Introducción
Las redes sociales
han cambiado la forma como interactúan las personas. Es un medio que habilita
una comunicación abierta y generalmente informal, donde se comparte todo tipo
de expresiones (imágenes, video, audio) de afecto, rechazo, gusto, promoción,
venta o posicionamiento, bien de un producto, servicio o sencillamente de la
dinámica de la vida de una persona o comunidad.
En el contexto de
las redes sociales son los individuos los que tienen la voz y la capacidad de
influir, convocar o provocar sentimientos diversos (positivos, negativos o
neutrales) respecto de situaciones, instituciones, productos o servicios,
habida cuenta que su experiencia particular establece, posiblemente, un
referente para otras personas que puedan estar interesadas en los mismos temas
sobre los cuales opina a través de los medios sociales digitales (De luz, 2014).
El flujo de
información que se moviliza por los medios sociales digitales sobrepasa la
capacidad de procesamiento que se puede llegar a tener y por lo tanto,
establece una fuente de datos, por lo general, no estructurados, que guardan
las emociones y sentimientos de aquellos que los administran, bien sea a título
personal o en el escenario de la estrategia de medios digitales de una empresa.
En consecuencia, los
medios sociales digitales habilitan una puerta para el flujo de información de
todo tipo, que enmarca una ventana abierta para que cada individuo pueda compartir
y expresar sus reflexiones de forma directa con el mundo, e igualmente filtrar
información personal, confidencial, estratégica o de negocio, que comprometa
los activos digitales clave de la empresa y genere así, una pérdida de
reputación, financiera y de conocimiento que atente contra los planes corporativos
en su afán de conquistar una posición privilegiada en su entorno (Cano, 2012).
Toda expresión que
se manifieste en medios digitales sociales, establece una huella y una sombra
digital para la empresa o la persona. Mientras las publicaciones efectivas que
se hacen en los medios sociales digitales establecen la huella de la empresa y
su tono de conversación, la sombra es lo que la información publicada de manera
agregada y analizada dice de la empresa. La huella digital está bajo el control
de quien la publica, mientras la sombra digital está en manos de quien procesa
la información y las intencionalidades de sus análisis (Brekle, 2015).
Por tanto, las redes
sociales se convierten para las empresas modernas en una ventaja competitiva de
visibilidad en un sector específica y en un vector de ataque clave, que con
frecuencia es ignorado por los analistas, como quiera que la volatilidad de los
comentarios que se hacen y la baja especialidad técnica que se requiere para su
uso, lo hace menos atractivo para estos perfiles. Subvalorar la capacidad de
influencia e impacto de las redes sociales en un entorno como el actual, es
evadir la responsabilidad de la protección del valor de una empresa, que ahora
se encuentra social y digitalmente modificada.
En este sentido, se
presenta a continuación la anatomía de un ataque basado en redes sociales, los
cuales generalmente son invisibles a la dinámica social, motivados por intereses
de terceros no conocidos, ejecutados tanto actores estatales como no estatales,
para provocar cambios de opinión, comportamiento o imagen de una nación,
empresa o individuo.
Cambio en el panorama de las amenazas
Si bien se han
publicado noticias sobre el incremento de los ataques en el contexto del
internet de las cosas, como es el caso de la botnet Mirai, conformada por al
menos 500.000 dispositivos como DVRs (Digital
Video Recorder) y cámaras de vigilancia, los cuales generalmente están en
manos de individuos, que afectaron 18 centros de datos de la empresa Dyn
alrededor del mundo, perturbando más de 10 millones de direcciones IP y los
servicios de empresas como Twitter, Amazon, Spotify y Netflix (Gates, 2017),
las redes sociales se advierten como el foco de revisión y monitoreo más
relevante para la seguridad de la información y la ciberseguridad, dada la
volatilidad y volubilidad que se puede presentar con los mensajes, donde
técnicamente es posible perder el control de aquello que se quiere transmitir a
la audiencia global.
Es la información
disponible, sus flujos y la forma como ella se puede analizar, la que establece
ahora el nuevo normal para los especialistas en medios sociales digitales. La
capacidad de monitorear patrones y confirmar tendencias, establecen los nuevos
estándares de las empresas y sus campañas de mercadeo, para posicionar una
marca, producto o persona a nivel global.
En este ejercicio,
los riesgos claves que se advierten en el escenario son la capacidad de
promover la desinformación de forma invisible, la inhabilidad para medir los
impactos en una marca y la pérdida de control de los mensajes por el efecto del
Crowd sourcing, donde la comunidad abierta participa para tratar de promover,
compartir o resolver una problemática particular aportando su trabajo, dinero,
conocimiento y/o experiencia, esperando un beneficio mutuo (Estellés y
González, 2012).
Esta nuevas
condiciones del entorno, que se mantienen activas con las constantes menciones
en los medios del uso de plataformas como Twitter, Facebook o Instagram,
generan la suficiente distracción para que, los especialistas en desinformar y
crear escenarios contrarios actúen de forma inadvertida, con el fin de ir
concretando mensajes y opiniones de acuerdo con las intenciones para las cuales
se les haya contratado, y así cambiar las tendencias y elaborar imaginarios en
las personas de forma sutil y prácticamente imperceptible, pero real y efectiva
frente a la realidad.
La necesidad de las
personas de comunicarse y compartir funda el contexto natural para identificar formas
para hacer fluir la información. El engaño, la sugerencia de la “información
debe ser libre”, la invocación de creencia, conceptos y valores en situaciones
particulares, desarrolla el ambiente necesario para el atacante que se esconde detrás
de la marea de información creada para motivar acciones específicas como robos
de información sensible, espionaje corporativo, robos de identidad que
comprometen no solo a las personas involucradas, sino que crean un efecto
dominó sobre la empresa y su reputación.
Este nuevo panorama
de amenazas, demanda el desarrollo de capacidades analíticas y de pronóstico
que permitan detectar y anticipar posibles cambios de tendencias en los medios
sociales digitales que puedan afectar en el mediano y largo plazo los objetivos
estratégicos de la empresa, los cuales ahora son más visibles y sensibles a las
opiniones de terceros, algunos interesados en apalancarlos y otros con
intenciones no establecidas que pueden afectarlos.
Configurando un ataque a través de medios sociales
digitales (Raggo, 2016)
El foco fundamental
de un ataque premeditado a través de las redes sociales no es afectar la
reputación o imagen de la empresa exclusivamente, sino capitalizar la confianza
de los medios disponibles para crear el contexto necesario donde desarrollar y
confirmar la sensación de veracidad de las publicaciones, que afecte la postura
de los lectores respecto de un tema particular.
A continuación se detalla y explica un marco general de la anatomía de un ataque basado en redes sociales. Ver figura 1.
Figura 1. Anatomía de un ataque basado en redes sociales (Basado en: Raggo, 2016)
En primer lugar, el
atacante debe conocer y detallar tanto la huella digital como la sombra digital
de la empresa o la persona objetivo. Esto implicar una exploración y
seguimiento detallado de las redes sociales más activas como son, entre otras, linkedin, Twitter,
Facebook, Google+ e Instagram con el fin de establecer un perfil particular, la
dinámica de sus conexiones, las posturas en sus publicaciones y sobre manera,
la frecuencia con que hace frecuencia en cada una de ellas.
Una vez se tiene
identificado la huella y la posible sombra digital del objetivo, se establece
un monitoreo particular de las cuentas identificadas en cada una de las redes
sociales, los #hashtag que usa con frecuencia, las menciones que tiene y las
palabras clave que son utilizadas para generar las publicaciones en los medios
sociales digitales. Esta información, permite elaborar y desarrollar una
estrategia que habilite una posible suplantación de la presencia de la persona
u organización, lo cual es viable ejecutarlos habida cuenta de la
caracterización del tráfico generado por el objetivo.
El siguiente paso es
la personificación del individuo u organización objetivo, creando perfiles con
sutiles errores ortográficos, fotos semejantes a las originales retocadas con
procesadores de imágenes, usando palabras claves y #hashtag equivalentes a las
cuentas originales, siguiendo a personas o empresas similares, para crear la
sensación de confianza y consistencia que se espera a través de las conexiones,
seguidores y amigos.
Si lo anterior,
motiva la generación de tráfico y seguidores en el nuevo perfil, se activa el
uso de enlaces cortos, generalmente automatizados por las distintas redes
sociales, para crear accesos maliciosos que comprometan la seguridad, la
privacidad y el control de otras cuentas, motivando enlaces de phishing,
descarga de aplicaciones con malware, en pocas palabras campañas que
comprometan credenciales e información clave de las personas y las
organizaciones que alteren la reputación y la imagen de la empresa o los individuos,
con fines específicos.
Si el ataque resulta
exitoso, se generará un marco de confusión, desconcierto y desconfianza donde
la población de seguidores no sabrá quién tiene la verdadera cuenta, aumentando
la inestabilidad de los mensajes de reparación o desestimación que se generen
por parte de la empresa o persona. En este sentido es necesario, contar con un
plan de atención de incidentes en redes sociales, que cuente con una estrategia
clara que permita enfrentar, mitigar y superar la condición de incertidumbre
creada y los posibles daños que se hayan podido causar por los enlaces
maliciosos enviados desde las cuentas falsas personificadas.
Enfrentando el reto de un ataque a través de medios
sociales digitales
Desarrollar una
estrategia para enfrentar un ataque basado en redes sociales, implica más que
afinar las tecnologías de seguridad informática vigentes frente a las URL
maliciosas y la habilitación de un segundo factor de autenticación para las
cuentas claves en las diferentes redes sociales disponibles de las empresas
(Eset, 2014); supone una estrategia transversal y global que demanda un
entendimiento de la presencia de la persona u organización en el mundo social
digital.
Para ello, Bahadur, Inasi
y De Carvalho (2012) proponen una estrategia basada en una matriz de valoración
de amenazas en redes sociales denominada H.U.M.O.R, que considera las amenazas
del talento humano, el uso de los recursos, las pérdidas monetarias o
financieras que pueden generarse, los impactos operacionales que se pueden
causar y los efectos sobre la reputación de la empresa. En pocas palabras, lo H umano, el U so de los recursos, lo M
onetario, la O peración y la R eputación.
Frente a lo Humano, los autores hablan de contar con
políticas concretas sobre la diseminación de información, guías para los
empleados sobre el uso de las redes sociales, el entrenamiento y educación de
las personas frente a los riesgos de estas redes, los marcos regulatorios y de
cumplimiento del uso de los medios sociales digitales y particularmente la
responsabilidad personal y empresarial sobre lo que implica participar en una
red social.
Sobre el Uso de los recursos, se advierte sobre
el desarrollo de políticas alrededor de los contenidos, el plagio, el manejo de
la propiedad intelectual de la empresa, el uso de las herramientas apropiadas
de acuerdo con los públicos que se quieren impactar, las respuestas frente al
uso incorrecto de los activos digitales claves de la compañía y la cautela
frente a los posibles abusos de la marca y sus activos que se puedan detectar.
Las consideraciones
sobre el tema monetario o financiero,
implica contar con presupuesto disponible tanto el desarrollo de ejercicio
sencillos y avanzados de compromiso de la marca, provisiones previstas frente a
ataques exitosos basados en redes sociales y el fortalecimiento del monitoreo y
control de las tendencias y posicionamiento de la presencia en el contexto
abierto de la red.
A nivel de operaciones, comprender el escenario
donde se mueve la empresa, identificar los activos claves de información que
son susceptibles de ser comprometidos, así como las posibles responsabilidades
que pueden tener la empresa frente a terceros, mantener una valoración de
amenazas y riesgos en redes sociales frecuentemente afectada por eventos
externos, la coordinación necesaria con las áreas de comunicaciones y talento
humano de las empresas frente a situaciones contrarias que se puedan presentar.
Con el tema de la reputación, el reto es contar con un
adecuado proceso de gestión de incidentes, contar con un monitoreo permanente
de la dinámica de la empresa a nivel global frente a sus grupos de interés y
sus objetivos de negocio, desarrollar alianzas estratégicas con entes de
policía judicial y empresas de protección de marca a nivel internacional, que
anticipen y controlen posibles atentados contra la imagen de la empresa.
Como se puede
observar, gobernar y gestionar los riesgos propios de las redes sociales, no es
un esfuerzo exclusivamente del área de tecnologías, es un compromiso
corporativo que parte de la dinámica natural de la interacción humana, que
atraviesa la formalidad corporativa frente a su entorno y que se convierte en
una virtud o una amenaza según la intencionalidad que tanto los internos como
los externos quieran concretar bien a favor o contra de los intereses
empresariales.
Reflexiones finales
Las redes sociales
son un laboratorio social donde las empresas y las personas crean un tejido de
significados que se reinventa cada momento en el ejercicio de compartir y
construir realidades y tendencias que afectan la dinámica de las compañías y
los gustos de las personas. En este contexto, ignorar la influencia de este
flujo de mensajes llenos de intencionalidad y necesidad de presencia en la red,
es ausentarse de la creación de imaginarios colectivos que definen tendencias y
posturas que afectan la imagen o reputación de una empresa.
Amén de lo anterior,
se hace necesario establecer una estrategia concreta para diseñar, mantener,
monitorizar y atender la práctica de proteger la integridad, identidad, imagen
y reputación de la empresa o una persona, frente a los embates de las
tendencias sociales normales de las opiniones de los individuos, así como de
los ataques premeditados, invisibles y mal intencionados que buscan comprometer
la confianza de la empresa, sus productos y servicios, como una forma de
invalidar sus esfuerzos y retirarla de forma sutil del contexto competitivo de
su sector.
Las redes sociales
establecen el nuevo referente de protección del valor de una empresa en el
siglo XXI, habida cuenta que su presencia en la red responde a una dinámica de
mensajes y consolidación de marca que le permite estar presente en la mente de
sus clientes, como una compañía de confianza, que construye su propia identidad
en conjunto con sus grupos de interés.
Así las cosas, poder
identificar, controlar y anticipar ataques mediados por las redes sociales, exige
una disciplina de seguridad, privacidad y control basada en analítica,
escenarios y estudios prospectivos, que permita a la empresa desarrollar
perfiles digitales sociales asegurados de tal manera, que cualquier intento de
sabotaje en contra de la empresa en este sentido, sea rápidamente identificado
y gestionado, aumentado la confiabilidad de la marca y lo que ella pueda
significar para sus grupos de interés.
Es claro que detener
un ataque en contra de una empresa vía los medios sociales digitales, no es una
tarea fácil, menos cuando ésta no se encuentra preparada para enfrentarlo y
darle un adecuado tratamiento; por tanto, la preparación y las simulaciones se
hacen necesarias en este entorno asimétrico e incierto que se tiene en la
actualidad, para incrementar el nivel de sensibilidad requerido en los niveles
ejecutivos y en cada uno de los colaboradores de la empresa.
En definitiva, el
reto de proteger una marca y la imagen de una empresa en internet, está en
manos e intenciones de aquellos que generan las publicaciones y las posturas
que leen los participantes de la red: las personas.
Referencias
Bahadur, G., Inasi,
J. y De Carvalho, A. (2012) Securing the
clicks. Network security in the age of social media. USA: McGraw Hill.
Brekle, K. (2015) La
sombra digital. Blog Ontrack. Recuperado de: http://blog.ontrackdatarecovery.es/la-sombra-digital/
Cano, J. (2012)
Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros
comportamientos y valores. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2012/02/inseguridad-en-redes-sociales-la.html
De Luz, S. (2014)
Privacidad y seguridad en redes sociales. Recuperado de: https://www.redeszone.net/app/uploads/cdn/down/redes_sociales/Privacidad_y_Seguridad_en_las_Redes_Sociales_Completo.pdf
Eset (2014) Guía de
seguridad en redes sociales. Recuperado de: http://www.welivesecurity.com/wp-content/uploads/2014/01/documento_redes_sociales_baja.pdf
Estellés, E. y González,
F. (2012) Towards an integrated crowdsourcing definition. Journal of Information Science. 38, 2. 189-200. Recuperado de: http://journals.sagepub.com/doi/full/10.1177/0165551512437638
Gates, M. (2017)
Rise of de IoT Botnets. Security
Management. February. Recuperado de: https://sm.asisonline.org/Pages/Rise-of-the-IoT-Botnets.aspx
Raggo, M. (2016)
Attacks on Enterprise Social Media. Presentación. Recuperado de: https://cdn.shopify.com/s/files/1/0177/9886/files/phv2016-mraggo.pdf
SO INFORMATIVE
ResponderEliminar