Entradas con la etiqueta ‘facebook’

Aplicaciones de facebook permiten el acceso a terceros

Según Symantec, terceras personas,  en particular anunciantes, han tenido acceso a cuentas de usuario de Facebook, incluyendo perfiles, fotografías, chat y también la posibilidad de enviar mensajes. Afortunadamente, éstos no han sido conscientes de que tenían la posibilidad de acceder a dicha información. Según comenta Symantec, se han puesto en contacto con Facebook para que tome las acciones correctivas oportunas.

El origen de este agujero han sido las aplicaciones de Facebook. Éstas son aplicaciones web que están integradas en la plataforma de Facebook. Diariamente más de 20 millones de aplicaciones son instaladas.

Según Symantec, en ciertos casos, las aplicaciones IFRAME de Facebook han permitido, sin darse cuenta, el acceso a terceros como anunciantes o plataformas de análisis. Manejan datos de que hasta Abril de 2001, cerca de 100.000 aplicaciones permiten este acceso a información.

La aplicaciones de Facebook utilizan “tokens” de acceso para realizar ciertas acciones en nombre del usuario o para acceder al perfil del usuario correspondiente. Cada uno de esos tokens es asociado con con una serie de permisos como: leer tu muro, acceder al perfil de tus amigos, escribir en tu muro, etc.

Permisos de aplicacion en Facebook

Durante el proceso de instalación de la aplicación, ésta solicita al usuario permisos para realizar esas acciones. Después de lograr esos permisos, la aplicación consigue un token de acceso como se muestra en la siguiente imagen:

Utilizando este token de acceso, la apliación puede acceder a la información del usuario o realizar acciones en nombre del usuario.

Por defecto, la mayoría de tokens expiran después de un periodo de tiempo, sin embargo la aplicación puede solicitar un acceso offline que le permita utilizar esos token hasta que el usuario cambie su contraseña, incluso aunque esté desconectado.

¿Cómo permiten los token el acceso a terceros?

Por defecto, Facebook utiliza OAUTH2.0 como método de autenticación. Sin embargo, esquemas antiguos de autenticación son todavía soportados y utilizados por miles de aplicaciones.

Conclusiones

Facebook ha anunciado que ha introducido cambios para prevenir el agujero de seguridad introducido en los tokens.

No manera de estimar cuántos tokens se han filtrado desde el lanzamiento de Facebook en 2007.  Según Symantec,  muchas de estas fichas aún puede estar disponible en los archivos de registro de servidores de terceros o siendo activamente utilizados por los anunciantes.  Si has instalado algún tipo de aplicación en Facebook, se recomienda cambiar la contraseña de Facebook para invalidar los tokens de acceso. Cambiar la contraseña, invalida estas fichas y es equivalente a “cambiar la cerradura” de tu perfil de Facebook.

Las redes sociales y la violación al derecho a la intimidad

El dere­cho a la intim­i­dad y el dere­cho a la ima­gen con­for­man, entre otros, los dere­chos per­son­alísi­mos, y cor­re­spon­den a las personas por su sola condi­ción de tal.


Tanto el dere­cho a la intim­i­dad como el dere­cho a la ima­gen son vio­len­ta­dos diari­a­mente en Inter­net. Los avances tec­nológi­cos, per­miten que se publiquen imá­genes sin autor­ización de sus tit­u­lares, ata­cando de esta forma la intim­i­dad de las personas.

En este sentido, la exposi­ción a la vida pri­vada en redes sociales es pre­ocu­pante, y las con­se­cuen­cias que ello trae abren un debate sobre el dere­cho a la intim­i­dad y la lib­er­tad de expresión.

La con­frontación de dere­chos es motivo hoy de con­tro­ver­sia, debido a la pro­lif­eración de redes sociales como Face­book o Twit­ter, donde los usuar­ios brin­dan datos per­son­ales sin ser con­scientes de las con­se­cuen­cias que puede ello traer. Las condi­ciones legales a las que son someti­dos, en la may­oría de los casos, ni siquiera son leí­das, amén de la ambigüedad que muchas presentan.

Quienes hacen uso de las nuevas tec­nologías, deben ser con­scientes de cier­tas lim­ita­ciones que se pre­sen­tarán a la hora de defender su dere­cho a la no pub­li­cación de datos per­son­ales. Uno de los datos a tener en cuenta es que la Ley de Pro­tec­ción de datos posee un ámbito de apli­cación reducido si se tiene en cuenta que las redes, en su may­oría, se encuen­tran alo­jadas en Esta­dos Unidos, como por ejem­plo Face­book.

Es nece­sario por parte de los usuar­ios, evi­tar la pub­li­cación de infor­ma­ción per­sonal, fotos ya sea famil­iares, de ami­gos, y de menores. Nue­stros dere­chos empiezan a ser respeta­dos cuando los hace­mos respetar, y ésta es una de las for­mas.

Cómo reconocer las aplicaciones fraudulentas en Facebook

En el blog oficial de seguridad de BitDefender hemos encontrado una serie de consejos que os pueden ser de utilidad para reconocer aplicaciones fraudulentas en la red social Facebook.

1. Desconfía de los nombres extraños

Una aplicación legítima tendrá un nombre claro y, si es posible, fácil de recordar para que los usuarios sepan lo que están instalando. Por lo tanto, ¿algo así como “MMN” o’…,.?’ ¿o incluso jolieforyou /? O eacdwyxu debería levantar alguna sospecha.

Normalmente el nombre debe coincidir con lo que promete hacer la aplicación. Por lo tanto, si estás planeando instalar una aplicación que promete decirte cómo eres de adicto a Facebook, no debería llamarse algo así como “memo76″.

Por último, cuidado con los imitadores. Si te encuentras con una aplicación llamada ‘frmvilles’ no pienses que los autores de la aplicación tienen mala ortografía. Es, simplemente, un intento de engañarte.

2. Desconfía de las aplicaciones sin imagen o con imagen poco relacionada

¿Es la imagen de la aplicación consistente con lo que ofrece la aplicación? Lo normal es que el elemento visual (la imagen) asociado a la aplicación debe ser fácilmente reconocible y memorizable e ilustrativo de lo que hace la aplicación, y no una imagen vacía.

3. Fíjate en quién es el desarrollador

Si eres prudente puede que te preguntes quién es el desarrollador de la aplicación. ¿Un proveedor alternativo o, por el contrario, uno cuyo nombre se asemeja notablemente al de una persona famosa?  Si la persona que figura como desarrollador és alguien famoso, sospecha.

4. Presta atención a los comentarios

Una aplicación legítima, al igual que una maliciosa, busca no pasar desapercibida. Entonces, ¿Cómo distinguirlas? Sobre todo, hay que tener cuidado, ya que no hay que fiarse del número de usuarios. Que una aplicación haya sido instalada por un gran número de usuarios no quiere decir que no sea maliciosa. Fíjate en los comentarios: lo que la gente diga sobre una aplicación sí te puede dar una pista.

5. Si te pide copiar y pegar un código, es fraudulenta

Ninguna aplicación legítima te pedirá copiar y pegar un código en el navegador. Si te lo pide, seguramente es fraudulenta.

6. Introduce tu contraseña

Si una aplicación te pide una contraseña y nombre de usuario, pese a que ya estás con una sesión iniciada en Facebook, es que no trama nada bueno.

El phishing es un método de adquisición ilícita de datos personales como nombres de usuario, contraseñas o detalles de tarjetas de crédito mediante la creación de una página web que es similar a la página web de una entidad de confianza.

1. Observa la dirección de las dos páginas ¿Es posible que la dirección de Facebook sea “farrtbook”?

Además, todas las páginas de inicio de sesión respetables utilizan “https:”. La verdadera página de Facebook lo hace.

2. Si no estás en los EE.UU., la verdadera página de Facebook te dará la opción de iniciar la sesión utilizando tu lengua materna. La falsa no lo hace.

3. No todas las opciones disponibles en la página real de facebook están presentes en las falsas. Los phishers son un poco vagos.

7. Es extraño que tengas que verificar que eres humano

Como principio general, la plataforma social que estás utilizando trata de hacer la experiencia del usuario lo más agradable posible. Es por eso que cualquier prueba de verificación de humanos, por no hablar de un laberinto de pruebas que parece que nunca llegarán a ninguna parte, es una petición que es muy poco probable que proceda de una aplicación legítima.

8. No te fíes de las promesas imposibles

Veamos un ejemplo: teniendo en cuenta la creciente preocupación con respecto a la privacidad del usuario, ¿crees que ‘las aplicaciones espía van a tener los medios de decirte el número de visitas a tu perfil, a proporcionarte una lista de amigos que han visitado tu perfil y similares?

Por último BitDefender tiene disponible la aplicación BitDefender Safego para protegerte en Facebook (http://apps.facebook.com/bd-safego/)

Fuente: BitDefender

Google lanza un botón Me gusta para las búsquedas, Google Plus One

Google ha lanzado un botón para votar los resultados de búsqueda que obtengan los usuarios. Se trata de +1 (Plus One) y ha sido visto por muchos como una amenaza directa al botón Me gusta de Facebook. Con el Google +1 los usuarios podrán recomendar a otros un resultado de búsqueda, una compañía o un contenido. Por lo tanto, si un resultado es votado aumenta su relevancia para la cuenta con la que se ha accedido.

Con el botón “Me gusta” de Facebook, Google vio peligrar su supremacía. La pugna entre estas dos compañías se viene dando en varios terrenos, pero el auge del social media ha propiciado que la red social más importante adquiera una fuerte presencia.

Como es costumbre con las nuevas funcionalidades, por lo pronto estará disponible sólo para usuarios que vivan en países de habla inglesa, de hecho, sólo para 2% de dichos usuarios.

La nueva funcionalidad aparecerá como un botón a un lado de cada resultado de búsqueda. Cuando un usuario de Google pulsa el botón +1 la próxima vez que acceda con sus claves ese resultado se verá empujado hacia arriba, ya que ha sido marcado como relevante. Se trata de una forma de personalizar el servicio que ofrece el buscador.

Con +1 Google lo que pretende es introducir una capa social que la compañía está buscando para todos sus servicios. Aunque esta solución se trata más de una personalización de las búsquedas, con lo que supone una mejora del servicio para los usuarios.

Es de suponer que los datos que ofrecen sobre cada usuario sus recomendaciones serán utilizados por Google para servirles una publicidad más dirigida y, por tanto, más efectiva. Esto redunda en beneficio del buscador, que conseguirá anuncios más atractivos para su público, y con ellos más clics e ingresos.

Cuidado con el SPAM o aplicaciones no deseadas en Facebook

Con el crecimiento del número de usuario de redes sociales también aumenta el número de aplicaciones maliciosas e ingeniería social para que, a través de scam, un usuario haga clic sobre ellas y que así se propaguen entre nuestros contactos.

Lo hemos visto con aplicaciones del tipo, mira como esta chica destroza su vida en 10 segundos, mira esta foto a ver si puedes resistir las lágrimas, último juego de Super Mario para Facebook, la mejor ilusión óptica, páginas de contactos que también disponen de su aplicación, etc. Todas estas aplicaciones suponen que nuestro muro se abarrote de entradas no deseadas.

Estas aplicaciones se aprovechan de la curiosidad del usuario para que llegue a pulsar en ellas. Al hacer clic se le permite el acceso a una serie de datos personales que no son para nada necesarios.

Para poder protegernos de estas amenazas os damos unos consejos de seguridad en redes sociales:

Ajusta las opciones de privacidad

Permite sólo a tus amigos más cercanos ver tu perfil completo y utiliza un perfil restrictivo para los demás. De esta forma evitarás que gente no deseada pueda consultar tus datos más personales.

Configura el acceso bajo HTTPS

Tanto desde Facebook como desde Twitter es posible configurar el acceso a través de protocolo seguro (HTTPS), para proteger el envío de datos personales.

Acepta como amigos sólo a personas que conoces

Evita aceptar como amigos a personas que no conoces y, si lo haces, en ningún caso deberías permitirles ver tu perfil completo.

Evita utilizar los enlaces que te reenvían

No abrás un adjunto de un mensaje que pueda resultar sospechoso, ni aunque te lo envíe un amigo. Este amigo puede estar infectado, o tal vez le han robado la cuenta y no sepa que está enviando los enlaces. Estos enlaces suelen enviarte a páginas web de dudosa finalidad o algunas pueden incluso hacerte descargar archivos infectados.

Mucho cuidado sobre todo con los enlaces modificados con acortadores.

Sé precavido cuando instalas aplicaciones

Algunas aplicaciones de redes sociales desde los móviles, por ejemplo, pueden haber sido creadas por cibercriminales y, por tanto, pertenecer a la categoría de no deseadas.

Piensa antes de hacer clic

Antes de pulsar el botón “Me gusta” en Facebook, piensa. Tus amigos pueden estar infectados por un gusano secuestrador de clics. Comienza a actuar cuando tú pulsas el botón “Me gusta” y luego se dedica a enviar SPAM a otros. Si quieres eliminar este gusano, necesitas eliminar el mensaje infectado de tu estado y de tu muro, y comprobar la configuración de aplicaciones en busca de las que puedan ser sospechosas.