Presentación ofrecida por Selva Orejón, profesora del Posgrado de Comunicación Digital y Social Media de Inesdi, durante la open class del pasado 7 de junio de 2017 en el campus de Inesdi en Barcelona, "Privacidad y Ciberseguridad en Redes Sociales".
Inesdi - Privacidad y Ciberseguridad en Redes Sociales
1. CIBERSEGURIDAD
@onbranding - @brandcare_es - @selvaorejon
Ataques a la identidad digital de
marcas comerciales y de
celebridades con consecuencias
en su reputación
Esta presentación nace de la reflexión y la experiencia vivida en el día a día de
nuestro trabajo. Esta documentación está protegida en el registro de la
propiedad intelectual, queda prohibida su copia y reproducción.
2. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Bagaje ACADÉMICO
• Licenciada en Ciencias de la
Comunicación, en la Universitat
Ramon Llull Facultat Blanquerna,
especializada en Gestión de Crisis,
Estrategia de Reputación, y
Comunicación Online.
• Business Organization and
Environment por la University of
Cambridge,
Complementos de formación
• Inteligencia al servicio del Estado y
la Empresa, UNIA
• Ciberseguridad en Inteligencia,
CISDE
Selva Mª Orejón, directora de onBRANDING
Experiencia PROFESIONAL
• Fundadora y Directora de
onBRANDING y CELEBrandSEC
Anteriormente
• Gestora de Reputación Online de
Repsol YPF
• Responsable de Relaciones Públicas
y Comunidades de lanetro.com
(Grupo Planeta)
• Country Head España y
Latinoamérica de studivz.net, Berlín
• CoFundadora de AERCO (Asociación
Española de Responsables de
Comunidades Online) Vicepresidenta
y Miembro de la Junta Directiva
3. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Preguntas previas a la audiencia
● Cuidado con la conspiranoia
● ¿Cuántos casos conocen próximos o cercanos de...?
○ Webs, Blogs, o redes sociales hackeadas
○ Identidad suplantada
○ Atentado contra la intimidad o el honor en las redes
○ Acoso, sextorsión
○ Monitorización de dispositivos
● Seguridad preventiva: ¿Cuántos tenéis?
○ Cámara tapada
■ PC
■ Móvil
■ Tableta
● ¿Cuántos tenéis antivirus en?
○ Pc
○ Móvil
○ Tableta
● ¿Cuántos creéis que en apple no entran virus?
4. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Recordatorio y deberes
abril 2016
● La mejor defensa es la prevención
● TÉCNICA PAS (Prevenir, Avisar y Socorrer)
● Qué hay sobre ti en Internet:
○ Datos privados publicados. ¿Ya sabes que puede implicar?
○ Hábitos de consumo y de pago: ¿Para qué les puede servir esta
información a los ciberdelincuentes?
■ ¿Con quién compras?
■ ¿Dónde acostumbras a pasar tu tiempo?
○ ¿Cómo se extraen esos datos?
■ Tú los compartes de forma activa o pasiva, consciente o
inconsciente.
■ ¿Cómo podemos saber quiénes son?
■ Casos reales: ataques, denuncia y defensa
● Prácticas
○ Buscar datos privados de forma abierta en Internet
○ Protección y defensa de nuestra identidad digital
○ Cómo denunciar un ataque
5. ● Los ataques cibernéticos a la privacidad personal y
corporativa encabezan la lista de preocupaciones
empresariales
○ Robo - daño de secretos y propiedad intelectual/
industrial
○ Fraudes en línea
○ Robo y suplantación de identidad
■ El costo de estos ciberdelitos suma 1 billón de
dólares, podría triplicarse para el año 2020 si las
compañías no fortalecen su defensa.
Aumento del cibercrimen
Las empresas consultadas consideran bajo su gasto en protección
informática aún es “significativamente bajo”.
abril 2016
6. Ataques a la privacidad personal y
corporativa
“Los malos saben mucho y si no saben...
tienen dinero para contratar a los que sí saben”
El 69% de los 250
ejecutivos entrevistados
temen que esto aumente
y sean más sofisticados.
El 40% de las compañías
consultadas reciben unos
10.000 ataques
cibernéticos/día.
abril 2016
7. Cambio de paradigma en el sector de la seguridad, la
corporación y la sociedad
abril 2016
8. El equipo de onBRANDING y CELEBrandSEC:
● Mejorar la protección de la identidad digital y la defensa de las marcas
tanto personales como corporativas que puedan verse afectadas por:
○ 1) Problemas derivados de una mala prevención y gestión de sus
activos online (Seguridad).
○ 2) Desconocimiento de los derechos que nos amparan y las
responsabilidades jurídicas en el ámbito digital y móvil (Legislación
Digital).
Cambio de paradigma
abril 2016
10. Ataque aleatorio
ATAQUES
1 2
VÍCTIMA/S
Un mínimo común: falta de seguridad / privacidad
Ataque dirigo
TIPO DE VÍCTIMA
TIPO DE ATAQUE
MOTIVACIÓN DEL ATAQUE
Profile
PSICO-SOCIAL-ECO: Identificar
vulnerabilidades (qué necesita “emocional,
profesional... qué no tiene”? y best attack
extorsion ways):$ / Reputación / Activismo
/ Información
TECNOLÓGICO/COM
Plataformas Sociales (perso/Prof), Whatsapp
Mejores horas para contactar y Medio
$$$$$$$$$
Motivación del ataque
Acabar con
tu
reputación
Por
Activismo
Para conseguir
información
VÍCTIMA ANÓNIMA CELEBRIDAD
Directivo
enero 2016
11. Grupo organizado
ATACANTE/S
1 2
3
Ámbito Profesional
VÍCTIMA/S
Ámbito Personal
Ciber Delincuente
FASE 2 PROFILING
FASE 1 TANTEO /SELECCIÓN
FASE 3 GANAR SU CONFIANZA
FASE 4 EXTORSIÓN
Perfil
PSICO-SOCIAL-ECO:
Identificar vulnerabilidades (qué necesita
“emocional, profesional... qué no tiene”? y
best attack extorsion ways):
$ / Reputación / Activismo / Información
TECNOLÓGICO/COM
Plataformas Sociales (perso/Prof), Whatsapp
Mejores horas para contactar y Medio
$$$$$$$$$ - Reputación - Activismo -Información
Fases de un ataque
ALEATORIO
Ataque masivo, no es nada personal
pesca de red, se identifica y accede
según el grado de seguridad en las
conexiones, los dispositivos y el
comportamiento del usuario.
• Famoso virus de Correos,
Agencia
tributaria…Cryptolocker,
ramsomwere…
• Te cifran la información y
piden $ (250€-5000€)
12. Ataque dirigido a una celebridad
1) SUS DISPOSITIVOS 2) SU CONEXIÓN 3) SU COMPORTAMIENTO DENTRO Y
FUERA DE LAS REDES
VÍA DE ENTRADA con un mínimo común: FALTA DE SEGURIDAD /PRIVACIDAD
ALTA Y MEDIA
DIRECCIÓN
AUTÓNOMOS
CELEBS
- Cámaras destapadas
- Sin antivirus en PC,
móviles y tabletas
- Navegar con WIFI’s
abiertas
- Compartir redes,
bluetooth…
- Router por defecto
- EXTIMIDAD (deseada o no)
- Pseudo confianza: hablar de
más con conocidos
- Falsas creencias (Apple es más
seguro,en el móvil no hay
virus, y qué me puede pasar)
- Compartir sesiones
- No cambiar contraseñas
enero 2016
13. Motivación en el ataque a una celebridad
PODEMOS TENER LA MEJOR SEGURIDAD FÍSICA Y DIGITAL, PERO EL ESLABÓN MÁS DÉBIL SIEMPRE ES EL
HUMANO, EL ERROR MÁS COMÚN Y PELIGROSO ES EL HUMANO, SUMADO AL CONOCIMIENTO TÉCNICO ES UNA
BOMBA
3) COMPORTAMIENTO DENTRO Y FUERA DE LAS REDES
ALTA Y MEDIA
DIRECCIÓN
/
AUTÓNOMOS
CELEBS
EXTIMIDAD, por voluntad, desconocimiento o por robo,
se hace público algo íntimo (más que privado)
- ATAQUE ALEATORIO
- Ramsomwere (te cifro y extersiono)
- ATAQUE DIRIGIDO
- Celebagate (de iCloud a las portadas)
- ATAQUE DIRIGIDO MOTIVADO
- De badoo a facebook, linkedin y whatsapp con un
click
- Cuidado con la Pseudo confianza: hablar de más con
conocidos
enero 2016
14. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Ataque 1: De Badoo a LinkedIn
enero 2016
15. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Red
Trabajo
ATAQUE
Extorsión (si no pagas
mostraré las imágenes
en Facebook y LinkedIn)
Puerta de
entrada
ATACANTE
Busca sus víctimas en
Badoo (están más
receptivas al contacto
directo y se genera una
mayor Pseudo
Confianza)
1
Profesional
Buen empleo, bien relacionada.
SELECCIÓN DE VÍCTIMA
EXTORSIÓN
VÍCTIMA
Revela sus secretos y
datos personales y abre
puertas al ataque
Consiguen buena
información (perso/
profesional): Nombre
real, familia, trabajo,
redes, teléfono)
ATAQUE ALEATORIO
Personal
Emocionalmente necesitada
Se siente sola, problemas
sentimentales y de familia
Baja Autoestima
€€€Badoo > Skype
(captación imágenes y videos)
Fake Profile en Facebook con Nombre real
víctima e imágenes captadas en Skype
(captación imágenes y videos)
LinkedIn: Atacante contacta con contactos
víctima de privacidad abierta y envía
enlace a Fake Profile
Ataque 1: De Badoo a Facebook y Linkedin
Ámbito ProfesionalÁmbito Personal
2
16. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Scarlet Johansson > Las imágenes se robaron de su correo y su móvil y se publicaron en Internet. No las ha
eliminado (error, se puede)
Se identificó al autor del delito, Christopher Chaney, de 35 años
Mila Kunis, Christina Aguilera, Selena Gómez, Justin Bieber, Christina Hendricks, Olivia Munn, Blake Lively,
Vanesa Hudgens
DELITO > acceso ilícito a dispositivo, espionaje y suplantación de la identidad, pena máxima: 121 años de prisión
Tendencia importante relacionada con ciberdelincuencia donde se eligen víctimas conocidas con 3 motivaciones:
• Conseguir dinero a cambio
• Conseguir más información a cambio (sextorsion)
• Atacar contra su reputación por “activismo”
Ataque Dirigido por ser celebridad: hackerazzi
enero 2016
17. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Ataque Dirigido por ser celebridad: celebgate
Celebgate Aprendizaje:
Usar el mismo usuario y contraseña en todas las redes sociales, servicios de correo, y cuentas en
la nube tiene graves implicaciones, efecto dominó.
enero 2016
18. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Ataque dominó
enero 2016
Ámbito Personal
emails
borrados
captan fotos
tu identidad real
captan fotos,
videos y
conversaciones
consiquen
tus contactos
consiquen
tus documentos
Ámbito Profesional
19. ATACANTE
1
3VÍCTIMA/S
Ámbito Personal
Ciber Delincuente
EFECTO DOMINÓ
FASE 2 ATAQUE
FASE 1 TANTEO / SELECCIÓN
FASE 3 CONSECUENCIAS
Fases de un ataque dominó
Ámbito Profesional
• Romper mitos, aceptar el
cambio
• No hay diferencia entre el ámbito
profesional y ámbito personal
(BYOD)
• Uso de mismo número
• Uso de mensajería instantánea en
ambos ámbitos
• Mismo usuario y contraseña en las
redes sociales, emails y en la
nube implica, efecto dominó.
Ámbito Personal Ámbito Profesional
emails
borrados
captan fotos
tu identidad real
captan fotos,
videos y
conversaciones
consiquen
tus contactos
consiquen
tus documentos
20. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Ejemplos de ataques
enero 2016
Esta documentación está protegida en el registro de la propiedad intelectual, prohibida copia
o reproducción.
21. Todos los casos que aparecen son reales.
En todos los casos la reputación se ha visto comprometida por
vulnerabilidades en:
● Seguridad
● Privacidad
● Mal manejo de tecnologías en el Social Media/Web
Los descuidos, accidentes y ataques TIENEN consecuencias
legales, económicas y reputacionales, tanto a nivel personal como
empresarial.
Antes de empezar…
enero 2016
23. PREVENIR
1) SUS DISPOSITIVOS 2) SU CONEXIÓN 3) SU COMPORTAMIENTO DENTRO Y
FUERA DE LAS REDES
VÍA DE ENTRADA con un mínimo común: FALTA DE SEGURIDAD /PRIVACIDAD
ALTA Y MEDIA
DIRECCIÓN
AUTÓNOMOS
CELEBS
- Cámaras destapadas
- Sin antivirus en PC,
móviles y tabletas
- Navegar con WIFI’s
abiertas
- Compartir redes,
bluetooth…
- Router por defecto
- EXTIMIDAD (deseada o no)
- Pseudo confianza: hablar de
más con conocidos
- Falsas creencias (Apple es más
seguro,en el móvil no hay
virus, y qué me puede pasar)
- Compartir sesiones
- No cambiar contraseñas
enero 2016
24. DENUNCIAR: pero... Motivos por los que
no se denuncia
¿POR QUÉ NO SE
DENUNCIA?
Consecuencias reputacionales: miedo a perder reputación
y/o clientes
Consecuencias económicas: multas por fallos de
seguridad
Desconocimiento: no sabe que se ha sido víctima de un
delito o que se puede pedir la intervención del estado
Creencias: cree que la policía no le puede ayudar o no
vale la pena denunciar
Miedo a posibles represalias
Simplemente no se detecta el delito
enero 2016
26. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Romper mitos y formas clásicas de trabajar
Los 3 ámbitos debemos trabajar de la mano en:
• Seguridad pública y colaboración con empresa privada
• Debemos ROMPER barrera de comunicación
• Conocer algo más de cada SECTOR
• Bajar nivel de LENGUAJE
• Desterrar MITOS
27. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
CONEXIÓN A REDES WIFI
1. No navegar con Wifi Públicas (ciudades, hoteles, restaurantes, cafeterías, aeropuertos,
estaciones, tiendas... por más que no haya cobertura)
1. Extremar la precaución en:
1. Metro, tren, bus, Centros Comerciales... se generan redes wifi falsas con nombres
como Wifi Gratis, Wifi Aeropuerto para “esnifar” datos.
2. La wifi doméstica y profesional debe estar configurada específicamente, los hackerazzi pueden
acceder (aunque sea un delito) y pueden “esnifar” el tráfico de datos.
1. Cambio en la configuración por defecto, no vale cambiar la contraseña o el nombre
2. Se debe modificar por dispositivo de conexión e invisibilizarlo
Recomendaciones básicas
enero 2016
28. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Proteger y analizar los dispositivos
1. Protección del cualquier dispositivo (smartphone, tablet, ordenador)
2. Antivirus no es protección, es una milésima parte de la misma.
3. Analizar todos los dispositivos y dispositivos móviles para verificar que no tengan troyanos ya
instalados dentro y estén extrayendo datos al exterior.
4. Antivirus / Antimalware y un gestor que cifre los password en el navegador.
5. Firewall: Configurarlo de forma segura.
6. Cifrado de datos menos usados.
7. Copias de seguridad: realizar copias de todos los dispositivos.
8. Robo: Implementar medidas de seguridad para la pérdida de un dispositivo tanto en pcs como en
móviles.
9. Doble Sign -In de acceso a redes sociales, email…
10. Actualización de software
enero 2016
29. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Recomendaciones
1. No hables con extraños ni con conocidos en las redes
2. No compartas tu Geolocalización
1. Menos en tiempo real (decir donde estabas una vez hayas marchado), en apps de redes
sociales
3. Imágenes que dicen más de lo que parece:
1. Todos los archivos que subimos a internet y vía el móvil contienen más datos de los
aparentemente mostrados (metadatos)
2. Desactivar la localización de los tweets desde twitter, por defecto localiza y se puede hacer
un seguimiento de los lugares comunes con cierta facilidad, hay herramientas específicas
para el seguimiento de famosos.
4. No al efecto dominó: Contraseñas únicas, y que se cambien muy seguido
5. Cuando salgas, cierra la puerta
1. Limpia las sesiones abiertas en redes sociales
2. Limpia las conexiones con sincronización de otros dispositivos
3. Limpiar la autenticación de las redes sociales con aplicaciones externas (Oauth)
enero 2016
30. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Recomendaciones
1. Privacidad en Redes Sociales
1. No compartas información
2. Seguridad en Redes Sociales
1. Acceso
3. Extensiones de navegación
1. WOT
2. Webutation
3. Adblock
enero 2016
32. @onbranding - @brandcare_es - @selvaorejon - junio de 2015
Documentación protegida por el registro de Propiedad Intelectual
Formación In company y en Centros de Estudio
onbranding.es - @onbranding
slideshare.net/sorejon
@brandcare_es
brandcare.es
slideshare.net/brandcare_es
youtube.com/user/brandcarecongreso
facebook.com/brandcare.es
Contáctanos
Próximo Congreso
2015
enero 2016