Créditos de las imagenes: BGU .
La proxima ves que hagas «me gusta» en una foto o video en las redes sociales vas a tener que tener un poco mas de cuidado.
Investigadores de Israel revelan que un nuevo tipo de ataque «Camaleón» puede modificar secretamente el contenido en Facebook, Twitter o LinkedIn.
O sea, puede ser que le des un like a una foto de Messi y que tus amigos vean que le diste un like a Ronaldo. Podes hacer like en una foto de tu novia, y ella vea que lo hiciste en la foto de otra chica, y todo por el estilo.
Sin embargo esto también podría llevarte a una situación potencialmente criminal.
Ese video o imagen que te gustó en las redes sociales de un lindo perrito, tu equipo favorito o candidato político puede ser alterado en un ataque cibernético a algo completamente diferente, perjudicial y potencialmente criminal, según investigadores de ciberseguridad de la Universidad Ben-Gurion del Negev (BGU).
Mira en este video como funciona. Puedes probarlo sin riesgos en este link de Facebook. (La imagen y el video del candidato cambian cada vez que hace clic en él o actualiza la página en 30 a 60 segundos).
Ataque en las redes sociales que haces like.
Los investigadores analizaron siete plataformas en línea e identificaron graves debilidades similares en la gestión de los sistemas de publicación de Facebook, Twitter y LinkedIn.
Twitter no permite cambios en las publicaciones y, normalmente, Facebook y LinkedIn indican que se ha editado una publicación. Pero este nuevo ataque anula eso.
«Imagínese viendo y ‘gustando’ un lindo video de un gatito en Facebook y un día después un amigo llama para averiguar por qué te gustó un video de una ejecución de ISIS», dice el Dr. Rami Puzis.
«Vuelves a iniciar sesión y encuentras que, de hecho, hay un «me gusta» allí.
Las repercusiones de indicar apoyo al gustarle algo que nunca haría (Biden vs. Trump, Yankees vs. Red Sox, ISIS vs. USA) por parte de empleadores, amigos, familiares o autoridades gubernamentales que desconocen esta estafa en las redes sociales pueden causar estragos en solo minutos».
En este nuevo estudio, publicado en arXiv.org, los investigadores explican cómo penetraron los perfiles y grupos individuales en varios experimentos y cómo se puede ejecutar el ataque denominado «Camaleón».
El ataque implica cambiar maliciosamente la forma en que el contenido se muestra públicamente sin ninguna indicación de que se haya cambiado hasta que vuelva a iniciar sesión y lo vea.
La publicación aún conserva los mismos me gusta y comentarios.
“Los adversarios pueden usar las publicaciones de Chameleon para lanzar múltiples tipos de estafas en redes sociales. En primer lugar, los camaleones de redes sociales se pueden usar para avergonzar o incriminar, así como para facilitar la creación y gestión de perfiles falsos en las redes sociales”, dice el Dr. Puzis.
También se pueden usar para evadir la censura y el monitoreo, en los que una publicación encubierta revela su verdadera identidad después de ser aprobada por un moderador.
Las publicaciones de Chameleon también se pueden usar para recolectar injustamente capital social (publicaciones, me gusta, enlaces, etc.) disfrazándose primero como contenido popular y luego revelando su verdadero ser y reteniendo las interacciones recopiladas.
Facebook y LinkedIn mitigan parcialmente el problema de las modificaciones realizadas en las publicaciones después de su publicación al mostrar una indicación de que una publicación fue editada.
Otros, como Twitter o Instagram, no permiten editar publicaciones publicadas.
Sin embargo, Facebook, Twitter y LinkedIn permiten publicar enlaces de redireccionamiento y admiten actualizaciones de vista previa de enlaces.
Esto permite cambiar la forma en que se muestra una publicación sin ninguna indicación de que se haya cambiado el contenido de destino de las URL.
En Chameleon, primero el atacante recopila información sobre la víctima, un individuo.
El atacante crea publicaciones o perfiles de Chameleon que contienen los enlaces de redireccionamiento y atrae la atención de la víctima hacia las publicaciones y perfiles de Chameleon, de manera similar a los ataques de phishing.
El contenido de Chameleon genera confianza, recolecta capital social e interactúa con las víctimas.
Esta fase es muy importante para el éxito de los ataques de Chameleon dirigidos y no dirigidos. Es similar a un ataque de encubrimiento general en la Web, pero la confianza de los usuarios reduce la barrera de ataque.
Los investigadores de BGU han notificado a LinkedIn, Twitter y Facebook sobre el mal uso identificado.
Facebook y Twitter ejecutan programas abiertos de recompensas por errores, que a menudo pagan sumas significativas por revelar vulnerabilidades con el fin de mejorar sus sistemas y eliminar errores y fallas del sistema.
LinkedIn tiene un equipo cerrado de hackers de sombrero blanco, pero también acepta informes de extraños sin pagar recompensas.
A pesar de este problema importante, con consecuencias de gran alcance en un ataque bien dirigido, las respuestas de las tres redes sociales son preocupantes, en cuanto a la protección de miles de millones de usuarios de plataformas en todo el mundo.
«Facebook respondió que el problema informado» parece describir un ataque de phishing contra los usuarios y la infraestructura de Facebook y que dichos problemas no califican bajo nuestro programa de recompensas de errores».
Twitter reconoció el problema y declaró en un correo electrónico: “este comportamiento nos ha sido informado anteriormente. Si bien puede no ser ideal, en este momento, no creemos que esto represente un riesgo mayor que la capacidad de tuitear una URL de cualquier tipo, ya que el contenido de cualquier página web también puede cambiar sin previo aviso”.
Twitter se basa en la lista negra de URL’s para identificar enlaces potencialmente dañinos y «advertir a los usuarios si están navegando a una URL maliciosa conocida».
El equipo de soporte de LinkedIn estaba dispuesto a investigar este problema. Después de recibir más detalles solicitados, comenzaron su investigación el 14 de diciembre de 2019.
«Estamos esperando novedades de ellos …», dice el Dr. Puzis.
Para mitigar estos problemas, el equipo de BGU recomienda a los profesionales e investigadores que identifiquen de inmediato los posibles perfiles de Chameleon en todas las redes sociales, así como que desarrollen e incorporen mecanismos de reputación de redireccionamiento en los métodos de aprendizaje automático para identificar el uso indebido de las redes sociales.
También deben incluir el ataque Chameleon en programas de concientización de seguridad junto con estafas de phishing y estafas relacionadas.
«En las redes sociales de hoy, las personas emiten juicios en segundos, por lo que este es un problema que debe resolverse, especialmente antes de las próximas elecciones en Estados Unidos», dice el Dr. Puzis.
Nota: La demostración de Facebook dejará de funcionar cuando Facebook solucione el problema o, más probablemente, cuando la cuenta que opera la demostración esté bloqueada. En ese caso, se proporcionará una nueva demostración.
Los investigadores de BGU del Departamento de Ingeniería de Software y Sistemas de Información que también participaron en este estudio son: Aviad Elyashar, Sagi Uziel y Abigail Paradise.
Quieres conocer mas tecnología israelí?
Si respondiste “si” Sumanos también en Twitter.
