Las empresas están cambiando su forma de relacionarse con sus clientes y público potencial. Los sistemas tradicionales evolucionan a entornos colaborativos donde se establece un diálogo con la comunidad.

Según el índice anual de riesgo en redes sociales de Pymes, publicado por la firma de seguridad informática Panda Security, el 78% de las compañías encuestadas utiliza las redes sociales como herramientas para:

• Apoyar la investigación y la inteligencia competitiva.
• Mejorar su servicio de soporte al cliente.
• Implementar las relaciones públicas y las iniciativas de marketing.
• Generar beneficios directos.

Sin embargo, en las estrategias de espacios de vinculación social basados en la web, y en las políticas de seguridad de la compañía, es habitual olvidar la posibilidad de tener un plan específico de gestión de crisis que puede venir generado por cualquiera de los tres grandes riesgos a los que se enfrentan cada día en las redes sociales, y que se enmarcan dentro de los conceptos de legitimidad, seguridad y privacidad.

Al respecto, dichos riesgos ya se pueden cuantificar. En el estudio citado, Facebook es mencionado como el principal culpable para las compañías que experimentaron infecciones de malware (72%) y violaciones de privacidad (73%).

YouTube ocupa el segundo lugar en cuanto a infecciones (41%), mientras que Twitter contribuyó a una cantidad significativa de violaciones de privacidad (51%). 

Para las compañías que reportaron pérdidas económicas en relación a este último concepto por parte de los empleados, Facebook fue una vez más el más mencionado como la red social en el que se originaron dichas pérdidas (62%), seguido de Twitter (38%), YouTube (24%) y LinkedIn (11%). 

LegitimidadLa protección de la marca o identidad digital debería ser una prioridad, pero la realidad es que no lo es ni para las principales plataformas de social media ni para las compañías.

El hecho de que cualquiera pueda dar de alta un perfil utilizando denominaciones comerciales reales implica:

• que pudiera estar hablando en nombre de una compañía sin serlo;
• que se creen comunidades de usuarios que “engañados” asuman que la cuenta realmente es la legítima;
• que a través de dichos perfiles se emitan informaciones que pudieran ir en contra de la marca y desencadenar, por lo tanto, una crisis que pudiera impactar directamente al negocio.

Sólo algunas redes, como Twitter, permiten legitimar la cuenta haciéndola oficial. 

Pero en muchas otras no existe dicho mecanismo. Por lo tanto, es recomendable el registro de todos los perfiles relativos a una marca en las principales redes sociales, dejando bien claro que es el canal oficial si no hubiera otras alternativas de certificación para tal fin.

SeguridadLos mismos problemas que afectan a los usuarios de redes sociales también aplican a los perfiles corporativos, salvo que el efecto negativo puede ser mayor. Los principales problemas de seguridad son, entre otros:

1. Robo de la identidadLos usuarios administradores podrían estar infectados y poner en riesgo los login y contraseñas de acceso a sus perfiles.

De esta manera, cualquiera podría tomar control de la cuenta para llevar a cabo todo tipo de acción, incluyendo programar eventos (en Facebook, por ejemplo) con links que descargaran malware.

Además, un usuario malicioso podría emitir información desde el perfil oficial de la marca, con el consecuente efecto negativo.

2. Riesgos de infecciónA través de cualquiera de las aplicaciones de mensajería, o utilizando el “timeline” de las populares plataformas de “microblogging”, podría recibirse información con un link oculto que realmente redirigiera a la descarga de cualquier tipo de amenaza informática.

En el caso de grandes compañías, incluso puede darse el caso de un ataque dirigido. Es decir, diseñado específicamente para llegar a infectar las computadoras de los usuarios con la finalidad de introducirse en la red y tener acceso a todo tipo de información.

Igualmente, alguno de los seguidores podría publicar “links” maliciosos en el muro de los perfiles corporativos, contribuyendo de esta manera, si no se elimina, a la distribución de amenazas informáticas.

En cualquiera de los casos, estas acciones podrían comprometer la integridad de la marca.

Vulnerabilidades de la propia plataformaEn 2010 se observó cómo algunos agujeros de seguridad de redes tan populares como Facebook o Twitter eran rápidamente explotados, poniendo en riesgo a millones de usuarios.

A medida que estos sitios ganen más adeptos, habrá más investigadores en busca de sus puntos débiles, y algunos serán, sin duda, hackers.

RecomendacionesMantener una adecuada política de gestión de contraseñas, cambiándolas de forma regular y haciéndolas siempre lo más fuertes posibles (combinando caracteres alfanuméricos) puede ayudar a proteger la integridad de la compañía.

También una buena educación y concientización en seguridad, así como mantenerse al día siguiendo las noticias que se publican sobre las principales amenazas, ayudará a todos los profesionales que administran los perfiles corporativos a estar alerta y a saber detectar cualquier tipo de irregularidad que llevara asociado un riesgo.

PrivacidadDetrás de los perfiles corporativos hay personas administrándolos.

Al igual que sucede con los perfiles personales, donde se publican muchas veces demasiada información a grupos de amigos o followers, también puede suceder en los empresariales.

Dicha información podría ser utilizada por un usuario malintencionado contra la empresa, ya sea online u offline.

Por ejemplo, postear datos sobre temas relativos a las finanzas, o las costumbres de la propia compañía, o a rutinas, etc. El rango de riesgos puede ser muy amplio.

Además, hay que tener en cuenta que además de los propios responsables de la estrategia online, el 77% de los empleados de las pequeñas y medianas empresas se conectan a las redes durante su horario de trabajo. Y podrían compartir información confidencial en estos entornos.

Por lo tanto, no sólo hay que tener en cuenta dónde están los límites acerca de la información que se comparte, sino aplicar el sentido común que, muchas veces, es el menos común de los sentidos.

El contar con un adecuado plan de formación y de normas de actuación para todas las personas que interactúan con las redes sociales ayudará a la labor de gestionar los datos que salen de la compañía.

“Hasta ahora, la inmensa mayoría de los usuarios de redes sociales son personas que lo utilizan de forma individual”, señaló Luis Corrons, director técnico de PandaLabs.

“Pero estamos viendo un boom de despliegue de estrategias de medios sociales de las compañías en la web 2.0, ya que supone un medio efectivo y asequible de llevar a cabo tácticas de marketing, comunicación, atención al cliente, etc. Así como se benefician de las redes sociales, también están expuestas a numerosos riesgos que, además de producirse, se haría de forma pública y de cara a toda la comunidad”, alertó.

Los planes de seguridad de las empresas, sean grandes o pequeñas, deben contener alternativas de contingencia y de actuación en caso de crisis públicas causadas por cualquiera de estas plataformas, que podrían redundar en una pérdida de la reputación corporativa y en perjuicios económicos.

“Entre otros riesgos, este boom va a provocar, sin duda, que los cibercriminales se fijen en estas empresas y comiencen a diseñar ataques específicos contra éstas”, indicó Corrons.

El expertó explicó que “los beneficios que pueden conseguir infectando a una sola de ellas resultan superiores a los que obtendrían de un usuario particular”.

Propagación de códigos maliciosos Durante enero pasado, Twitter fue utilizada una vez más para propagar malware. Por su parte Facebook sufrió un ataque multi-stage, confirmando la tendencia a utilizar las redes sociales como plataforma de ataque.

El mismo día en que se dio a conocer la noticia de que Twitter había alcanzado las 200 millones de cuentas de usuarios, se detectó la propagación de un gusano que utilizaba el acortador de direcciones URL de Google para su propagación en la popular red social de microblogging.

Mediante el envío de mensajes masivos por medio de Twitter, con textos breves y atractivos y un enlace con un acortador de URL, se invita al usuario a hacer clic.

Cuando esto ocurre, éste es direccionado a diversos sitios web donde se lo alerta sobre una supuesta infección en sus equipos y se ofrece la descarga de la aplicación llamada Security Shield, que no es otra cosa que un "rogue".

“El 'rogue' es un software que, simulando ser una solución de seguridad, en realidad instala códigos maliciosos en la máquina de la víctima. Si bien los ataques en Twitter para propagar esta amenaza ya han sido bloqueados, es importante que el usuario tenga en cuenta los riesgos de hacer clic en enlaces de dudosa procedencias”, aseguró Federico Pacheco, gerente de Educación e Investigación de la empresa de seguridad informática ESET Latinoamérica.

Durante los últimos días del mes pasado, Facebook fue protagonista de un ataque multi-stage.

En este caso, se trató de una amenaza muy elaborada que por medio de la combinación de diversas técnicas recopila datos de la víctima, infecta su equipo y así propaga códigos maliciosos.

Dicho ataque comienza con la infección del equipo del usuario utilizando técnicas de ingeniería social.

Luego, la víctima es redirigida a una página falsa donde se le solicitan las credenciales de inicio de sesión de Facebook que serán robadas para continuar con la propagación de malware.

“Un atacante combina diversas técnicas y herramientas con el fin de recopilar datos de la víctima e infectar el equipo para propagar su código malicioso”, concluyó Sebastián Bortnik, coordinador de Awareness & Research de ESET Latinoamérica.

Otra empresa de seguridad informática, BitDefender, indicó que el malware que ataca a redes sociales como Facebook está tan extendido como el que se dirige a computadoras.

Según las estadísticas de goo.gl, una de las direcciones URL utilizadas para la propagación de una reciente estafa masiva en Facebook - la promesa de mostrar a los usuarios el estado de una niña Facebook, que provocó su expulsión de la escuela - generó 28.672 clics, el 24% de los cuales procedían de plataformas móviles.

Los usuarios que hacían clic en el enlace – ya fuera desde su PC o dispositivo móvil - descargaban un gusano de Facebook y eran víctimas de una estafa para ganar dinero a través de adword basada en régimen de apropiación.

Además, la noticia se volvía a publicar en su muro para que todos los usuarios la vieran y así seguir propagando el mensaje a través de la red social.