lunes, 13 de febrero de 2017

Anatomía de un ataque basado en redes sociales. El reto de proteger el valor de una empresa en un contexto social y digitalmente modificado

Introducción
Las redes sociales han cambiado la forma como interactúan las personas. Es un medio que habilita una comunicación abierta y generalmente informal, donde se comparte todo tipo de expresiones (imágenes, video, audio) de afecto, rechazo, gusto, promoción, venta o posicionamiento, bien de un producto, servicio o sencillamente de la dinámica de la vida de una persona o comunidad.

En el contexto de las redes sociales son los individuos los que tienen la voz y la capacidad de influir, convocar o provocar sentimientos diversos (positivos, negativos o neutrales) respecto de situaciones, instituciones, productos o servicios, habida cuenta que su experiencia particular establece, posiblemente, un referente para otras personas que puedan estar interesadas en los mismos temas sobre los cuales opina a través de los medios sociales digitales (De luz, 2014).

El flujo de información que se moviliza por los medios sociales digitales sobrepasa la capacidad de procesamiento que se puede llegar a tener y por lo tanto, establece una fuente de datos, por lo general, no estructurados, que guardan las emociones y sentimientos de aquellos que los administran, bien sea a título personal o en el escenario de la estrategia de medios digitales de una empresa.

En consecuencia, los medios sociales digitales habilitan una puerta para el flujo de información de todo tipo, que enmarca una ventana abierta para que cada individuo pueda compartir y expresar sus reflexiones de forma directa con el mundo, e igualmente filtrar información personal, confidencial, estratégica o de negocio, que comprometa los activos digitales clave de la empresa y genere así, una pérdida de reputación, financiera y de conocimiento que atente contra los planes corporativos en su afán de conquistar una posición privilegiada en su entorno (Cano, 2012).

Toda expresión que se manifieste en medios digitales sociales, establece una huella y una sombra digital para la empresa o la persona. Mientras las publicaciones efectivas que se hacen en los medios sociales digitales establecen la huella de la empresa y su tono de conversación, la sombra es lo que la información publicada de manera agregada y analizada dice de la empresa. La huella digital está bajo el control de quien la publica, mientras la sombra digital está en manos de quien procesa la información y las intencionalidades de sus análisis (Brekle, 2015).

Por tanto, las redes sociales se convierten para las empresas modernas en una ventaja competitiva de visibilidad en un sector específica y en un vector de ataque clave, que con frecuencia es ignorado por los analistas, como quiera que la volatilidad de los comentarios que se hacen y la baja especialidad técnica que se requiere para su uso, lo hace menos atractivo para estos perfiles. Subvalorar la capacidad de influencia e impacto de las redes sociales en un entorno como el actual, es evadir la responsabilidad de la protección del valor de una empresa, que ahora se encuentra social y digitalmente modificada.

En este sentido, se presenta a continuación la anatomía de un ataque basado en redes sociales, los cuales generalmente son invisibles a la dinámica social, motivados por intereses de terceros no conocidos, ejecutados tanto actores estatales como no estatales, para provocar cambios de opinión, comportamiento o imagen de una nación, empresa o individuo.

Cambio en el panorama de las amenazas
Si bien se han publicado noticias sobre el incremento de los ataques en el contexto del internet de las cosas, como es el caso de la botnet Mirai, conformada por al menos 500.000 dispositivos como DVRs (Digital Video Recorder) y cámaras de vigilancia, los cuales generalmente están en manos de individuos, que afectaron 18 centros de datos de la empresa Dyn alrededor del mundo, perturbando más de 10 millones de direcciones IP y los servicios de empresas como Twitter, Amazon, Spotify y Netflix (Gates, 2017), las redes sociales se advierten como el foco de revisión y monitoreo más relevante para la seguridad de la información y la ciberseguridad, dada la volatilidad y volubilidad que se puede presentar con los mensajes, donde técnicamente es posible perder el control de aquello que se quiere transmitir a la audiencia global.

Es la información disponible, sus flujos y la forma como ella se puede analizar, la que establece ahora el nuevo normal para los especialistas en medios sociales digitales. La capacidad de monitorear patrones y confirmar tendencias, establecen los nuevos estándares de las empresas y sus campañas de mercadeo, para posicionar una marca, producto o persona a nivel global.

En este ejercicio, los riesgos claves que se advierten en el escenario son la capacidad de promover la desinformación de forma invisible, la inhabilidad para medir los impactos en una marca y la pérdida de control de los mensajes por el efecto del Crowd sourcing, donde la comunidad abierta participa para tratar de promover, compartir o resolver una problemática particular aportando su trabajo, dinero, conocimiento y/o experiencia, esperando un beneficio mutuo (Estellés y González, 2012).

Esta nuevas condiciones del entorno, que se mantienen activas con las constantes menciones en los medios del uso de plataformas como Twitter, Facebook o Instagram, generan la suficiente distracción para que, los especialistas en desinformar y crear escenarios contrarios actúen de forma inadvertida, con el fin de ir concretando mensajes y opiniones de acuerdo con las intenciones para las cuales se les haya contratado, y así cambiar las tendencias y elaborar imaginarios en las personas de forma sutil y prácticamente imperceptible, pero real y efectiva frente a la realidad.

La necesidad de las personas de comunicarse y compartir funda el contexto natural para identificar formas para hacer fluir la información. El engaño, la sugerencia de la “información debe ser libre”, la invocación de creencia, conceptos y valores en situaciones particulares, desarrolla el ambiente necesario para el atacante que se esconde detrás de la marea de información creada para motivar acciones específicas como robos de información sensible, espionaje corporativo, robos de identidad que comprometen no solo a las personas involucradas, sino que crean un efecto dominó sobre la empresa y su reputación.

Este nuevo panorama de amenazas, demanda el desarrollo de capacidades analíticas y de pronóstico que permitan detectar y anticipar posibles cambios de tendencias en los medios sociales digitales que puedan afectar en el mediano y largo plazo los objetivos estratégicos de la empresa, los cuales ahora son más visibles y sensibles a las opiniones de terceros, algunos interesados en apalancarlos y otros con intenciones no establecidas que pueden afectarlos.

Configurando un ataque a través de medios sociales digitales (Raggo, 2016)
El foco fundamental de un ataque premeditado a través de las redes sociales no es afectar la reputación o imagen de la empresa exclusivamente, sino capitalizar la confianza de los medios disponibles para crear el contexto necesario donde desarrollar y confirmar la sensación de veracidad de las publicaciones, que afecte la postura de los lectores respecto de un tema particular.

A continuación se detalla y explica un marco general de la anatomía de un ataque basado en redes sociales. Ver figura 1.

Figura 1. Anatomía de un ataque basado en redes sociales (Basado en: Raggo, 2016)

En primer lugar, el atacante debe conocer y detallar tanto la huella digital como la sombra digital de la empresa o la persona objetivo. Esto implicar una exploración y seguimiento detallado de las redes sociales más activas como son, entre otras, linkedin, Twitter, Facebook, Google+ e Instagram con el fin de establecer un perfil particular, la dinámica de sus conexiones, las posturas en sus publicaciones y sobre manera, la frecuencia con que hace frecuencia en cada una de ellas.

Una vez se tiene identificado la huella y la posible sombra digital del objetivo, se establece un monitoreo particular de las cuentas identificadas en cada una de las redes sociales, los #hashtag que usa con frecuencia, las menciones que tiene y las palabras clave que son utilizadas para generar las publicaciones en los medios sociales digitales. Esta información, permite elaborar y desarrollar una estrategia que habilite una posible suplantación de la presencia de la persona u organización, lo cual es viable ejecutarlos habida cuenta de la caracterización del tráfico generado por el objetivo.

El siguiente paso es la personificación del individuo u organización objetivo, creando perfiles con sutiles errores ortográficos, fotos semejantes a las originales retocadas con procesadores de imágenes, usando palabras claves y #hashtag equivalentes a las cuentas originales, siguiendo a personas o empresas similares, para crear la sensación de confianza y consistencia que se espera a través de las conexiones, seguidores y amigos.

Si lo anterior, motiva la generación de tráfico y seguidores en el nuevo perfil, se activa el uso de enlaces cortos, generalmente automatizados por las distintas redes sociales, para crear accesos maliciosos que comprometan la seguridad, la privacidad y el control de otras cuentas, motivando enlaces de phishing, descarga de aplicaciones con malware, en pocas palabras campañas que comprometan credenciales e información clave de las personas y las organizaciones que alteren la reputación y la imagen de la empresa o los individuos, con fines específicos.

Si el ataque resulta exitoso, se generará un marco de confusión, desconcierto y desconfianza donde la población de seguidores no sabrá quién tiene la verdadera cuenta, aumentando la inestabilidad de los mensajes de reparación o desestimación que se generen por parte de la empresa o persona. En este sentido es necesario, contar con un plan de atención de incidentes en redes sociales, que cuente con una estrategia clara que permita enfrentar, mitigar y superar la condición de incertidumbre creada y los posibles daños que se hayan podido causar por los enlaces maliciosos enviados desde las cuentas falsas personificadas.

Enfrentando el reto de un ataque a través de medios sociales digitales
Desarrollar una estrategia para enfrentar un ataque basado en redes sociales, implica más que afinar las tecnologías de seguridad informática vigentes frente a las URL maliciosas y la habilitación de un segundo factor de autenticación para las cuentas claves en las diferentes redes sociales disponibles de las empresas (Eset, 2014); supone una estrategia transversal y global que demanda un entendimiento de la presencia de la persona u organización en el mundo social digital.

Para ello, Bahadur, Inasi y De Carvalho (2012) proponen una estrategia basada en una matriz de valoración de amenazas en redes sociales denominada H.U.M.O.R, que considera las amenazas del talento humano, el uso de los recursos, las pérdidas monetarias o financieras que pueden generarse, los impactos operacionales que se pueden causar y los efectos sobre la reputación de la empresa. En pocas palabras, lo H umano, el U so de los recursos, lo M onetario, la O peración y la R eputación.

Frente a lo Humano, los autores hablan de contar con políticas concretas sobre la diseminación de información, guías para los empleados sobre el uso de las redes sociales, el entrenamiento y educación de las personas frente a los riesgos de estas redes, los marcos regulatorios y de cumplimiento del uso de los medios sociales digitales y particularmente la responsabilidad personal y empresarial sobre lo que implica participar en una red social.

Sobre el Uso de los recursos, se advierte sobre el desarrollo de políticas alrededor de los contenidos, el plagio, el manejo de la propiedad intelectual de la empresa, el uso de las herramientas apropiadas de acuerdo con los públicos que se quieren impactar, las respuestas frente al uso incorrecto de los activos digitales claves de la compañía y la cautela frente a los posibles abusos de la marca y sus activos que se puedan detectar.

Las consideraciones sobre el tema monetario o financiero, implica contar con presupuesto disponible tanto el desarrollo de ejercicio sencillos y avanzados de compromiso de la marca, provisiones previstas frente a ataques exitosos basados en redes sociales y el fortalecimiento del monitoreo y control de las tendencias y posicionamiento de la presencia en el contexto abierto de la red.

A nivel de operaciones, comprender el escenario donde se mueve la empresa, identificar los activos claves de información que son susceptibles de ser comprometidos, así como las posibles responsabilidades que pueden tener la empresa frente a terceros, mantener una valoración de amenazas y riesgos en redes sociales frecuentemente afectada por eventos externos, la coordinación necesaria con las áreas de comunicaciones y talento humano de las empresas frente a situaciones contrarias que se puedan presentar.

Con el tema de la reputación, el reto es contar con un adecuado proceso de gestión de incidentes, contar con un monitoreo permanente de la dinámica de la empresa a nivel global frente a sus grupos de interés y sus objetivos de negocio, desarrollar alianzas estratégicas con entes de policía judicial y empresas de protección de marca a nivel internacional, que anticipen y controlen posibles atentados contra la imagen de la empresa.

Como se puede observar, gobernar y gestionar los riesgos propios de las redes sociales, no es un esfuerzo exclusivamente del área de tecnologías, es un compromiso corporativo que parte de la dinámica natural de la interacción humana, que atraviesa la formalidad corporativa frente a su entorno y que se convierte en una virtud o una amenaza según la intencionalidad que tanto los internos como los externos quieran concretar bien a favor o contra de los intereses empresariales.

Reflexiones finales
Las redes sociales son un laboratorio social donde las empresas y las personas crean un tejido de significados que se reinventa cada momento en el ejercicio de compartir y construir realidades y tendencias que afectan la dinámica de las compañías y los gustos de las personas. En este contexto, ignorar la influencia de este flujo de mensajes llenos de intencionalidad y necesidad de presencia en la red, es ausentarse de la creación de imaginarios colectivos que definen tendencias y posturas que afectan la imagen o reputación de una empresa.

Amén de lo anterior, se hace necesario establecer una estrategia concreta para diseñar, mantener, monitorizar y atender la práctica de proteger la integridad, identidad, imagen y reputación de la empresa o una persona, frente a los embates de las tendencias sociales normales de las opiniones de los individuos, así como de los ataques premeditados, invisibles y mal intencionados que buscan comprometer la confianza de la empresa, sus productos y servicios, como una forma de invalidar sus esfuerzos y retirarla de forma sutil del contexto competitivo de su sector.

Las redes sociales establecen el nuevo referente de protección del valor de una empresa en el siglo XXI, habida cuenta que su presencia en la red responde a una dinámica de mensajes y consolidación de marca que le permite estar presente en la mente de sus clientes, como una compañía de confianza, que construye su propia identidad en conjunto con sus grupos de interés.

Así las cosas, poder identificar, controlar y anticipar ataques mediados por las redes sociales, exige una disciplina de seguridad, privacidad y control basada en analítica, escenarios y estudios prospectivos, que permita a la empresa desarrollar perfiles digitales sociales asegurados de tal manera, que cualquier intento de sabotaje en contra de la empresa en este sentido, sea rápidamente identificado y gestionado, aumentado la confiabilidad de la marca y lo que ella pueda significar para sus grupos de interés.

Es claro que detener un ataque en contra de una empresa vía los medios sociales digitales, no es una tarea fácil, menos cuando ésta no se encuentra preparada para enfrentarlo y darle un adecuado tratamiento; por tanto, la preparación y las simulaciones se hacen necesarias en este entorno asimétrico e incierto que se tiene en la actualidad, para incrementar el nivel de sensibilidad requerido en los niveles ejecutivos y en cada uno de los colaboradores de la empresa.

En definitiva, el reto de proteger una marca y la imagen de una empresa en internet, está en manos e intenciones de aquellos que generan las publicaciones y las posturas que leen los participantes de la red: las personas.

Referencias
Bahadur, G., Inasi, J. y De Carvalho, A. (2012) Securing the clicks. Network security in the age of social media. USA: McGraw Hill.
Brekle, K. (2015) La sombra digital. Blog Ontrack. Recuperado de: http://blog.ontrackdatarecovery.es/la-sombra-digital/
Cano, J. (2012) Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros comportamientos y valores. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2012/02/inseguridad-en-redes-sociales-la.html
Eset (2014) Guía de seguridad en redes sociales. Recuperado de: http://www.welivesecurity.com/wp-content/uploads/2014/01/documento_redes_sociales_baja.pdf
Estellés, E. y González, F. (2012) Towards an integrated crowdsourcing definition. Journal of Information Science. 38, 2. 189-200. Recuperado de: http://journals.sagepub.com/doi/full/10.1177/0165551512437638
Gates, M. (2017) Rise of de IoT Botnets. Security Management. February. Recuperado de: https://sm.asisonline.org/Pages/Rise-of-the-IoT-Botnets.aspx
Raggo, M. (2016) Attacks on Enterprise Social Media. Presentación. Recuperado de: https://cdn.shopify.com/s/files/1/0177/9886/files/phv2016-mraggo.pdf

1 comentario: