La monetización es el proceso de convertir algo en dinero. En Internet, casi todos los sitios populares que visitas diariamente monetizan o hacen dinero de una o varias formas: a través de la publicidad, vendiendo información de usuarios como geolocalización y demás datos obtenidos a través de las cookies del navegador, redirigiendo a otros sitios por determinada cantidad de dinero por visita, entre otras. En este post vamos a explicar en profundidad las formas lícitas de monetización, las áreas grises y cómo los cibercriminales se aprovechan de este proceso.
La mayoría de los sitios que hoy en día están entre los más populares en Latinoamérica arrancaron como grandes ideas que no tenían la obtención de dinero como razón para existir, pero hoy en día tienen ganancias importantes. Facebook, muchos años atrás, era básicamente igual que hoy… pero sin la espeluznante cantidad de publicidad que vemos siempre que hacemos clic (en cualquier lado).
Por su parte, Youtube tiene una colección increíble de videos de música, bloopers y tutoriales de cómo hacer prácticamente cualquier cosa: desde programar en C++ hasta cómo abrir un candado con un clip. Pero, como de seguro habrás visto, en muchos casos tienes que mirar por lo menos 5 segundos de publicidad antes de ver un video. ¡Y a veces la publicidad incluso salta en la mitad del clip!
Ahora bien, estas son formas lícitas (aunque no siempre agradables para el usuario) de monetizar, o sea: se ofrece contenido deseado, pero no es totalmente gratuito. Pero en paralelo, sabemos que existen formas ilícitas de atacar este proceso a través del malvertising, práctica utilizada por atacantes de insertar malware en publicidad.
El área gris sería el adware, que consiste en programas que, más allá de ser “potencialmente no deseados” en algunas ocasiones, no causan daños al usuario ni la pérdida de dinero, sino que simplemente descargan y/o hacen que la víctima visualice publicidades que de otra forma no vería.
Ahora que conocemos las prácticas comunes de monetizar, prestemos atención a las nuevas formas maliciosas de hacerlo en la Deep Web:
Cosecha de PII (Personal Identifiable Information)
El proceso de cosechar información personal en las redes sociales solía ser muy sencillo para los atacantes: con tan solo visitar perfiles de usuarios, sus amigos, y los amigos de sus amigos, juntaban información suficiente como para adivinar el nombre de usuario, contraseña y la respuesta a preguntas de seguridad (nombre de la madre o nombre de la mascota, por ejemplo).
Pero con las nuevas medidas de seguridad de las redes sociales, como el dinosaurio azul de Facebook que ofrece tips para proteger los perfiles, se vieron obligados a mejorar sus tácticas.
Un atacante, utilizando la red TOR para navegar la Deep Web de forma anónima, puede muy fácilmente encontrar otros atacantes que ofrecen perfiles completos de personas, con información que va desde nombre, apellido y fecha de nacimiento, hasta usuario y contraseña de PayPal, número de teléfono y de tarjetas de crédito (PIN incluido).
Robo de Configuraciones de formas de pago en redes sociales
Actualmente es posible encontrar software desarrollado específicamente para robar credenciales de prácticamente todos los servicios más conocidos, como Facebook, Twitter, Linkedin y Gmail, entre otros. Esta clase de software ilegal normalmente tiene un costo que varía entre 200 y 600 dólares, pero normalmente los cibercriminales ofrecen un “free trial” (o prueba gratuita) para comprobar que funciona, y las forma de pago pueden ser desde bitcoins hasta trasferencias a través de Western Union. Incluso ofrecen una garantía de devolución del dinero si el cliente no está satisfecho.
Ahora bien, ¿qué buscan los atacantes con esto?
La razón para, por ejemplo, acceder al perfil de una víctima, sería acceder a sus configuraciones, donde pueden visualizar y robar información financiera asociada.
Compra de páginas de fans con seguidores reales
Las páginas con muchos seguidores reales son un activo importante para empresas legítimas y para los atacantes. El número de fans y toda la información personal que se hace disponible una vez que un usuario de redes sociales se asocia a una página hace que un ataque a medida pueda sea diseñado y dirigido a los miembros de esta página. No es difícil encontrar atacantes dispuestos a pagar por páginas con seguidores, para poder, por ejemplo, crear nuevas campañas de phishing con una mejor tasa de éxito, ya que las costumbres y gustos de los usuarios quedan al descubierto y pueden ser analizados por los atacantes
Entonces, ¿qué podemos hacer?
La mayoría de los sitios populares ofrecen formas más seguras para el acceso de sus usuarios, veamos qué podemos hacer para mitigar los riesgos descriptos hasta aquí:
- Utilizar doble factor de autenticación (ya ofrecido por la mayoría de los sitios que mencionamos en este post, como Facebook, Twitter y ahora también iCloud). Si un atacante logra adivinar el usuario y contraseña, igualmente no puede acceder sin una OTP (contraseña de un solo uso)
- Utilizar contraseñas fuertes que no puedan ser adivinadas con facilidad
- Ajustar las configuraciones de seguridad del servicio que utilizamos
- Utilizar un software de seguridad que tenga la funcionalidad de analizar el tráfico de red, buscando actividades sospechosas
- Cifrar todos los medios de acceso a la Internet, no solo la computadora, sino también los dispositivos móviles
Si sigues estos pasos sencillos, podrás disfrutar de la tecnología de forma más segura, mitigando los riesgos resultantes de estas nuevas tendencias.