Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

RRSS redes sociales fotos perfiles falsos

¿Quién está al otro lado? Un análisis de los perfiles falsos en Internet

El engaño es una técnica habitual en muchas actividades de la sociedad, incluido el uso de Internet. Se dice que Maquiavelo recomendaba “no obtener algo por la fuerza si se podía conseguir con el engaño”.

Por eso el phishing continúa siendo una de las técnicas más empleadas para abrir las puertas a la inseguridad de los usuarios. Por eso mismo, el uso de perfiles falsos en las aplicaciones de Internet es más habitual de lo que creemos.

Confianza e interés en redes sociales

La utilización de identidades falsificadas ha proliferado de forma exponencial en las redes sociales. A menudo, recibimos comunicaciones de personas que no conocemos en absoluto y de quien no podemos verificar realmente su identidad. Algunos recurren a supuestas coincidencias en intereses comunes, otras ni siquiera se molestan en plantear esa mínima justificación. El objetivo siempre es ganarse la confianza o el interés de su víctima. Un simple denominador común cuya estrategia se basa en esas dos características.

La confianza es algo difícil y costoso (al menos en tiempo) de conseguir. Requiere un estudio pormenorizado de la víctima (costumbres, gustos, relaciones, etc.) y un relato coherente de cada una de las posiciones que definen su perfil. Sin embargo, salvo en entornos profesionalizados o incluso estatalizados (inteligencia gubernamental, por poner un ejemplo) este tipo de procedimientos apenas se siguen. Por otro lado, despertar el interés de una persona quizás resulta más sencillo. En muchas ocasiones, con una simple fotografía los delincuentes pueden conseguir que les prestemos atención.

Las redes sociales se han convertido en el principal foco de perfiles falsos de Internet. Según Google, dos aplicaciones sobresalen en las estadísticas: Facebook y Tinder. Cada trimestre, Facebook desactiva más de 1.500 millones de cuentas falsas, ¡1.500 millones! Prácticamente podríamos decir que son casi una nueva red social completamente “fake”. Por otro lado, algunos indicadores señalan que cerca del 30% de los adultos norteamericanos disponen de una cuenta en Tinder, una de las redes sociales de contactos más extendidas en el mundo. Pero no son las únicas, también las redes sociales profesionales, como Linkedin o Xing, sufren este tipo de situaciones. Y en todas ellas la pregunta que nos hacemos es siempre la misma: ¿estamos hablando de personas reales?

Tipos de perfiles falsos

A menudo, es posible comprobar que muchos de estos perfiles son simplemente bots, aplicaciones automatizadas cuyo objetivo es obtener el mayor número de contactos posibles.

Unos bots que pueden ser sociales, de spam, captadores de “likes”, generadores de influencia o incluso de propagación en la red con otros fines.

Las redes sociales se han convertido en el principal foco de perfiles falsos de Internet

Existen perfiles que se corresponden con personas reales que han visto comprometidos sus datos personales o sus cuentas en redes sociales. Otros están asociados a datos clonados de fuentes públicas. O incluso perfiles inventados, creados de forma automática con todo un conjunto de características personales diferenciales entre las que se incluyen, por supuesto, el nombre y apellidos, aficiones, el color favorito, número de cuentas bancarias, direcciones de correo inventadas, etc. Incluso fotografías de rostros que ni siquiera existen.

Los perfiles más complejos son aquellos que se elaboran exprofeso con toda una historia detrás. Perfiles profesionalizados, diseñados por gobiernos, compañías de espionaje o cibercriminales. Quizás el ejemplo más conocido y que sirve de referencia en este contexto sea el de aquel oficial británico que fue encontrado en las costas españolas durante la segunda guerra mundial y cuya historia sirvió para alterar el devenir de la contienda. Esos son los más difíciles de identificar.

OSINT como punto de partida

Como puede observarse, las posibilidades que ofrece la creación de identidades falsas son innumerables. Sin embargo, existe una serie de características que podemos analizar para identificarlas. Entre ellas está el uso de fotografías demasiado perfectas para parecer reales, imágenes en las que apenas aparece la persona o incluso en las que predominan animales, paisajes u objetos etc. También podemos analizar otros aspectos como la fecha de creación de la cuenta en la red social, la limitada relación con otros contactos en común, la interacción de la persona en la red o, llegado el caso, la respuesta prácticamente instantánea ante la aceptación de una invitación.

Todos son elementos que sirven de base a diferentes metodologías de trabajo relacionadas con la investigación en Internet. Una investigación que tiene su referencia en OSINT (Open Source INTelligence) y que en España dispone de interesantes iniciativas como la propuesta por la Comunidad GINSEG. Algunos investigadores incluso llevan tiempo desarrollando herramientas para detectar este tipo de situaciones utilizando técnicas de Inteligencia Artificial.

Técnica para desenmascarar perfiles falsos

Sea cual sea el caso, la forma de verificar la identidad de un contacto en Internet a menudo resulta ser una actividad bastante artesanal, no exenta de algunas dificultades.

El uso de fotografías de terceras personas tomadas de fondos fotográficos, o incluso de individuos que ni siquiera existen, están a la orden del día. Una de las técnicas más utilizadas para verificar la identidad de esas personas reside en los propios servicios que proporciona Google. Su aplicación de búsqueda de imágenes permite localizar una fotografía entre aquellas que están disponibles en Internet e incluso parametrizar sus atributos y centrar la búsqueda en los rostros de las personas. Pero no es la única. Existen otras herramientas, como Tineye, que también localizan ese tipo de información. Por haber, hay hasta herramientas que permiten identificar gatos, vehículos o lugares geográficos, cuando el supuesto usuario ha puesto a disposición de sus víctimas fotografías personales para ganarse su credibilidad.

Una de las técnicas más empleadas consiste en recuperar los metadatos de las imágenes publicadas e identificar cuándo fueron tomadas o incluso el tipo (o número de serie) de la cámara que se utilizó. Este último es un elemento de discriminación interesante ya que a menudo el número de serie de una cámara suele conducir a una misma persona (que puede, o no, coincidir con la supuesta identidad).

DeepFakes, el siguiente nivel

Las opciones son múltiples. Sin embargo, llegados a este punto, podríamos preguntarnos cuál será el siguiente paso en la utilización de identidades falsas. La respuesta podría estar en las DeepFakes. Unas DeepFakes que añadirían elementos multimedia a la generación de perfiles y que contribuirían a ganar la credibilidad de las víctimas.

Por el momento, solo se trata de una posibilidad compleja y limitada por la disponibilidad de recursos tecnológicos, pero no tardará mucho en resolverse. Y entonces nos encontraremos con nuevos retos. Retos que nos dificultarán distinguir entre un avatar y una persona real. Pero dejemos pasar el tiempo y veamos cómo evoluciona…

Mientras tanto, y con la tecnología y el conocimiento actual, podríamos hacernos la siguiente pregunta, cuando alguien con un nombre, una fotografía o nick interesante, nos invite a contactar en una red social: ¿de verdad, conocemos con quién estamos hablando?

Por Juanjo Galán, Business Strategy de All4Sec

Deja un comentario

Scroll al inicio