ¿qué sentido tiene meterte en una página para relacionarte con gente en la que empiezas publicando información no veraz? Utilices información falsa o no, espera que el resto de personas también lo pueda hacer... aunque, en mi humilde opinión, ya pierde todo el sentido el utilizar este tipo de plataformas.
Acosos, extorsiones y ciber-bullying
Creo que no es necesario que haga explicaciones de estos casos. Son numerosos los casos de acoso que se sufre debido a este tipo de prácticas. Sobre todo en edades tempranas, donde el uso viral de información íntima se ha visto reflejado varias veces en muertes por suicidio, el aumento de la violencia u otros detonantes.
Llevamos ya varios meses desde la fuga de datos ocurrida en las bases de datos de Ashley Madison, la red social utilizada para buscar 'aventuras' fuera de las relaciones convencionales. Sin embargo, todavía a día de hoy se evidencian casos en los que se utiliza la información de contenido sexual de esta base de datos para conseguir dinero a cambio de silencio, extorsión en estado puro.
Creo que no es necesario que haga explicaciones de estos casos. Son numerosos los casos de acoso que se sufre debido a este tipo de prácticas. Sobre todo en edades tempranas, donde el uso viral de información íntima se ha visto reflejado varias veces en muertes por suicidio, el aumento de la violencia u otros detonantes.
Llevamos ya varios meses desde la fuga de datos ocurrida en las bases de datos de Ashley Madison, la red social utilizada para buscar 'aventuras' fuera de las relaciones convencionales. Sin embargo, todavía a día de hoy se evidencian casos en los que se utiliza la información de contenido sexual de esta base de datos para conseguir dinero a cambio de silencio, extorsión en estado puro.
Geo-localización
Cada vez es más frecuente que, para encontrar esas personas que están en tu situación de búsqueda de relaciones o amistades por vuestra zona, se recurre a la geo-localización. En otras palabras, se utiliza el GPS de vuestro dispositivo móvil para deciros a qué distancia se encuentran personas en la misma situación que vosotros.
Sin embargo, una vulnerabilidad ocurrida en Tinder, aunque ya está corregida, permitía de manera muy fiable localizar la posición física de una persona mediante lo que se llama la 'trilateración'. Este método matemático permite determinar la posición relativa de un objeto basándose en dos o más puntos de referencia. Es decir, por poner un ejemplo, cuando veis la típica escena policíaca en la que utilizan las antenas de teléfono para saber dónde se encuentra una persona, haciendo referencia a las tres antenas que tiene más cerca y localizándolo donde se interseccionan todos los puntos... Pues es justo eso lo que ha ocurrido.
Volviendo al caso de Tinder, y a la funcionalidad de identificar la distancia a la que estás de una persona, únicamente bastaba con tener otros dos perfiles falsos para que, apuntando a una misma persona, se obtuviesen tres distancias precisas. Con estos datos, se conseguía la posición exacta (en un radio de 30 metros) de una persona.
¿Para qué puede servir esta información? Para saber a qué colegio llevas a tus hijos, para saber dónde tienes el trabajo o dónde está tu casa, saber cuándo estás en tu domicilio o cuándo has salido... En definitiva, era una herramienta muy potente para monitorizar la ubicación de otra persona.
Aparte de corregir la manera en la que se transmitía esta información, que era el foco de la vulnerabilidad encontrada, se ha arreglado esta situación y otras aplicaciones han ajustado sus parámetros para que no permitan localizar de manera tan precisa.
Cada vez es más frecuente que, para encontrar esas personas que están en tu situación de búsqueda de relaciones o amistades por vuestra zona, se recurre a la geo-localización. En otras palabras, se utiliza el GPS de vuestro dispositivo móvil para deciros a qué distancia se encuentran personas en la misma situación que vosotros.
Sin embargo, una vulnerabilidad ocurrida en Tinder, aunque ya está corregida, permitía de manera muy fiable localizar la posición física de una persona mediante lo que se llama la 'trilateración'. Este método matemático permite determinar la posición relativa de un objeto basándose en dos o más puntos de referencia. Es decir, por poner un ejemplo, cuando veis la típica escena policíaca en la que utilizan las antenas de teléfono para saber dónde se encuentra una persona, haciendo referencia a las tres antenas que tiene más cerca y localizándolo donde se interseccionan todos los puntos... Pues es justo eso lo que ha ocurrido.
Volviendo al caso de Tinder, y a la funcionalidad de identificar la distancia a la que estás de una persona, únicamente bastaba con tener otros dos perfiles falsos para que, apuntando a una misma persona, se obtuviesen tres distancias precisas. Con estos datos, se conseguía la posición exacta (en un radio de 30 metros) de una persona.
¿Para qué puede servir esta información? Para saber a qué colegio llevas a tus hijos, para saber dónde tienes el trabajo o dónde está tu casa, saber cuándo estás en tu domicilio o cuándo has salido... En definitiva, era una herramienta muy potente para monitorizar la ubicación de otra persona.
Aparte de corregir la manera en la que se transmitía esta información, que era el foco de la vulnerabilidad encontrada, se ha arreglado esta situación y otras aplicaciones han ajustado sus parámetros para que no permitan localizar de manera tan precisa.
Vínculo a otras redes sociales
Para los que utilizáis estas páginas habitualmente, sabréis que en muchos casos que se os piden daros de alta utilizando vuestro usuario y contraseña de Facebook, Google+ u otras redes sociales. Por una parte, será más cómodo para vosotros, ya que supone utilizar una cuenta de email y una contraseña con la que ya estáis familiarizados.
Sin embargo, lo que mucha gente no percibe es que le estás dando tu usuario y contraseña de las redes sociales a una página web que no sabes a ciencia cierta qué van a hacer con esa información.
Hoy en día son muchos los casos en los que el robo de identidades aparece en las noticias, y el primer paso para evitarlo está en nuestras manos. Al fin y al cabo, ¿quién impide a alguien que revise tu perfil de las redes sociales para saber, por ejemplo, el nombre de pila de tu madre, tu matrícula del coche o el nombre de tu mascota? Pues estas cuestiones son las más comunes para ser las respuestas de las preguntas de seguridad que se utilizan para restablecer una contraseña.
Es decir, le estás ofreciendo la posibilidad de conocer las respuestas necesarias para poder cambiar tu contraseña y, de este modo, usurpar tu propia cuenta de las redes sociales... ¡Y lo peor es que la información la has ofrecido tú mismo!
Para los que utilizáis estas páginas habitualmente, sabréis que en muchos casos que se os piden daros de alta utilizando vuestro usuario y contraseña de Facebook, Google+ u otras redes sociales. Por una parte, será más cómodo para vosotros, ya que supone utilizar una cuenta de email y una contraseña con la que ya estáis familiarizados.
Sin embargo, lo que mucha gente no percibe es que le estás dando tu usuario y contraseña de las redes sociales a una página web que no sabes a ciencia cierta qué van a hacer con esa información.
Hoy en día son muchos los casos en los que el robo de identidades aparece en las noticias, y el primer paso para evitarlo está en nuestras manos. Al fin y al cabo, ¿quién impide a alguien que revise tu perfil de las redes sociales para saber, por ejemplo, el nombre de pila de tu madre, tu matrícula del coche o el nombre de tu mascota? Pues estas cuestiones son las más comunes para ser las respuestas de las preguntas de seguridad que se utilizan para restablecer una contraseña.
Es decir, le estás ofreciendo la posibilidad de conocer las respuestas necesarias para poder cambiar tu contraseña y, de este modo, usurpar tu propia cuenta de las redes sociales... ¡Y lo peor es que la información la has ofrecido tú mismo!
Exposición a virus y otras amenazas
Como en cualquier otra página web, estamos expuestos a anuncios con contenido malicioso. Sin embargo, la peculiaridad de estos sitios de internet es que los anuncios se dirigen a la temática de la página, intentando engañar al usuario a hacer click en su contenido y, al hacerlo, se infectaría con 'ransomware', ese tipo de malware que infecta el ordenador, cifra todo su contenido y posteriormente se le pide a la víctima que pague un rescate a cambio de, supuestamente, recuperar sus datos.
Esto le ocurrio a la página de citas Match.com durante el verano de 2015. Mediante anuncios maliciosos, los delincuentes conseguían infectar a numerosas víctimas que visitaban la página web en busca de su media naranja.
Hay más información de este tipo de ataques en la entrada donde se explicaban los tipos de software malicioso más comunes. Esa entrada la puedes ver pulsando en este enlace.
Como en cualquier otra página web, estamos expuestos a anuncios con contenido malicioso. Sin embargo, la peculiaridad de estos sitios de internet es que los anuncios se dirigen a la temática de la página, intentando engañar al usuario a hacer click en su contenido y, al hacerlo, se infectaría con 'ransomware', ese tipo de malware que infecta el ordenador, cifra todo su contenido y posteriormente se le pide a la víctima que pague un rescate a cambio de, supuestamente, recuperar sus datos.
Esto le ocurrio a la página de citas Match.com durante el verano de 2015. Mediante anuncios maliciosos, los delincuentes conseguían infectar a numerosas víctimas que visitaban la página web en busca de su media naranja.
Hay más información de este tipo de ataques en la entrada donde se explicaban los tipos de software malicioso más comunes. Esa entrada la puedes ver pulsando en este enlace.
Engaños, estafas y tramas
A pesar de ser uno de los casos menos conocidos, las estafas son los tipos de amenazas más comunes en este tipo de entornos. Sin embargo, debido a la sensación de impotencia una vez que una víctima ha sido engañado, no tienden a hacerse públicos y las propias víctimas intentan pasar desapercibidas por la humillación.
Estos casos son los que acarrean mayores pérdidas habitualmente, ya que los tipos de engaño son muy variados.
En lo referido a los engaños, siempre se suele destacar a las mafias rusas, quienes suelen estar detrás de la búsqueda de víctimas que, intentando conseguir algo fácil o ya en la desesperación de no encontrar una media naranja, se dirigen a sitios donde se propone encontrar esposas extranjeras de manera sencilla. Sin embargo, debo destacar que estas prácticas no se realizan únicamente con personas del este, sino que ya es una práctica bastante extendida a lo largo del planeta.
Todo comienza como una relación "normal", con alguien con quien aparentemente tienes una 'conexión especial' y que, en pocos días, parece que fluye el amor. Es en este momento cuando la persona que viene de fuera propone ir a visitarte pero, justo cuando intenta salir del país, te llama urgentemente por teléfono porque tiene problemas en aduanas y no la dejarán salir a menos que pague un impuesto, pero no tiene el dinero. Es en ese momento cuando, debido a la ansiedad creada, la víctima paga el dinero (que suele ser de media entre 2.000 y 4.000€) para que su 'amor' vaya a visitarle.
Obviamente, la historia de amor acaba muy mal para la víctima, que no vuelve a saber de la otra persona. Se han dado casos en los que, incluso después de haber pagado el dinero, los delincuentes siguen con excusas para seguir extorsionando dinero de la víctima.
Lo que mucha gente no conoce del 'inframundo' de esta situación es que estas mafias se entrenan para casos como estos. De hecho, muchas de las conversaciones que tienen las víctimas a través de la mensajería instantánea (Skype, Facebook chat, etc.) se hacen con robots que, mediante algoritmos, utilizan plantillas para enganchar a las víctimas (tal y como se ve en la foto anterior) y, cuando se requiere de una llamada telefónica que tranquilice a la víctima, existen servicios de 'Call Center' que mantienen el engaño. Es decir, existen centralitas que dan el servicio de utilizar las indicaciones y las características que la víctima ha dicho en las conversaciones o de información que se ve en las redes sociales para que piensen que la relación es real, y no parte de una estafa.
No sólo estos son los ataques menos reportados, sino que se les asocia un impacto mucho mayor ya que, aparte del impacto financiero que puede tener sobre una persona, hay un impacto emocional que muchos no llegan a superar, acabando en suicidio en más de una ocasión.
A pesar de ser uno de los casos menos conocidos, las estafas son los tipos de amenazas más comunes en este tipo de entornos. Sin embargo, debido a la sensación de impotencia una vez que una víctima ha sido engañado, no tienden a hacerse públicos y las propias víctimas intentan pasar desapercibidas por la humillación.
Estos casos son los que acarrean mayores pérdidas habitualmente, ya que los tipos de engaño son muy variados.
En lo referido a los engaños, siempre se suele destacar a las mafias rusas, quienes suelen estar detrás de la búsqueda de víctimas que, intentando conseguir algo fácil o ya en la desesperación de no encontrar una media naranja, se dirigen a sitios donde se propone encontrar esposas extranjeras de manera sencilla. Sin embargo, debo destacar que estas prácticas no se realizan únicamente con personas del este, sino que ya es una práctica bastante extendida a lo largo del planeta.
Todo comienza como una relación "normal", con alguien con quien aparentemente tienes una 'conexión especial' y que, en pocos días, parece que fluye el amor. Es en este momento cuando la persona que viene de fuera propone ir a visitarte pero, justo cuando intenta salir del país, te llama urgentemente por teléfono porque tiene problemas en aduanas y no la dejarán salir a menos que pague un impuesto, pero no tiene el dinero. Es en ese momento cuando, debido a la ansiedad creada, la víctima paga el dinero (que suele ser de media entre 2.000 y 4.000€) para que su 'amor' vaya a visitarle.
Obviamente, la historia de amor acaba muy mal para la víctima, que no vuelve a saber de la otra persona. Se han dado casos en los que, incluso después de haber pagado el dinero, los delincuentes siguen con excusas para seguir extorsionando dinero de la víctima.
Lo que mucha gente no conoce del 'inframundo' de esta situación es que estas mafias se entrenan para casos como estos. De hecho, muchas de las conversaciones que tienen las víctimas a través de la mensajería instantánea (Skype, Facebook chat, etc.) se hacen con robots que, mediante algoritmos, utilizan plantillas para enganchar a las víctimas (tal y como se ve en la foto anterior) y, cuando se requiere de una llamada telefónica que tranquilice a la víctima, existen servicios de 'Call Center' que mantienen el engaño. Es decir, existen centralitas que dan el servicio de utilizar las indicaciones y las características que la víctima ha dicho en las conversaciones o de información que se ve en las redes sociales para que piensen que la relación es real, y no parte de una estafa.
No sólo estos son los ataques menos reportados, sino que se les asocia un impacto mucho mayor ya que, aparte del impacto financiero que puede tener sobre una persona, hay un impacto emocional que muchos no llegan a superar, acabando en suicidio en más de una ocasión.
¿Cómo protegeros de todo esto?
Como ya va siendo costumbre, os voy a dejar unos pocos consejos para que la tarea de buscar pareja o nuevas amistades no sea tan peligroso:
Como ya va siendo costumbre, os voy a dejar unos pocos consejos para que la tarea de buscar pareja o nuevas amistades no sea tan peligroso:
- Usad el sentido común. ¡Esto es lo más importante! Seguid vuestro instinto y consultad dudas o pedid ayuda a vuestros amigos.
- Procurad fijaros siempre que la página en la que estáis es efectivamente la página donde queréis estar. En muchas ocasiones los delincuentes mantienen páginas similares a las más visitadas, pero modifican la dirección ligeramente, para engañar a los usuarios. Es como si en lugar de entrar en FACEBOOK entráis en FACEBOKO.
- No pongáis toda la información que os piden, a menos que sea estríctamente necesario. Ninguna página tiene por qué saber el dinero que ganáis, el nombre de vuestros hijos o vuestros datos de tarjeta de crédito.
- Buscad referencias por internet u otras fuentes. Muchas veces son los propios usuarios los que comentan su experiencia de uso en distintos foros, sea bueno o sea malo.
- No está de más hacer una búsqueda de la otra persona por internet, sea por su nombre o por su nombre de usuario. Es posible que sea un estafador reportado, y nos ayudará a estar alerta que alguien lo haya manifestado.
- Si en cualquier momento os piden dinero, en cualquier excusa, ¡PENSAD! Cuando hay dinero de por medio debemos ser especialmente cuidadosos. Hay sitios web que requieren que pagues por un servicio, pero la persona con la que te han "juntado" no tiene por qué requerir tu dinero.
- A riesgo de que pueda tomarse de la manera equivocada, tenéis que pensar en un contacto en internet como en una compra de rebajas: Si parece demasiado bueno para ser verdad, es posible que no sea verdad. ¡No bajéis la guardia! Hay verdaderas empresas por detrás de conseguir que seas la víctima perfecta.
- Sed cautelosos y que no os puedan las ansias. Los delincuentes utilizan esa desesperación para salirse con la suya.
- Si utilizáis Facebook, Google+ u otras redes sociales para vincular una cuenta, cambiad la contraseña posteriormente. Ninguna página tiene por qué saber vuestra contraseña de acceso a vuestra vida privada.
- No hagáis nada de lo que sea posible que os arrepintáis. Cualquier momento "caliente" por la webcam, o fotos sensuales y subidas de tono, pueden acabar publicadas en internet o siendo utilizadas en vuestra contra a cambio de dinero.
- Si por lo que sea acabáis siendo víctimas de cualquiera de los casos que he comentado antes (aunque espero que no), reportadlo a las autoridades. También puede ser de ayuda que comentéis vuestro caso, aunque sea doloroso, para que otras personas puedan estar advertidas y no les ocurra lo que te ha pasado a ti.
Sin nada más que añadir, me despido por hoy. Disculpad el tamaño de esta entrada, pero he pensado que era necesario profundizar en este ámbito.
¡Mucha suerte cumpliendo vuestros propósitos para este nuevo año, y buscando vuestra media naranja!
¡Muchas Gracias!
Fran Security