Tabla de contenidos
Las redes sociales se han convertido en espacios donde se comparten espontáneamente fragmentos de la vida personal, profesional o social. Fotos, comentarios, reacciones, anécdotas… cada detalle publicado puede parecer trivial tomado aisladamente. Sin embargo, sumados, ciertas informaciones públicas son suficientes para simplificar considerablemente el pirateo de una cuenta. Este fenómeno no se basa únicamente en fallos de software, sino sobre todo en la explotación de datos visibles, accesibles y a menudo proporcionados voluntariamente por los propios usuarios.
En la mayoría de las plataformas sociales, gran parte del perfil es visible por defecto. Nombre, foto, ciudad, intereses, relaciones, a veces incluso la dirección de correo electrónico o el número de teléfono parcialmente oculto. Estos datos constituyen una base ideal para reconstruir un perfil preciso del usuario.
Una cuenta que muestra su nombre exacto, su institución educativa, su puesto actual y su ubicación ya proporciona varias respuestas posibles a las preguntas de seguridad o a los escenarios de recuperación de cuenta. Cuanto más precisas sean estas informaciones, más se facilita el trabajo de un atacante.
Los cumpleaños, fiestas, bodas o fechas importantes se comparten frecuentemente en las redes sociales. Sin embargo, estos elementos se utilizan a menudo como referencias en las contraseñas o en las preguntas de recuperación.
Según un estudio realizado por Google y Harris Poll, cerca del 20 % de los usuarios utilizan una fecha personal significativa en sus contraseñas. Cuando un pirata conoce su fecha de nacimiento, la de un familiar o un evento importante de su vida, ya dispone de un conjunto de hipótesis creíbles para probar.
Las publicaciones del tipo “feliz cumpleaños”, incluso enviadas por amigos, refuerzan aún más esta exposición.
Las redes sociales destacan las relaciones: familia, amigos cercanos, colegas. Sin embargo, muchos métodos de recuperación de cuenta todavía se basan en preguntas como el nombre de un padre, un hijo o una mascota.
Cuando estas informaciones aparecen públicamente en comentarios, fotos etiquetadas o publicaciones, la barrera de seguridad se vuelve en gran medida teórica. Un pirata no necesita adivinar, observa.
Los análisis muestran que más del 30 % de las cuentas comprometidas a través de ingeniería social utilizaban informaciones visibles en el perfil de la víctima.
Las horas de conexión, los lugares visitados regularmente, los tipos de contenidos que se les da «me gusta» o se comentan construyen una rutina digital. Esta rutina permite anticipar:
Estos elementos facilitan los intentos de phishing personalizados. Un mensaje enviado en el momento adecuado, con un tono familiar y un contexto creíble, tiene muchas más posibilidades de éxito que un ataque genérico.
Las fotos compartidas en las redes sociales no solo muestran rostros. Pueden revelar:
Incluso cuando la geolocalización está desactivada, el contenido visual a veces es suficiente para identificar una dirección o un entorno frecuente. Investigadores en ciberseguridad estiman que más del 60 % de las imágenes publicadas contienen pistas explotables, incluso involuntariamente.
Mostrar su dirección de correo electrónico, incluso parcialmente, facilita el trabajo de un atacante. Una dirección asociada a un nombre, un apellido y una red social permite lanzar:
Según Verizon, el 81 % de las violaciones de cuentas implican una reutilización de contraseñas. Una dirección de correo electrónico pública se convierte así en un punto de acceso transversal a varios servicios.
Incluso publicaciones antiguas, a veces olvidadas, pueden ser explotadas. Un antiguo estado mencionando una mudanza, una escuela frecuentada o un antiguo empleo sigue siendo visible y puede ser cruzado con informaciones más recientes.
Los piratas no se concentran únicamente en los últimos contenidos. Analizan el historial completo para reconstruir una cronología coherente y creíble, útil para engañar a los sistemas automatizados o a los soportes de clientes.