1. Malware en Redes Sociales
Néstor Santos Vidales Aurelio Benítez Camacho
Maestría en Ingeniería de Sistemas y Computación Maestría en Ingeniería de Sistemas y Computación
Pontifícia Universidad Javeriana Pontifícia Universidad Javeriana
Bogotá, Colombia Bogotá, Colombia
santosn@javeriana.edu.co aurelio.benitez@javeriana.edu.co
Resumen—Este artículo analiza las amenazas, vulnerabilidades proporciona un control de acceso basado en credenciales, y
y los riesgos que estas con llevan dentro del entorno empresarial, proporciona herramientas de logs de auditoria. Si se analiza
basándose en la norma ISO 31000:2009 y en el marco de trabajo cada una de las características mencionadas, se puede observar
de COSO 2, bajo un modelo de Gobierno, Riesgo y que las RSL cumplen cada una de estas; y si se puede
Cumplimiento (GRC).
administrar la identidad por una RSL, esta identidad por lo
Index Terms—Riesgo, malware, GRC, Redes sociales, COSO tanto puede ser robada y suplantada, e información personal y
II, ISO 31000. corporativa puede ser extraída [3]. A pesar que el robo de
identidad no es la amenaza tratada en este artículo, si sirve de
I. INTRODUCCIÓN medio para que los atacantes puedan introducir Malwares a sus
víctimas, por este motivo estará presente en algunas de las
secciones siguientes del artículo.
En la actualidad, las personas utilizan las redes sociales
para compartir fotos, videos, mantenerse en contacto con otras El objetivo principal de este artículo consiste en analizar las
personas y por diversión; estas redes sociales son vistas como amenazas, vulnerabilidades y los riesgos que estas conllevan
un medio virtual de comunicación, en el cual una persona dentro del entorno empresarial, basándose en la norma ISO
ingresa y busca otros usuarios que compartan los mismos 31000:2009 y en el marco de trabajo de COSO 2, bajo un
intereses [1]. La popularidad de las redes sociales en línea modelo de Gobierno, Riesgo y Cumplimiento (GRC). Para el
(RSL) ha crecido en los últimos años, redes como Facebook, modelo de GRC, en este artículo se utilizarán los principios
Twiter y Orkut han multiplicado la cantidad de usuarios; las propuestos por Deloitte [4]:
personas utilizan las redes sociales, en sus casas, en la calle y
en sus empresas, y este aumento en el uso y en la cantidad de • Principio 1: Una definición común de riesgo
usuarios, hace que los riegos de seguridad asociados a las RSL enfoca a la preservación y creación del valor, es
se vuelvan una preocupación para la industria, la academia y el usada consistentemente a través de la organización
gobierno [2]. • Principio 2: Un marco común de riesgo soportado
por estándares apropiados (ej., COSO ERM, ISO,
Algunas estadísticas sobre el tipo de información que las etc.) es usado a través de la organización para
personas comparten en las redes sociales, fueron gestionar el riesgo
proporcionadas por Ralph Gross y Alesandro Acquisti, quienes • Principio 3: Roles claves, responsabilidades y
estudiaron a los usuarios de Facebook en la universidad autoridades relacionadas para gestionar el riesgo
Carnegie Mellon, ellos descubrieron que el 90.8 por ciento de son claramente delimitadas dentro de la
los usuarios subía sus fotos, el 87.8 por ciento revelaba su organización
fecha de nacimiento, el 39.9 compartía su número telefónico y
• Principio 4: órganos del gobierno (ej., Consejos de
el 50.8 por ciento publicaba su dirección actual [2]; dicha
Accionistas , comités de auditoría, etc.) tienen
información se vuelve un insumo para el tipo de ataques que
apropiada transparencia y visibilidad en las
trata este artículo, "Ataques por Malware", el cual será
prácticas de la organización en la gestión de
explicado en detalle en las próximas secciones.
riesgos para cumplir con sus responsabilidades
• Principio 5: La dirección ejecutiva tiene la
Otra manera de ver a las RSL, es como un espacio en el
responsabilidad de diseñar, implementar y
cual las personas administran su identidad, es decir, como un
mantener un programa eficaz de los riesgos
Sistema de Gestión de Identidad (SGI). Las principales
• Principio 6: Una infraestructura de gestión de
características de los SGI son: permiten guardar información
riesgo común se utiliza para apoyar las unidades
personal, proporcionan herramientas para gestionar esta
información personal y definir como esta es presentada,
2. de negocio y funciones en el desempeño de sus cada organización gestiona sus riesgos en cierta medida y de
responsabilidades de riesgo cierta manera; sin embargo, lo que propone esta norma, son
• Principio 7: Ciertas funciones (Ej., Auditoría una serie de principios (directrices) que deben ser satisfechos
interna, gestión del riesgo, conformidad, etc.) para hacer una gestión eficaz del riesgo. Esta norma establece
ofrecen garantías objetivas, así como supervisan e un marco de trabajo, y como tal es abierta a cualquier sector
informan sobre la eficacia del programa de riesgo empresarial, a cualquier tipo de riesgo, dentro de cualquier
de la organización Propiedad del Riesgo. alcance y contexto [6].
• Principio 8: Las unidades de negocio
(departamentos, agencias etc.) son responsables
C. COSO II: Gestión de Riesgos Empresariales
por el desempeño de sus negocios y la gestión del
riesgo de acuerdo al marco del riesgo establecido Coso II es un marco de referencia para gestionar los riesgos
por la dirección ejecutiva. empresariales [7], ha ganado influencia debido a que está
• Principio 9: Ciertas funciones (Ej., finanzas, relacionado a los requerimientos expuestos en la ley Sarbanes-
gestión del riesgo, TI, conformidad, etc.) tienen un Oxley [8]. Coso II establece una serie de componentes para la
impacto penetrante sobre el negocio y proveen administración de los riesgos [7].
soporte a las unidades del negocio de acuerdo al • Ambiente interno: establece cómo el personal de la
programa de riesgos de la organización. organización percibe y trata los riegos.
• Establecimiento de los objetivos: objetivos
organizacionales que deben ser consecuentes con el
A. Un primer acercamiento: Malwares en Redes Sociales
riego aceptado.
Un malware es un tipo de software malicioso que tiene • Identificación de los riesgos: eventos internos y
como objetivo infiltrarse en una computadora sin el externos que afectan los objetivos de la organización.
consentimiento de su propietario; el primer malware conocido
• Evaluación de los riesgos: análisis de los riesgos
en las redes sociales fue Samy, el cual atacó a la red social
considerando su impacto y probabilidad.
MySpace. Samy inició con la infección de una sola persona;
después de 20 horas, más de un millón de personas se • Respuesta al riesgo: posibles respuestas a los eventos
encontraban infectadas; después de dos días, MySpace tuvo que afectan los objetivos organizacionales (evitar,
que ser apagado para poder arreglar el problema [5]. aceptar, reducir o compartir el riesgo).
• Actividades de control: actividades para asegurar
Samy, utilizaba un tipo de tecnología denominada “Cross que las respuestas a los riesgos se lleven a cabo
site scripting (XSS)”, el cual es una falla de seguridad a la que efectivamente.
las aplicaciones Web son vulnerables; algunas redes sociales se • Información y comunicación: captura de
han fortalecido para evitar que sus aplicaciones Web sean información y comunicación a los responsables.
atacadas mediante XSS, sin embargo, nuevos tipos de Malware • Monitoreo: se monitorea toda la gestión de los
han aparecido, y mediante el uso de mensajes automáticos y de riesgos (componentes anteriores).
ingeniería social son capaces de infectar a sus víctimas. Los
mensajes son enviados a través de una red social, como
Facebook, y pide a las víctimas bajar una actualización de un D. Gobierno, Riesgo y Cumplimiento
software para poder ver este mensaje, una vez el usuario Es un marco de referencia para la integración del Gobierno
acepta, este queda infectado [5]. Corporativo, la Administración de Riesgos y el Cumplimiento
regulatorio; para lograr esto, se basa en los siguientes
A pesar de que las redes sociales han dicho que sus sitios principios: La integración de los órganos/responsables del
están protegidos contra XSS, este sigue siendo el método más gobierno, la administración y gestión de riesgos, el control
utilizado en cuanto a Malware en Redes Sociales; existen dos interno y el cumplimiento, la asignación puntual de roles y
tipos de ataques XSS, el ataque Persistente y el No Persistente. responsabilidades del personal clave, la formalización de los
El Persistente, inyecta el código malicioso directamente en el canales de comunicación, la aplicación de un enfoque basado
servidor como texto HTML, como por ejemplo en el campo de en riesgos, y la implementación de un programa de
comentario de un foro, cuando el visitante accede al foro, cumplimiento [4].
queda entonces infectado. El método no Persistente, es el más
utilizado, en este tipo de ataque el código malicioso es enviado
a través de un mensaje de error o cualquier otro mensaje [5]. II. AMBIENTE INTERNO
Para poder detectar la percepción de los riesgos
relacionados al Malware en las Redes Sociales, se debe
B. ISO 31000: Gestión de Riesgos establecer si existen campañas educativas, si el lenguaje
Este estándar tiene como objetivo ayudar a las utilizado en estas es accesible a todos los usuarios y si el uso de
organizaciones a gestionar sus riesgos de manera efectiva. Si se las RSL está restringido. En caso de que las campañas
analiza cada organización en particular, es posible concluir que educativas no existan y que el uso de las RSL no esté
3. restringido; las campañas deben ser creadas y algunas de las • Robo de información sensible, cómo datos de
directrices que se deben establecer son [9]: clientes
• Todas las personas que acepten cómo amigos • Robo de activos físicos
deben tener una imagen reconocible.
• Información personal sólo debe ser mostrada a un
círculo cercano de amigos. V. EVALUACIÓN DE RIESGOS
• No se deben aceptar ningún tipo de archivos, La evaluación de los riesgos depende del entorno
incluyendo imágenes. corporativo; sin embargo, este artículo pretende ser una guía
• No publicar información laboral en las RSL. metodológica general sobre la gestión de los riesgos asociados
• No abrir mensajes de spam. a los malwares en las RSL, por lo tanto, se presentarán unas
directrices para la evaluación preliminar de los mismos.
• No acordar encontrarse con una persona que se
haya conocido a través de la RSL.
Se deben establecer una escala de impacto de los riesgos y
una escala de probabilidad de los mismos; una vez realizado
En este punto, es recomendable tener en cuenta el noveno
esto, se debe establecer una matriz de impacto vs probabilidad,
principio del modelo de GRC definido por Deloitte, ya que
en donde se identifiquen riegos críticos que la organización
existen áreas de la compañía con mayor impacto a la hora de
deba mitigar o evitar, y riesgos que la organización deba
materialización de los riesgos.
aceptar. Con la matriz anterior se debe proceder a asociar los
riesgos identificados [10]; la anterior es sólo un tipo de método
III. ESTABLECIMIENTO DE OBJETIVOS que puede ser utilizado, existen varias metodologías que se
pueden utilizar y que caben en la siguiente clasificación [11]:
A pesar de que los objetivos de la organización ya deberían
estar creados, estos se deben utilizar para establecer el riesgo
• Evaluación cualitativa
aceptado [9].
• Evaluación semicuantitativa
IV. IDENTIFICACIÓN DE RIESGOS • Evaluación cuantitativa
Al identificar los riesgos, es recomendable tener en cuenta
el primer principio del modelo de GRC definido por Deloitte. Existen diferentes métodos para cada una de estas
Las principales amenazas en las RSL relacionadas con los evaluaciones, los cuales se salen del alcance de este artículo.
Malwares son las que tienen que ver con "Cross Site
Scripting (XSS), virus y gusanos", estas amenazas tienen En este punto, es recomendable tener en cuenta el noveno
unas vulnerabilidades y unos riesgos asociados [9]. principio del modelo de GRC definido por Deloitte, ya que
existen áreas de la compañía con mayor impacto a la hora de
materialización de los riesgos, se debe evaluar si esta
A. Vulnerabilidades evaluación de impacto y probabilidad es necesario hacerla por
Algunas RSL permiten a los usuarios publicar código cada área por separado.
HTML dentro de sus perfiles y dentro de sus mensajes, estas
RSL son vulnerables a ataques XSS, estos ataques permiten VI. RESPUESTA AL RIESGO
inyectar código malicioso en el computador de la víctima de Se debe definir cuál será la acción o la respuesta a tomar
una forma relativamente fácil, es por este motivo, que esta para cada riego de acuerdo con su evaluación, las posibles
forma de ataque es muy utilizada; este tipo de virus tiene la respuestas son [7]:
particularidad de poder expandirse rápidamente. Ataques de
ingeniería social pueden ser usados para inyectar malwares que • Evitar: no se realizan las actividades que generan
posteriormente pueden robar información valiosa para las el riesgo.
organizaciones, usuarios, contraseñas, datos bancarios, entre • Reducir: se toman acciones para mitigar el riesgo.
otro tipo de información. [9].
• Compartir: se toman acciones para transferir o
compartir el riesgo, por ejemplo, una póliza de
B. Riesgos seguros.
Los efectos de la vulnerabilidad asociada son [9]: • Aceptar: no se toman acciones.
• Denegación de servicio.
• Pishing VII. ACTIVIDADES DE CONTROL
• Envío y recepción de contenido no solicitado
Se establecen políticas y procedimientos para ayudar a que
• Robo de identidad
las respuestas a los riesgos se den de manera adecuada
• Espionaje corporativo [7].Estas políticas se centran en la creación de actividades de
• Daño a redes corporativa. control enmarcadas en las redes sociales para este documento
4. y bajo un modelo de Gobierno, Riesgo y Cumplimiento a) Provisión de servicios: Se debe garantizar los
(GRC) , las cuales podemos definir como las siguientes[8], controles de seguridad, políticas de servicio y niveles de
[13],[14] : entrega sean gestionados, implementados y mantenidos por
los terceros.
• Control de acceso a la red b) Supervisión y revisión de los servicios prestados
• Control de acceso al sistema operativo por terceros: Las actividades realizadas por terceros deben
• Control de acceso a aplicaciones y a la ser monitoreados y auditadas regularmente para asegurar que
información no incumplan con las políticas de seguridad del negocio.
Cada una de estas actividades tiene sus respectivos c) Gestión de cambio en los servicios prestados por
controles los cuales se han enfocado en las redes sociales para terceros: Se deben planificar los cambios en el suministro
mitigar los riesgos que con llevan, algunos de los controles del servicio, incluyendo mantenimiento, actualizaciones y
son: revisiones de estado, con el fin de poder adecuar importancia
1) Control de acceso a la red a los riesgos y adecuar las políticas de seguridad a estos
cambios.
a) Políticas de uso para los servicios de red: Se debe
proveer de servicios específicos a los usuarios según su rol. 5) Planificación y aceptación del sistema
b) Control de la conexión a la red: Se debe bloquear a) Gestión de capacidades: Se debe monitorizar el uso
redes compartidas, según la política de acceso a la red y las de recursos así como también establecer límites de uso de
necesidades de negocio que necesiten suplirse por usuarios. recursos con el fin de asegurar el funcionamiento requerido
c) Control de enrutamiento de la red: Se debe del sistema.
controlar el enrutamiento de las redes para asegurar que las b) Aceptación del sistema: Se deben establecer criterios
conexiones y la transmisión de la información no incumplen de aceptación para cualquier tipo de modificación a los
con las políticas de control de acceso a las aplicaciones de sistemas.
negocio. 6) Protección contra el código malicioso y descargable
a) Controles contra el código malicioso: Se deben
2) Control de acceso al sistema operativo establecer controles de detección, prevención y recuperación
contra el código malicioso. Para este caso de las redes
a) Sistema de gestión de contraseñas: Los sistemas de sociales, se debe establecer mecanismos de protección contra
gestión de contraseñas deben garantizar la calidad de la código originado desde a web.
contraseña y generar cada contraseña sin ningún patrón VIII. INFORMACIÓN Y COMUNICACIÓN
específico.
Se deben establecer responsables de cada actividad
a) Uso de los recursos del sistema: Se deben controlar relacionada con los riesgos y mecanismos de comunicación[7].
las aplicaciones del sistema que puedan hacer un uso La gestión de actividades y mecanismos de comunicación
indebido de los recursos del sistema , como también ser son los siguientes [13][14][15]:
verificar si no se han quebrado los controles de seguridad
puestos en los sistemas y aplicaciones . 7) Intercambio de información
b) Desconexión automática de sesión: En el caso en que a) Intercambio de información y software: Se deben
se estén incumpliendo las políticas de seguridad, se debe establecer controles y políticas de intercambio de información
descontar de la red con el fin de prevenir alteraciones al con objetivo de salvaguardar la información por medio de
sistema o un uso indebido, así como también se debe cualquier tipo de comunicación.
descontar del sistema luego de un tiempo determinado de b) Acuerdos de intercambio: Se deben
inactividad. establecer acuerdos para el intercambio de información entre
c) Tiempo de conexión: Para las redes compartidas o la organización y organizaciones externas.
que posiblemente sean más inseguras, se debe establecer un c) Soportes físicos en transito: Se deben controlar los
tiempo de conexión que permita tener una capa adicionar de medios que contienen información sensible de la organización
seguridad al no permitir conexiones permanentes externas. cuando se disponen a salir de los límites físicos de la
organización.
3) Control de acceso al sistema operativo d) Mensajería electrónica: Se debe controlar el flujo de
información de la mensajería electrónica de uso de la
a) Procedimientos seguros de inicio de sesión: Se debe organización, con el fin de supervisar si está cumpliendo con
restringir el acceso a usuarios sobre la información y los controles de uso y medidas de protección.
funcionamiento de las aplicaciones del negocio, en relación a e) Sistemas de información empresariales: Se deben
la política de control de accesos definida para cada uno de implementar políticas y procedimientos para proteger la
estos. información asociada a los sistemas de información del
4) Gestión de provisión de servicios por terceros negocio.
5. IX. MONITOREO XI. TRABAJO FUTURO
Se establecen mecanismos para auditor y monitorear el Este trabajo trató individualmente uno de los principales
riesgo [7],[12],[13],[14],[15]. problemas de seguridad de las redes sociales, el Malware; sin
embargo, este no es el único problema que estas redes poseen,
8) Supervisión y en trabajos futuros se pueden llegar a tratar otros problemas
importantes como son:
a) Registros de auditoria: Se deben mantener durante
un periodo de tiempo determinado todos los registros de • Borrado de cuentas
auditoria con las grabaciones de las actividades de los • Spam
empleados, con anormalidades y eventos que se hayan • Agregadores
causado y que involucren a la seguridad de información, con • Phishing
el fin de facilitar el monitoreo de los controles de acceso y las • Infiltración
investigaciones que se lleven a cabo sobre este. • Robo de identidad
b) Supervisión del uso del sistema: Se debe
establecer políticas de control de monitoreo para determinar
las actividades de monitoreo y las acciones que se deben
realizar en el caso de encontrar anormalidades o usos
indebidos del sistema.
c) Registro de administración y operación: Se deben REFERENCIAS
registrar las actividades de los usuarios del sistema, con el fin
de tener datos que indiquen posibles infracciones en las
[1] W. Luo, J. Liu, J. Liu, and C. Fan, “An Analysis of Security
políticas de seguridad.
in Social Networks,” 2009 Eighth IEEE International
X. CONCLUSIONES Conference on Dependable, Autonomic and Secure
Computing, pp. 648–651, 2009.
Los Malwares en las redes sociales son un tipo de amenaza
que puede permitir desde el robo de la información personal de [2] H. Gao, J. Hu, T. Huang, J. Wang, Y. Chen, and A. Osns,
las personas, hasta el robo de información sensible en las “Security Issues in Online Social Networks,” IEEE - Social
organizaciones. El Malware puede ser combinado con otro tipo Network Security, 2011.
de amenazas y herramientas para potenciar sus consecuencias,
[3] E. P. Paper, S. N. Author, G. Hogben, S. Issues, O. S.
por ejemplo, con el robo de identidad para lograr robar un
Networks, S. Networks, S. Networks, S. Networks, F. I.
activo físico de la organización. Providers, S. Networking, and S. Networks, “Security issues
Con una adecuada gestión de riesgos, basada en in the future of social networking,” W3C Workshop on the
metodologías y marcos de referencia existentes, como COSO II Future of Social Networking, pp. 3–7, 2012.
y la norma ISO 31000, además usando un modelo GRC, es
posible minimizar los riesgos asociados y en lugar de evitarlos. [4] ISACA, “Uniendo al Gobierno, Riesgo y Cumplimiento
Es importante tener en cuenta que no importa el tipo de (GRC),” ISACA, 2010. [Online]. Available:
riesgo a tratar, estos marcos de referencia ayudan de forma http://www.isacamty.org.mx.
efectiva a gestionar cualquier tipo d riesgos. [5] A. Makridakis, E. Athanasopoulos, S. Antonatos, D.
A la hora de realizar la evaluación de los riesgos, es Antoniades, S. Ioannidis, and E. P. Markatos,
necesario considerar los factores ambientales de la empresa, “Understanding the Behavior of Malicious Applications in
como sus objetivos organizacionales, sector económico, y Social Networks,” IEEE Network - September/October 2010
factores normativos. 19, no. October, pp. 14–19, 2010.
El clima organizacional de la empresa es un factor
determinante a la hora de evaluar los riesgos asociados al [6] M. Castro, “El Nuevo Estándar ISO para la Gestión del
Riesgo,” pp. 1–4, 2009.
malware en las redes sociales, es necesario hacer visible los
riesgos que conllevan la imprudencia e ignorancia, con un [7] M. A. P. R. P. Arte, “COSO II : Enterprise Risk
clima organizacional saludable, los empleados podrán Management – Primera Parte,” 2009.
identificar de buena manera y por propia voluntad, los riesgos
que existen al llevar a cabo acciones imprudentes dentro de [8] The Public Risk Management Asociation, “A structured
estas redes sociales. approach to Enterprise Risk Management ( ERM ) and the
Es importante establecer el uso adecuado de los servicios requirements of ISO 31000 Contents,” AIRMIC, Alarm,
con el fin de hacer monitoreos y revisiones que no incumplan IRM: 2010, 2010.
con la protección de datos y la privacidad de la información de [9] E. Position and P. No, “Security Issues and
carácter personal. Recommendations for Online Social Networks,” ENISA, no.
1, 2007.
6. [10] S. y S. en el Trabajo., “Método de evaluación general de [14] Diapic, M.Popovic, P.Lukic," Integration of the technical
riesgos,” 2013. [Online]. Available: http://norma- product risk assessment within the ISO 31000 enterprise
ohsas18001.blogspot.com/. risk management concept", IEEE Network , 2010.
[11] M. Robertson, Y. Pan, B. Yuan, and A. Background, “A
Social Approach to Security : Using Social Networks to [15] Cisco"Evaluating Application Service Provider
Help Detect Malicious Web Content,” IEEE Security for Enterprises", [Online]. Available:
COMMUNICATIONS LETTERS, 2012. http://www.cisco.com/web/about/security/intelligence/asp-
eval.html, 2011
[12] AirMic Alarm," A structured approach to Enterprise Risk
Management (ERM) and the requirements of ISO 31000,”
The Public Risk Management Association, 2010.
[13] John Shortreed, “ISO 31000 – Risk Management Standard”,
University of Waterloo, 2008.