Este documento proporciona información sobre cómo los ciberdelincuentes usan las redes sociales para obtener información sobre sus objetivos y planear ciberataques. Explica que la información que compartimos voluntariamente en las redes sociales puede ser útil para los hackers y sugiere configurar la privacidad para limitar quién puede ver nuestros datos. También describe posibles consecuencias de filtrar información confidencial o clasificada como suplantación de identidad, secuestros virtuales o daños a la seguridad nacional.
3. EJÉRCITO DEL AIRE
Información en RRSS
• El primer paso consiste en estudiar a su víctima y
su entorno para conocerlos.
• Una vez han conseguido la suficiente
información, establecen la estrategia a seguir
para llevar a cabo el ciberataque con éxito.
• Las redes sociales se han convertido en un recurso
muy valioso para los hackers, ya que de forma
voluntaria, estamos poniendo a su alcance
información muy valiosa (fotos, videos, aficiones…).
• Así mismo, otras personas comparten información
sobre nosotros, a veces sin conocimiento ni
consentimiento.
Preparando el ataque
• Los ciberdelicuentes aprovechan la información que
publicamos en nuestras redes sociales para
conocernos.
• Según la información que publicamos y la
configuración de privacidad de nuestro perfil, puede
que estemos proporcionando información muy útil y
accesible para un hacker.
• Cuando usamos las redes sociales, debemos ser
precavidos y pararnos a pensar antes de publicar
cualquier información.
• El hecho de que nosotros no usemos activamente
Internet o las redes sociales, no implica que no exista
información sobre nosotros en Internet
Recogida/fuga de información
4. EJÉRCITO DEL AIRE
OPSEC es impedir que los adversarios potenciales descubran información crítica.
Ejemplos de información crítica:
Información detallada sobre la misión de las unidades asignadas.
Detalles sobre los lugares y horarios de los despliegues de las unidades.
Transacciones de personal que se produzcan en gran número (por ejemplo, información sobre el
despliegue).
Referencias a la tendencia de la moral de la unidad o problemas de personal.
Detalles relativos a los procedimientos de seguridad.
Este concepto debe aplicarse también en el entorno
cercano (familiar, amigos…).
¿Qué es OPSEC?
Seguridad Operacional
6. EJÉRCITO DEL AIRE
Consecuencias (I/III)
Un ataque de spear phishing, en el que se use información muy concreta sobre nuestras aficiones o gustos para conseguir que
accedamos a una página web (falsa). Ejemplos:
• Correo electrónico en el que se nos notifica que hay nuevas actualizaciones en los perfiles de nuestros amigos en Facebook. Dentro del
correo hay un enlace (falso) para acceder a la red social directamente. Al acceder al enlace y poner nuestras credenciales en la página
falsa, le damos nuestro usuario y contraseña a nuestro adversario
• Enlace a una página web preparada para que al cargarse en nuestro navegador, de manera automática se descargue y ejecute un
malware que infecte nuestro dispositivo, dándole acceso a nuestro adversario
Un ataque de ingeniería social, en el que utilizando diferentes medios (llamada telefónica, correo electrónico, solicitud de
amistad, etc.) el hacker intentará que les demos información personal o profesional a partir de una excusa o situación inventada.
Si aplicamos OPSEC ante estas situaciones, conseguiremos evitar la fuga de información crítica que puede ponernos en peligro a
nosotros, a las operaciones en curso e incluso a la organización. Ejemplos:
• Solicitud de amistad en nuestro perfil de alguien que nos dice que nos conoce del club de pádel del que somos miembros
• Llamada telefónica del servicio técnico de la oficina para actualizar nuestro equipo. Nos piden nuestro usuario y contraseña para ello
¿Qué pueden a hacer con mi información?
7. EJÉRCITO DEL AIRE
Consecuencias (II/III)
Una suplantación de identidad, en la que nuestro adversario se hará pasar por nosotros para darse de alta en
diferentes servicios con nuestros datos.
• Publicar comentarios en nuestro nombre
• Enviar correos
• Realizar compras online
• Realizar transacciones bancarias con nuestro dinero
• Pedir préstamos a nuestro nombre
• Etc.
Un secuestro virtual, en el que nuestro adversario contactará con un familiar nuestro, le informará de que nos han
secuestrado y le pedirá que realice un pago de una cantidad determinada en un tiempo muy limitado si quiere que
nos liberen. En realidad, puede que nosotros estemos pasando el día en una zona en la que no haya cobertura o
que estemos en una reunión y no podamos atender sus llamadas, pero nuestro familiar no lo sabe.
¿Qué pueden a hacer con mi información?
8. EJÉRCITO DEL AIRE
Consecuencias (III/III)
Si el hacker ha conseguido información de carácter profesional y clasificada o confidencial, las consecuencias
cambian. La venta o publicación de dicha información puede conllevar:
Responsabilidades asociadas para nosotros y nuestro puesto a nivel legal.
Daños graves a la imagen del MDef/FFAA.
Uso de información estratégica y privilegiada en contra de la institución y de las operaciones en curso.
Riesgo para la seguridad tanto de las operaciones militares como del personal desplazado en zonas de
operaciones.
¿Qué pueden a hacer con mi información de carácter profesional?
No debemos bajar la guardia pensando que nosotros no somos un posible objetivo porque
no guardamos ningún interés. Aunque no seamos el objetivo final de un ciberataque nuestra
información puede ser crucial para el éxito de un ataque a otros objetivos.
9. EJÉRCITO DEL AIRE
CÓMO NOS PROTEGEMOS
Revisar las opciones de privacidad y
seguridad de manera periódica.
Selecciona tu público: En muchas
redes, si dejas la configuración por
defecto, todo el mundo puede ver lo
que publicas.
Revisa tu biografía: Habilita esta
opción para decidir si quieres que las
publicaciones en las que otros te
etiquetan aparecen o no en tu perfil.
Si lo anterior no es suficiente, recuerda
que en las principales redes sociales,
existen mecanismos de bloqueo y
denuncia.
Configuración de privacidad
Debemos verificar que nuestros
contactos en las redes sociales son
quien dicen ser.
Ahora ya sabemos que es posible crear
perfiles falsos, suplantando la
identidad de otra persona.
También sabemos que podemos ser
víctimas de un ataque de ingeniería
social en el que nos envíen una
solicitud de amistad fingiendo ser un
conocido.
Si dudamos sobre la identidad de un
contacto, mejor no añadirlo en nuestro
perfil o eliminarlo de la lista de amigos.
Contactos
Antes de publicar información pensar
si ésta puede volverse en nuestra
contra:
• Comentarios de donde estamos.
• Información sensible del trabajo.
• Información privada sensible (DNI,
datos de la tarjeta de crédito…).
Una vez publicada, perdemos el
control sobre ese contenido.
Aunque la borremos después, alguien
puede haberla descargado o copiado.
Configuración de privacidad
10. EJÉRCITO DEL AIRE
CONFIGURACIONES RECOMENDADAS EN LAS
RRSS
En el uso de las redes sociales tenemos que ajustarnos especialmente a un comportamiento propio de Opsec.
Opsec implica mantener la seguridad de las operaciones de manera que no se pongan en peligro por mal uso de la información
personal o profesional.
Utiliza las redes sociales de forma segura y protege tu información como se merece.
A continuación se indican las configuraciones recomendadas para:
Facebook
Instagram
TikTok
LinkedIn
Twitter
WhatsApp
Principales redes sociales