Facebook estima que entre 50 y 100 millones de sus cuentas activas son perfiles falsos y en abril de 2021 se publicó información personal de 533 millones de usuarios de 106 países; LinkedIn sufrió en junio del mismo año una fuga de información con los perfiles de 700 millones de usuarios; y una encuesta de Censusweb señalaba que el 25% de los usuarios había sufrido pérdida de información personal y, de ellos, casi uno de cada dos había sido a través de redes sociales.
El número de ataques no deja de aumentar hasta el punto de que desde CISOVERSO, la comunidad privada de los profesionales de la ciberseguridad, calculan que uno de cada cinco usuarios de redes sociales será atacado en las próximas 24 horas. Y es que las redes sociales se han convertido en una vía habitual de acceso a información personal o relacionada con el trabajo que permite a los hackers recopilar datos de contactos para realizar ataques de phishing dirigidos mediante el envío de spam o bien para hacer ataques de fuerza bruta.
Coincidiendo con el Día Mundial de las Redes Sociales, que se celebra cada 30 de junio, desde CISOVERSO recuerdan la necesidad de concienciar sobre la información que se comparte en redes sociales y que, pese al aumento de nuevas redes sociales y plataformas digitales para compartir contenido, las vías habituales de ciberataque siguen siendo las más simples y la recomendación principal sigue siendo denunciar el delito.
Un 6% de los compradores españoles no sabría qué hacer en caso de ser consciente de haber sido víctima de un ciberataque aunque la mitad (56%) denunciaría el hecho ante la policía. En la práctica, según un estudio de TransUnion, solo lo hace el 21%. Por otro lado, tres de cada cinco (56%), al menos, admiten que contactaría con las empresas implicadas, es decir, con el comercio y con el emisor de la tarjeta para avisar del fraude, aunque en la práctica solo lo hace el 43%.
“La forma más fácil para hackear perfiles de redes sociales o para conseguir datos personales sigue siendo el phishing”, destaca Enrique Serrano, fundador de HackRocks y miembro del consejo de CISOVERSO. “Los usuarios reciben un email, un mensaje o una foto de alguien conocido o cercano y acaban pulsando sobre un enlace que contiene algún código malicioso que permite al cibercriminal comprometer la cuenta y hacerse con la información que le interesa”, añade.
Una información que cada vez es más valiosa en el ámbito empresarial para recopilar información sobre cargos en una empresa o datos sensibles sobre la compañía. Ese email que se recibe desde el departamento de RR.HH dando la enhorabuena por el nuevo puesto de trabajo y que pide firmar un documento ¿es seguro o es un email fraudulento? Y ese mensaje que llega de alguien del equipo técnico pidiendo hacer clic en un enlace para dar de alta la nueva cuenta en la VPN corporativa, ¿es fiable o será otro cibercriminal esperando que la víctima pique?
Según el MI5, más de 10.000 británicos han sido contactados por perfiles falsos en LinkedIn en los últimos cinco años; en el informe State of the Phish 2022, el 83 % de los encuestados reconoce que su empresa sufrió un exitoso ataque de phishing en el último año y Verizon señala en otro estudio que los ataques de phishing son responsables del 80 % de las infecciones de malware y del 95 % de los ataques de espionaje empresarial.
Phishing en redes sociales
Desde CISOVERSO recopilan algunos de los ejemplos más habituales y sencillos de phishing en redes sociales.
- Facebook. Hay tres ejemplos habituales: un mensaje o enlace desde Facebook Messenger que pide al usuario reconfirmar o actualizar su información personal y preferencias; un mensaje de un amigo que te invita a ver una foto o acceder a una promoción; un email de Facebook que te advierte de un posible incidente de seguridad y te requiere actualizar tu contraseña a través de un enlace.
- Instagram. Además de los mensajes de aviso de cambio de políticas de privacidad y actualización de condiciones de servicio, el riesgo en Instagram está en la sincronización con aplicaciones de terceros (edición de fotos y filtros especiales, análisis de seguidores…) para las que hay que conectarse a través del perfil del usuario. Si esas aplicaciones de terceros son un engaño o no son fiables el usuario entrega fácilmente sus credenciales a los cibercriminales.
- LinkedIn. La dificultad en esta red es que la compañía cuenta con varios dominios válidos que pueden llevar a confusión al usuario. Lo habitual es recibir solicitudes de amistad de perfiles falsos que poco a poco intentarán ir sacando información o bien mensajes de actualización de políticas de seguridad.
- Twitter. Se ha convertido en una popular plataforma para ataques de phishing. Los hackers usan las mismas técnicas y ataques de phishing que en otras redes sociales, aunque el más habitual es el del profesional o hacker que te promete conseguir muchos followers por un par de euros. Al hacer el pago del servicio se comprometen los datos.
- TikTok y Twitch. Es habitual en ambas redes la estafa a través de perfiles falsos de famosos para robar dinero a sus seguidores. El estafador crea falsos perfiles en los que se hace pasar por un famoso, cuelga videos del famoso que coge de otras redes y reproduce y pide donaciones para una supuesta buena causa a sus seguidores.
- WhatsApp. Además de los mensajes reenviados con promociones y cupones fantásticos que vienen acompañados de un enlace malicioso también es frecuente el mensaje de un amigo o familiar con el que hace tiempo que no hablas y que justo te escribe por un problema de dinero en el aeropuerto o por estar de viaje en otro país.