Se han
convertido en un medio para distribuir código malicioso
Las redes sociales ya no sirven sólo para mostrar
fotografías, documentos etc., también se han abierto al intercambio de pequeñas
aplicaciones de terceros, no desarrolladas por los informáticos de la propia
red. Esta nueva faceta ha traído consigo que redes como Facebook se hayan
convertido en una vía de distribución código malicioso enmascarado en estas
aplicaciones aparentemente inofensivas. Los expertos advierten que este
fenómeno es difícil de detectar, controlar y frenar. Además, lo previsible es
que vaya en aumento en la medida que la distribución de aplicaciones de
terceros se popularice todavía más en las redes sociales. Por Raúl Morales.
Hace un año y medio Facebook abrió sus puertas al
intercambio de aplicaciones de terceros. En este tiempo, millones de sus
usuarios han usado pequeñas aplicaciones para jugar o intercambiar
recomendaciones de música o películas. En la medida que la popularidad de estas
aplicaciones ha ido creciendo, los expertos en seguridad informática han
empezado a preocuparse, ya que las redes sociales, además de ser un medio muy
eficaz para distribuir aplicaciones informáticas, también lo pueden ser para
distribuir código malicioso.
Ya hay en marcha varios proyectos que tratan de
demostrar lo real que es este peligro. El último de ellos ha sido llevado a
cabo por la Foundation for Research and Technology Hellas (FORTH). Sus
investigadores han creado una aplicación que permite mostrar bonitas
fotografías de National Geographic en la página del perfil del usuario de
Facebook. Esta aplicación tiene otra propiedad invisible para el usuario:
solicita archivos de imágenes de un servidor concreto, en este caso un servidor
de pruebas del FORTH. Si muchos usuarios instalaran esta “inocente” aplicación,
mandarían sin saberlo miles de peticiones a ese servidor, de tal modo que se
bloquearía o sus dueños legítimos no lo podrían usar.
Los investigadores no hicieron ningún esfuerzo
para promover esta aplicación entre los usuarios de Facebook y, sin embargo, en
sólo unos días 1.000 usuarios ya lo habían instalado en sus ordenadores. El
ataque resultante sobre el servidor usado para el experimento no fue demasiado
severo, pero sería suficiente para bloquear una pequeña web, por ejemplo.
Pocas soluciones
Según informa Technology Review, un análisis más
detallado de las páginas de redes sociales pone de manifiesto, sin embargo, que
los daños pueden ser todavía mayores.
Dos consultores informáticos, Nathan Hamiel, de
Hexagon Security Group, y Shawn Moyer, de Agura Digital Security, crearon recientemente
muestras de aplicaciones maliciosas en redes sociales como OpenSocial, hi5 u
Orkut. Por ejemplo, una de las aplicaciones, llamado CSRFer, manda una petición
de inclusión no autorizada para pasar a ser “amigo” de un usuario previamente
definido. Según Hamiel, esto es sólo la muestra de un botón, ya que hay muchas
formas diferentes de lanzar ataques a través de redes sociales.
Desgraciadamente, hay muy pocas cosas que se puedan hacer al respecto.
El problema es que para los usuarios es muy complicado
saber exactamente qué hace la aplicación descargada de una red social. Los
factores sociales también juegan un papel importante porque la redes sociales
fomentan una atmósfera de confianza que es muy fácil de explotar por quienes no
tienen buenas intenciones.
Por ejemplo, hace poco se extendió vía Facebook un
programa malicioso en forma de una falsa actualización de Flash que fue
reenviado de un usuario a otro. “Fue el aspecto social lo que impulsó este
comportamiento técnicamente estúpido”, comenta Hamiel
Las empresas que están detrás de las redes
sociales están empezando a tener en cuenta este tipo de problemas de seguridad.
Facebook, por ejemplo, ha creado una página de seguridad para aconsejar a sus
usuarios respecto a los riesgos potenciales a los que se pueden enfrentar. La
empresa asegura que su equipo de seguridad está investigando y revisando su
propio código en busca de agujeros, así como contactando con usuarios que les
hagan saber si no están viendo alguno de esos problemas.
Misión imposible
Los expertos advierten que es casi imposible
erradicar todos los programas maliciosos. Un atacante puede crear un aplicación
legítima y esperar a que muchos usuarios la hayan instalado para hacerla “mala”
actualizándola con un código malicioso.
Limitar las capacidades de las aplicaciones
tampoco es una solución, ya que acabaría con lo que las hace tan atractivas
para los usuarios. Es complicado porque, por definición, las redes sociales
tratan de facilitar la creatividad y la comunicación. Si hay restricciones, las
redes sociales pueden terminar por desnaturalizarse.
Una solución más efectiva podría ser contratar
programadores para revisar el código usado por aplicaciones externas.
Evidentemente, el coste de esta solución lo hace inviable y poco atractivo para
muchas empresas que están detrás de las redes sociales.
Y es sólo el principio. Lo previsible es que el
tipo de ataques y su cantidad aumenten según vayan aumentando las redes
sociales. En este sentido, Hamiel ve un problema de educación y de percepción,
ya que la gente no tiene el mismo respeto por el software que se ejecuta en sus
buscadores que por algo que se bajan de Internet para instalarlo.