Ingeniería social en Facebook a través del botón “Me gusta”

me_gustaPor Gustavo Nicolas Ogawa

En esta ocasión Facebook vuelve a ser objeto de estudio como vector de ataque de ingeniería social.

Seguramente la mayoría esta familiarizado con la Publicación de “Notas” y la escritura de comentarios al “Pie de Foto” , dentro del monstruo de las redes sociales.

Comenzamos Teorizando la posibilidad de dar “Validez“, “Credibilidad“, “Opinión Pública Virtual Positiva“, mediante el uso del botón “Me Gusta“.

Cuántas veces nuestra curiosidad fue víctima de este fenómeno?! Navegando vemos un comentario,una nota ,una foto , que tiene una gran cantidad de “Me Gusta” y entramos a ver por pura curiosidad! que tan bueno puede ser que a tanta gente le gusta (?) ?! Que podría pasar si ya muchos lo hicieron o vieron ?

Comenzamos publicando una Nota en mi Muro con el siguiente contenido: ” Hola, necesito ayuda del público de Facebook para poner “Me Gusta” sobre esta nota para comprobar una teoría! Gracias por colaborar!!! Atte. Gustavo Nicolas Ogawa “

La idea principal era conseguir reputación sobre el contenido publicado mediante la aceptación por parte de los integrantes de la Red Social.

facebook_1

Una vez lograda una cierta cantidad importante de seguidores, procedemos a modificar el contenido de la publicación mediante el botón de “EDITAR” de la nota en cuestión… y ACÁ es donde reside el gran fallo de diseño , control y flujo de la información de fb … Nos permite la modificación del contenido a posteriori de la nota sin advertir a los seguidores sobre dicha actualización !! Con lo cual, estaríamos decidiendo arbitrariamente que es lo que “LE GUSTA” a nuestros seguidores, y también, dando un valor agregado de validez a la información modificada. Por ejemplo podría modificar la nota de la siguiente forma:

Facebook_2

Si comprobamos los links, vamos a ver que son EXACTAMENTE idénticos como también lo es la FECHA de creación de la nota. La información no había sido nunca antes leída por ninguno de aquéllos que dicen gustarle .. y sin embargo, Facebook, afirma que ese conjunto de personas, está de acuerdo con la información proporcionada. O bien.. podría publicar un link malicioso, y de ahí en adelante simplemente esperar a que la curiosidad gane por goleada… todos conocen el dicho “Curiosity kill The Cat” que se aplica perfectamente a esta situación.

Facebook_3

Y que tal si yo tuviese una página de fb y publico contenido mediante las “Notas” y luego modifico la información.. No podría de esta forma acrecentar la opinión pública sobre lo que YO quisiera? No es cierto que la verdad se hace “válida” y verdadera por consenso ? Claramente, nos situamos frente a falacias del tipo  “Cum Hoc, Ergo Propter Hoc“  y “Post hoc, ergo proter hoc”

  • A) Si la modificación no fuese posible en caliente ===> No podríamos hacer una transferencia de reputación desde la información válida, a la información invalida o “Falsa”.
  • B) Si al menos los seguidores de la información fuesen advertidos sobre la modificación ====> Decidirían quitar validez de la información con conocimiento de causa.
  • Al no cumplirse A) y B) y dada la siguiente lógica (en el caso de los links maliciosos):
  • C) El enlace tiene reputación y fue visitado ya por X cantidad de personas.
  • D) Si fué visitado y nadie se quejó al respecto, no debe contener nada que pueda hacerme daño.

Ergo, entro en el enlace MALICIOSO … “La reputación no es causal de la seguridad, ni la seguridad causal de reputación” … o al menos queda demostrado que no siempre DEBERÍA ser así .

Quizás no sea el usuario final en esta ocación el responsable de ser víctima de la ingeniería social, ya que existen formas de evitar la utilización de los medios habilitados para el uso malintencionado. Claro está que la concientización sigue siendo de todas formas, la vacuna ideal contra este tipo de engaños.

Publicado por el autor en la web de Mkit Argentina.