El internauta transparente
3 de febrero de 2010Redes sociales, tales como Facebook, LinkedIn y Xing crecen rápidamente. Se trata de sitios con millones de usuarios registrados y en los que se hallan almacenados sensibles datos personales. Cuatro investigadores del laboratorio Isec de seguridad en la técnica informática, una cooperación de la Universidad Técnica de Viena, el Instituto Eurecom y la Universidad de California, han logrado con un simple truco desanonimizar a los miembros de esos grupos: el peor caso imaginable para la comunidad de internautas.
Gilbert Wondracek, Thorsten Holz, Engin Kirda, Sophia Antipolis y Christopher Kruegel acaban de publicar un estudio en el que demuestran qué sencillo es desanonimizar a los internautas miembros de redes sociales. Información acerca de la pertenencia de un usuario a determinados grupos es a menudo suficiente para identificar a la persona.
Para determinar la pertenencia de un usuario a determinados grupos, los investigadores recurrieron a un ya muy conocida técnica de sustracción de la historia de los navegadores de Internet, bastante sencillo de llevar a cabo sin mayores conocimientos de informática.
Los navegadores de Internet, por ejemplo el Internet Explorer o Firefox, por nombrar a dos de los más conocidos y utilizados, almacenan la “historia de páginas visitadas”. Generalmente, los usuarios no la borran, a menudo por desconocimiento; otras veces porque se encuentran considerablemente ocultas en las profundidades del navegador.
Cuando un usuario de una red social visita un sitio preparado por los atacantes, ese sitio se apodera de la historia almacenada en la computadora del usuario, analiza las páginas visitadas y, si el internauta es miembro de una red social, lanza un ataque de desanonimización y lo identifica.
Consecuencias calamitosas
Las implicaciones de la técnica son calamitosas, ya que con poco esfuerzo puede afectar a millones de usuarios de redes sociales. Para demostrarlo, los investigadores lanzaron un ataque de ese tipo contra la red social Xing, de tamaño medio, con unos ocho millones de miembros.
Con el análisis de los datos llegaron a la conclusión de que el 42 por ciento de los usuarios de ese grupo puede ser unívocamente identificado, mientras que para el 90 por ciento de los restantes pudieron reducir el número de candidatos a 2,912 personas, es decir, con un 33 por ciento de probabilidad.
Los cuatro estudiaron también otras grandes redes sociales y llegaron a la conclusión de que los usuarios de Facebook y LinkedIn son igualmente vulnerables, si bien los ataques requerirían más recursos por parte de los atacantes.
Las redes sociales en Internet, tales como Facebook, LinkedIn, Twitter y Xing cobran creciente popularidad. Facebook, por ejemplo, crece a un ritmo del 3 por ciento semanal y a septiembre de 2009 tenía más de 300 millones de miembros registrados. El sitio tiene más de 30.000 millones de vistas de página por mes y es probablemente el banco de datos con el mayor número de fotos almacenadas en la red: más de 10.000 millones.
Está claro que, por sus características, las redes sociales aplican una estricta política de seguridad y tratan de asegurar la mayor privacidad posible a sus usuarios. Y efectivamente, los sitios de las redes sociales no son menos seguros que otro tipo de páginas web.
Lea en la segunda parte cómo inescrupulosos manipuladores pueden acceder a sus datos y los daños que pueden causar.
Informáticos han logrado con un simple truco identificar a internautas que participan en redes sociales. ¿Se transforma la web 2.0 en la spyweb 2.0?
Competidores, espías y Estados represores
La diferencia con otros sitios radica en el volumen de datos privados y probablemente sensibles que almacenan. Las redes sociales se utilizan para mantenerse en contacto con familiares, amigos y colegas, discutir en red sobre determinados temas y crear nuevos contactos profesionales o de negocios.
Si un atacante conoce el nombre de un internauta, tiene en sus manos un poderoso instrumento: con esa información puede extorsionarlo, enviarle spam y mensajes electrónicos de phishing hechos a medida, puede identificar competidores o amantes o inducirlo a proveer información sensible. Quien quiera obtener de usuarios del sistema de telebanco los números PIN y TAN puede enviarle un mail personal, presentándose como servicio bancario.
Estados dictatoriales pueden tender trampas, por ejemplo a través de servidores “anzuelo”, con contenidos críticos para con el régimen e incluso identificar visitantes que acceden a los contenidos a través de un servicios de anonimización, pues éstos no pueden impedir la transmisión de la historia de Internet. Y también los ladrones están de parabienes, pues pueden recoger, procesar y vender esa información. En pocas palabras, con la desanonimización la red de Internet se transforma en una red de espías, más que hasta ahora.
Alarmadas por tales resultados, las redes sociales buscan febrilmente antídotos. Xing, por ejemplo, invitó a los investigadores a desarrollar recetas contra la desanonimización. Pero también las otras redes no duermen. Uno de los principales problemas es que justamente en redes sociales con jóvenes usuarios es muy popular pertenecer a varios grupos... y cuanto más grupos, mejor funciona el ataque.
Autor: Pablo Kummetz
Editora: Emilia Rojas Sasse