Informa Kaspersky

La nueva red social de Google está creciendo rápidamente. En su primera semana, la versión beta a la que sólo se podía acceder por invitación, alcanzó los 10 millones de usuarios. Kaspersky Lab ofrece una serie de consejos para que la privacidad del creciente número de fans de Google+ no corra ningún riesgo.

1. Listo para entrar: Gestionando el perfil
La sección de edición de perfiles es el núcleo de la privacidad del Google+. Proporciona una interfaz versátil que permite al usuario personalizar la forma de compartir información. Los que quieren que su perfil sea abierto, pueden compartir datos personales y sus datos demográficos con miles de millones de usuarios de Internet. Para los más reservados, existe una opción para compartir cierta información sólo con ciertos grupos de contactos. Para comprobar cómo aparecerá el perfil, basta con hacer clic en “Ver perfil como…”. Si nos preocupa que algún desconocido pueda encontrar nuestro perfil, basta con acceder a la parte inferior de la página de edición para desactivar ” visibilidad de búsqueda” y que los motores bloqueen la búsqueda del perfil.

2. Una visita al Centro de Privacidad
El centro de privacidad de Google es una buena herramienta si el usuario está preocupado sobre la información que comparte en Google+. Centraliza las funciones de privacidad y la mayoría de los productos y servicios de la empresa. Conviene tener en cuenta tanto el Centro Seguridad Familiar Google+ y como el de Políticas de Privacidad para confirmar qué tipo de información se quiere ofrecer en la red social.

3. ¡Un círculo para gobernarlos a todos!
Si vas a usar Google+, tienes que dominar el arte de la gestión del Círculo ya que estos círculos son el centro de control de la privacidad de Google+. Permiten crear grupos de amigos y asociados con una potente interfaz de usuario que hace que sea fácil limitar quién puede ver qué. Es más sencillo compartir todo con todo el mundo, pero merece la pena ser cuidadoso en la organización de los círculos.

4. El infierno son los otros: la visibilidad de la red G+
Sus círculos nunca se revelan a otros usuarios de Google+, pero tus amigos sí los conocen por defecto. Dependiendo de a quién permitas el acceso o sigas, puede ser peligroso. Afortunadamente, hay una manera de limitar quién puede ver a tus amigos y seguidores Google+. En la pestaña de Privacidad, en Compartir, hay que hacer clic en “editar visibilidad de la red”. De este modo, sólo hay que desactivar las dos casillas para ocultar a quién se ha agregado a los círculos y mantenerlos de forma privada.

5. Mensajería masiva – Huddle
La nueva función Huddle de Google+ es una plataforma de mensajería en grupo que permite a los usuarios comunicarse en masa. Conviene tener cuidado – existe una línea muy fina entre congregar grupos y el envío de spam. Por un lado, al gestionar un grupo le enviará un mensaje de texto a todos los amigos Huddle designados. Si aún no han descargado la aplicación, tendrán que llegar a un acuerdo con el Servicio de Condiciones de Google antes de participar en la conversación. Los amigos pueden empezar a unirse a otros usuarios utilizando nombres, círculos, emails, así que conviene ser precavido con cómo organizar los círculos y comprobar cuidadosamente antes de lanzar un “huddle” en masa.

6. ¡Google sabe dónde vives!
Al igual que los servicios de geolocalización Foursquare, Gowalla y Facebook, Google+ ha querido que sus usuarios puedan compartir lo que están haciendo y desde dónde. Por consiguiente, Google+ permite geolocalizar los contenidos, como fotografías, que se suben.
Tal y como se desprende del informe de Threatpost, los datos de geolocalización son de gran interés para los hackers. Afortunadamente, existe una manera fácil de limitar el uso de datos GPS y Geo Tagging. Desde los ajustes de Google+, debemos comprobar que la opción “Mostrar información de geolocalización de fotos en los álbumes y fotos subidas recientemente” se ha borrado. Nota: cuando se comparte la información GPS, los mensajes y fotos también serán visibles para amigos en busca de actualizaciones cercanas al usuario, una característica de Google Buzz que se ha reencarnado en Google+.

7. +1 en Privacidad
El “+1″ es la respuesta de Google+ equivalente al botón “Me gusta” de Facebook. Al igual que con Facebook, al hacer clic en el “+1” destacas un artículo o post que te gusta de otro sitio web y lo publicas directamente en tu muro. Pero a diferencia de Facebook, con Google+ es más fácil controlar quién verá el enlace. Conviene prestar atención a cómo los “+1” se publican y pensarlo dos veces antes de permitir que todos nuestros seguidores puedan verlo (Google+ lo autoriza por defecto).

8. Mark Twain: seudónimos en G+
Si quiere esconderse tras un nombre falso, no cuente con Google+ para dejarle ser su “falso yo” en la red social. Como informa Threatpost, la nueva red social no comulga con identidades falsas – una posición muy similar a la tomada por Facebook. Al igual que en Facebook, existen formas de evitar la prohibición de Google+ en cuanto a seudónimos. Google le permitirá utilizar seudónimos o nombres de profesionales si se hace uso de ellos en la vida cotidiana pero con con un email válido (o, mejor aún, gmail) y algunos otros activos online verificables. Con estos elemento es probable que engañar a las políticas de identidad de Google.

9. Enlaces y privacidad
Si está suscrito a otros sitios web – un blog, perfil de Facebook, Twitter, o Tumblr – entonces los “Links” de Google+ son una gran forma de consolidar tu vida online y que también pueden impactar (o poner en peligro) la privacidad en la red. Al agregar sitios a “Links” se puede optar por establecer el vínculo “público”, asociándolo con el perfil de Google+, o mantener el enlace privado. También se pueden utilizar los círculos con limitado acceso a los Links. permitiendo que sólo los amigos puedan ver sus enlaces, pero no sus compañeros de trabajo Por ahora, esto parece ser un enfoque de todo o nada – ya que esas mismas reglas se aplican a todos los links pero con el tiempo, Google+ puede hacer estas políticas más granulares, ofreciendo el control sobre la visibilidad de los sitios de forma individual.

10. Subir al instante? ¡Sí! Ehhh … ¡No! Espere!
Si accede a Google+ desde su teléfono Android, las fotos y videos se cargan automáticamente a la nube de Google a través de una nueva herramienta llamada Instant Upload. No hay que preocuparse ya que las fotos no son compartidas por defecto, se almacenan en una carpeta privada Picasa Web para poder compartirlas en el futuro. Instant Upload es una buena idea pero para una minoría de usuarios pero su política de privacidad activada por defecto puede derivar en un montón de nuevos usuarios de G+. Para desactivar Instant Upload, debemos hacer clic en la aplicación, Menú> Ajustes> y en la parte superior de la pantalla desmarcar ” Instant Upload”. Al igual que cualquier otra cosa que compartamos en G +, las fotos han de compartirse a través de los círculos.

Anuncios

Informe de BitDefender

Si bien las nuevas características de Facebook incrementarán la interacción entre los usuarios, la privacidad y la seguridad se vuelven a ver amenazadas.

BitDefender, proveedor de innovadoras soluciones de seguridad para Internet, ha elaborado un listado de cinco puntos en el que repasa los problemas de seguridad que se derivan de la reciente actualización de Facebook y la inclusión, tras la misma, de nuevas funcionalidades.

1. Las nuevas listas inteligentes – que permiten diferenciar entre amigos, compañeros de trabajo, etc. – impulsarán a los usuarios a compartir más información, suministrando así a los ciberdelincuentes el arma perfecta para los ataques dirigidos. Estas listas inteligentes animan – y requieren para funcionar – a que la gente complete su perfil con los lugares donde ha trabajado, sus centros de estudio, etc. Cada vez que alguien crea una lista con los colegas de un trabajo específico, se etiqueta a esos colegas en su perfil. Por supuesto, esto no suele ser información confidencial, y los usuarios tienen la decisión final en la aprobación de la información.

Sin embargo, teniendo en cuenta que esa información es pública e indexable en los buscadores, será más fácil para los ciberdelincuentes crear ataques dirigidos, es decir, diseñados específicamente para afectar a una persona. Los atacantes sabrán exactamente en qué empresa está trabajando una persona, qué trabajo tiene en ella, y aún más, en qué proyecto en particular está trabajando. Y estamos hablando de 800 millones de usuarios. Eso les permitirá crear, por ejemplo, cebos más creíbles para sus correos maliciosos. Por ejemplo, poniendo como asunto del mismo el nombre de la empresa en que trabaja el usuario al que se ataca.

2. La opción de “Suscríbete” podría aumentar el número de spam bots, al igual que en Twitter.

La principal diferencia entre los ataques de Facebook y Twitter es que Facebook tiene un montón de cuentas secuestradas, mientras que Twitter tiene una enorme cantidad de spambots (cuentas creadas de manera automática que se dedican a seguir a un gran número de usuarios y a enviarles mensajes de spam o incluso con links que conducen a malware). Con la función de los nuevos suscriptores, Facebook se ha abierto a los spambots y a fraudes del tipo “cómo conseguir más suscriptores”. La clonación de las características de Twitter también puede significar que se clonen en Facebook las estafas de Twitter.

3. Todo lo que compartes en Facebook ahora es más fácil de localizar

Facebook supuso una revolución. Y ha supuesto que muchos usuarios creen en esa red algo así como el “diario de su vida”. Si un usuario no cambia la configuración predeterminada de cómo y quién puede ver su muro, ese diario estará a disposición de todo el mundo: amigos, fotos, lugares en los que se haya registrado y mucho más. Hasta ahora ya era así, pero no era tan fácil llegar a él debido a que no era tan sencillo localizarlo en Internet.

4. La salud es ahora social…y pública

Facebook considera que la información sobre la salud es un tema social. Ahora es muy fácil compartir información relacionada con la salud como la fractura de un hueso, si nos hemos sometido a una cirugía o si ya hemos superado una enfermedad. Probablemente lo más preocupante es que este tipo de información se establece como “Pública” por defecto.

5. Widgets … la puerta abierta para los fraudes interactivos

Facebook introduce el concepto de “widget” en su timeline. Esto permite a los desarrolladores crear nuevos objetos y lleva la interacción a un nivel completamente nuevo. Hasta ahora, todo el que tuviera una aplicación instalada interactuaba con sus amigos desde dentro de esa aplicación. Ahora, la aplicación está en el muro del usuario, por lo que cualquier persona que interactúe con el perfil del usuario interactúa con la aplicación.

Teniendo en cuenta la corta vida de las aplicaciones de spam, esto podría aumentar su eficiencia. Por supuesto, esta característica es nueva, así que probablemente pasará un tiempo hasta que los estafadores se aprovechen de ella. Sin embargo, todas las funciones virales en redes sociales han sido, antes o después, usadas con éxito por los ciberdelincuentes.

Además, añadiendo este nivel de interacción, Facebook da un paso más en lo que se refiere a mover al Timeline cualquier pequeña información sobre la vida del usuario (cómo puede comprobarse en este vídeo www.youtube.com)

“Con cada vez más y más información sobre el usuario en su perfil, el problema de robo de cuentas, se convertirá en una amenaza cada vez más importante. Facebook está haciendo mucho en la mejora de la interacción, pero no vemos ningún paso importante en materia de seguridad”, explica Jocelyn Otero Ovalle, Directora de Marketing de BitDefender para España y Portugal, que añade: “Después de la gran cantidad de problemas relacionados con la seguridad de Facebook, esperábamos un anuncio en relación con el secuestro de la sesión en conexiones no seguras, un problema de seguridad notable para muchos usuarios de Facebook hoy en día. Pero no se ha producido”.

“No solucionables”, según Facebook

Recientes vulnerabilidades o errores en la popular red social Facebook tienen como común denominador que Facebook considera que son funcionalidades importantes dentro de su entorno y por lo tanto no pueden eliminarse; es decir, solucionarse.

Inicialmente, el 18 de julio pasado un investigador español descubrió una vulnerabilidad que permite realizar una redirección abierta [1] desde la plataforma móvil de la red social (m.facebook.com). Esto es que, llevando a cabo un procedimiento sencillo, es posible engañar al usuario para que piense que está ingresando a Facebook cuando en realidad puede estar ingresando a otro sitio. Los delincuentes podrían utilizar este método para cometer fraudes y estafas en Internet.

Facebook admitió este comportamiento anómalo [2] pero dijo “que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo”.

Como consecuencia de este descubrimiento, otro investigador chileno publicó [3] la forma en que es posible obtener en forma automatizada (realizando miles de consultas en forma simultánea y sin control) si un usuario se encuentra registrado en la red social, simplemente conociendo su correo electrónico o número telefónico. Nuevamente la empresa expresó que “esta habilidad para localizar amigos a través del correo es parte del núcleo de Facebook y si bien puede ser una vulnerabilidad en un sitio financiero, aquí corresponde a una funcionalidad de la red”.

Paradójicamente, en forma coincidente con estos hallazgos, Facebook lanzó el programa “Bug Bounty” [4] cuyo objetivo es pagar 500 dólares a quienes descubran vulnerabilidades críticas en la plataforma, similar a lo que hace Google desde 2010. Sobra decir que ninguno de los dos descubrimientos anteriores fue recompensado, porque ni siquiera han sido reconocidos como fallos.

También a finales de julio, en países de habla hispana comenzó a circular un mensaje que informaba que la aplicación de Facebook para todos los smartphones comparte (aún lo hace) la agenda personal del usuario, por defecto y sin informarlo:

“Atención, por motivos que se desconocen, todos los smartphones comparten la información de la agenda personal de uno con la empresa Facebook Inc, compruébenlo ustedes mismos”.

Efectivamente, al instalar la aplicación, Facebook automáticamente almacena (no comparte, como se ha informado en forma incorrecta) la información de contacto, fotografías del perfil y calendario con el objetivo de conectar a sus usuarios en algún momento. Al respecto Facebook en su sitio web informa:

“Al activar esta característica se enviarán periódicamente copias de tus contactos del dispositivo BlackBerry a Facebook Inc. para vincularlos y conectarlos con tus amigos de Facebook. Las fotografías de perfil e información sobre ti y tus amigos de la red social también se enviarán periódicamente desde tu Facebook a tu lista de contactos y calendario de BlackBerry. Aceptas que el acceso a estos datos (p.ej. mediante aplicaciones) dejará de estar sujeto a tu configuración de privacidad y la de tus amigos de Facebook una vez que se almacenen en tu dispositivo BlackBerry”.

Facebook, a través de su página de fans, ha negado los “rumores” de que esa información sea compartida públicamente y ha dicho que “la posibilidad de ver la agenda ha existido durante mucho tiempo y ha sido diseñada para mostrar una única lista de contactos en vez de tener que visitar cada perfil”.

“Rumors claiming that your phone contacts are visible to everyone on Facebook are false. Our Contacts list, formerly called Phonebook, has existed for a long time. The phone numbers listed there were either added by your friends themselves and made visible to you, or you have previously synced your phone contacts with Facebook. Just like on your phone, only you can see these numbers.”

Esta afirmación es cierta, ya que la información no es compartida abiertamente para todo el mundo, pero “desde hace tiempo” ha sido tomada del teléfono y almacenada en la plataforma de Facebook, sin informar adecuadamente al usuario.

La información ya compartida puede eliminarse y esta “funcionalidad” puede deshabilitarse [5], pero quien no preste atención a este hecho, al instalar la aplicación estará compartiendo abiertamente toda la información y, lo que es aún peor, también estará brindando esta información a la red social, sin el correspondiente permiso de sus dueños. Para corregir esto se debe ingresar a la red social a través del Smartphone y allí hay una opción que debe deshabilitarse. La dirección de acceso es: http://www.facebook.com

Finalmente, el motivo de considerar como vulnerabilidad a una supuesta funcionalidad radica en el punto desde donde se observe dicha comportamiento anómalo:

Facebook lo ve desde las ventajas adicionales que el usuario adquiere al utilizar dicha funcionalidad o bien desde los beneficios que obtiene la red social, sin olvidar sus motivos económicos y que su creador ha declarado que “no cree en la privacidad ni en la intimidad”.

Las personas que desarrollamos nuestra actividad en seguridad lo vemos desde el punto de vista de la privacidad del usuario y cómo ella es avasallada, simplemente para obtener una ventaja discutible y que, de todos modos, se podría generar de otra manera más confiable.

Independientemente si los hallazgos mencionados deben ser considerados funcionalidades o vulnerabilidades, lo más importante a destacar es que, según la empresa, estos comportamientos, y seguramente muchos otros, obedecen al crecimiento de la red social, lo cual evidentemente está por encima de la privacidad del usuario, que es quien en última instancia termina pagando su acceso, creyendo que es gratis.

“La prensa exagera”, es su primera reacción

Varias de las aplicaciones más populares de Facebook transmiten a empresas externas información del usuario, sin el consentimiento de éste.

Revelación hecha por el periódico financiero The Wall Street Journal pone nuevamente en tela de juicio el compromiso de Facebook de respetar la privacidad de sus usuarios.

Según The Wall Street Journal, una serie de las aplicaciones más populares de Facebook transmiten a terceros información que permite identificar al usuario individual, y en algunos casos incluso a sus amigos.

The Wall Street Journal comenta que varios millones de usuarios se vieron afectados por el problema, que incluso afecta a quienes aplicaron las preferencias más estrictas de protección de su privacidad al configurar su cuenta. La práctica revelada vulnera las reglas de la propia Facebook.

Un portavoz de Facebook comenta en el blog de la empresa que “la ID del usuario de Facebook puede ser transmitida accidentalmente mediante un navegador o una aplicación”. Según el portavoz, esta ID puede ser usada para monitorizar las actividades del usuario en la red social, pero que “no debería dar acceso a información personal del perfil”. El portavoz restó importancia a las revelaciones de The Wall Street Journal, calificándolas de “información exagerada”.

Wall Street Journal escribe que 10 aplicaciones de socios comerciales de Facebook transmiten la ID del usuario a empresas externas, como por ejemplo la enormemente popular FarmVille, que cuenta con 59 millones de usuarios, Texas HoldEm Poker y FrontierVille.

Tres de las aplicaciones más populares, incluida FarmVille, también envían a anunciantes externos información sobre los amigos del usuario.

Facebook se comprometió a solucionar el problema, y después de informarse de las revelaciones de The Wall Street Journal bloqueó algunas de las aplicaciones afectadas.

La información transmitida es la denominada “Facebook ID”, que es única para cada usuario. Esta ID siempre puede ser usada para encontrar el nombre del usuario y, en algunos casos, también incluye información sobre su edad y domicilio.

Wall Street Journal detectó un total de 25 empresas que han recibido la información de “Facebook ID”. Varias de ellas son conocidas por elaborar perfiles detallados de cada usuario, con base en sus actividades y desplazamiento en Internet.

Facebook prohíbe a sus proveedores de aplicaciones transmitir información de los usuarios a sus propios socios comerciales externos. Sin embargo, la situación revelada por The Wall Street Journal hace suponer que la prohibición ha sido sencillamente ignorada.

En mayo de 2010, Facebook rediseñó su política de privacidad debido a las quejas de sus usuarios. El mes anterior, el 95% de los usuarios calificó de “mala idea” los intentos de Facebook por modificar sus cláusulas de servicio, para asegurarse el derecho a compartir información personal de los usuarios con sitios externos; es decir, la misma actividad que ahora ha sido revelada por The Wall Street Journal.

Por actitud relajada de Eric Schmidt sobre la privacidad

Asa Dotzler, director de comunidades en Mozilla, reaccionó con indignación frente a las declaraciones de Eric Schmidt, presidente de Google, donde planteaba que los defensores de la privacidad tienen, en realidad, “algo que ocultar”. Dotzler propone, lisa y llanamente, desactivar a Google como buscador estándar en Firefox, y activar Bing, que “tiene una mejor política de privacidad que Google”.

El planteamiento exacto de Eric Schmidt fue el siguiente: “Si tienes algo que ocultar, quizás deberías desistir de hacerlo. Si realmente necesitas ese tipo de privacidad, lo cierto es que los buscadores, incluyendo a Google, retienen la información por algún tiempo y es importante, por ejemplo, entender que en Estados Unidos todos somos sujeto de la Ley Patriótica, que faculta a las autoridades a requerir tal información”.

La intención de Schmidt era explicar las razones que llevan a Google a guardar información sobre sus usuarios. Sin embargo, el presidente de Google quizás no consideró las reacciones que podrían motivar sus dichos en la comunidad de Internet. Una de las reacciones más airadas y específicas se ha producido en el seno de Mozilla, tradicional aliado y socio comercial de Google. El director de comunidades y desarrollo en Mozilla, Asa Dotzler, sugiere a los usuarios de Firefox desactivar a Google como buscador estándar y sustituirlo por Bing.

Dotzler recalca en su blog que las declaraciones de Eric Schmidt son muy precisas y que no han sido citadas fuera de contexto. Para ello, incluye un enlace al video con la entrevista a Schmidt (publicado, por cierto, por Gawker con el título “Presidente de Google: ´La privacidad es para gente inmunda´”).

Dotzler publica en su blog una extensión para Firefox que permite instalar Bing como buscador estándar, agregando que el buscador de Microsoft tiene una mejor política de privacidad que Google.

Uno de los lectores del blog pregunta si acaso no es mejor dejar de usar los servicios de Google, a lo que Dotzler responde afirmativamente, agregando que él ya lo ha hecho.

El duro tono y la extraordinaria recomendación adquiere mayor relevancia considerando que Mozilla y Google son socios comerciales y que el 90% de la facturación Mozilla proviene de Google