Cuando la gente habla de piratería y redes sociales, no se refiere a la definición común de piratería, que consiste en utilizar código malicioso o puertas traseras en las redes informáticas para dañar sistemas o robar información de propiedad.
Hackear las redes sociales requiere muy poca habilidad técnica. Es mucho más un juego psicológico: usar información de perfiles personales para ganarse la confianza de un extraño.
Este segundo tipo de piratería se llama ingeniería social. La ingeniería social utiliza técnicas psicológicas persuasivas para explotar el eslabón más débil del sistema de seguridad de la información: las personas [fuente: SearchSecurity.com]. Ejemplos de estafas de ingeniería social podrían ser:
- Llamar a un administrador de sistemas haciéndose pasar por un ejecutivo enojado que olvidó su contraseña y necesita acceder a su computadora de inmediato.
- Haciéndose pasar por un empleado de banco y llamar a un cliente para pedirle su número de tarjeta de crédito.
- Fingir perder su tarjeta llave y pedirle amablemente a un empleado que lo deje entrar a la oficina.
[fuentes: SecurityFocus y SearchSecurity.com]
Al crear una página de perfil en una red social, muchas personas no consideran los posibles riesgos de seguridad. Cuanta más información personal y profesional incluya en su perfil público, más fácil será para un pirata informático explotar esa información para ganarse su confianza.
Digamos que eres ingeniero y escribes en un blog sobre uno de tus proyectos actuales en tu página de Facebook. Un pirata informático puede utilizar esa información para hacerse pasar por un empleado de esa empresa. Tiene su nombre y su puesto en la empresa, por lo que es probable que confíe en él. Ahora puede intentar conseguirle una contraseña o información patentada que pueda vender a sus competidores.
La ventaja de seguridad de la mayoría de las redes sociales en línea es que solo sus «amigos» o miembros de su red pueden ver su perfil completo. Eso solo es efectivo si es extremadamente selectivo sobre a quién incluir en su red. Si acepta invitaciones de absolutamente todo el mundo, una de esas personas podría ser un pirata informático.
El problema con las redes sociales en línea es que no tienen un sistema de autenticación incorporado para verificar que alguien es realmente quien dice ser [fuente: OnLamp.com]. Un hacker puede crear un perfil gratuito en un sitio como LinkedIn, diseñando su perfil para que coincida perfectamente con los intereses comerciales de su objetivo. Si el objetivo acepta al pirata informático como una conexión, entonces el pirata informático de repente tiene acceso a la información de todas las demás conexiones del objetivo. Con toda esa información, es posible construir una estafa de robo de identidad elaborada.
Para luchar contra la ingeniería social, la clave es la conciencia [fuente: SecurityFocus.com]. Si sabe que existen piratas informáticos de ingeniería social, tendrá más cuidado con lo que publica en sus perfiles en línea. Y si está familiarizado con las estafas comunes de ingeniería social, reconocerá una estafa cuando esté sucediendo en lugar de cuando sea demasiado tarde.