Existen multitud de aplicaciones que se publicitan en las Redes Sociales, ofreciendo funcionalidades que la gente busca y que aún no se ofrecen. Una de las más repetidas es la de poder conocer quién ha visitado nuestro perfil en redes como la de Facebook.

Quien-ha-visto-mi-perfil-en-Facebook

Estas empresas buscan obtener el control de la red social de usuarios legítimos, con contenido, reputación, y seguidores. Consiguen importantes datos, además de cuentas con las que posteriormente van a poder comerciar, y que a diferencia de cuentas creadas específicamente para ello cuentan con contenido real y reputación.

Muchos de estos servicios también nos piden nuestro número de teléfono móvil, que acaba suscrito a listas de SMS premium, con los costes que ello conlleva, de manera similar a lo que sucede con servicios como WhatsApp Espía

estafa sms whatsapp espia

El último caso en que se ha producido un rápido contagio de este tipo de aplicaciones maliciosas ha sido Twitter, con “una nueva herramienta oficial para saber quién visita tu perfil”.

No, Twitter no ha sacado una nueva herramienta para saber quién visita tu perfil

Aunque esta aplicación concreta no es nueva, en estos últimos días ha alcanzado una especial virulencia, alcanzando a perfiles de múltiples ámbitos, desde juristas a periodistas o incluso ingenieros. Todos ellos han confiado en el contenido ofrecido por contactos de su Red, y han autorizado una aplicación cuyo primer movimiento ha sido la publicación del siguiente contenido, afirmando que “Twitter lanza una actualización para ver quien visita su perfil”.

twitter no ha lanzado una actualización

La realidad es que actualmente ni Facebook ni Twitter permiten acceso a los datos sobre quién ha visitado nuestro perfil, no solo a los usuarios sino tampoco a los desarrolladores. Por tanto, cualquier aplicación que se publicite de esta manera está claro que miente.

En este caso concreto, al pulsar el enlace la aplicación nos muestra los permisos que requiere. Una página a la que mucha gente no le presta atención y acepta sin pararse a mirar qué es lo que está aceptando, de manera similar a lo que ocurre con los Términos y Condiciones de muchos servicios online.

twitter profile visits

Podemos ver que en la información sobre la app se nos dice

  • Que se trata de una función oficial de Twitter
  • Que realmente se va a dar la funcionalidad ofertada
  • El dominio al que se enlaza ( mytwitterstar.com ) incluye la marca Twitter para reforzar la apariencia de que se trata de una función oficial.

Los permisos que nos pide ya deberían obligarnos a hacer un análisis profundo de si realmente esta función es tan importante que queremos autorizar a un tercero: simplemente pulsando iniciar sesión autorizas a que publique tweets sin pedirte permiso o que actualice tu perfil (podría cambiar tu descripción o el enlace de tu página web por términos que les interesase). Algunos usuarios han autorizado el uso de sus cuentas pensando que se trataba de una función oficial ofrecida por Twitter (que es lo que menciona el propio perfil), pero simplemente accediendo al dominio de la app podemos descubrir que estamos ante un engaño con casi total seguridad.

Accediendo a la raíz, nos encontramos con una página de “sorteos de iPhone 6”, que requiere para participar en el mismo utilizar de nuevo nuestra cuenta de Twitter. Si intentamos participar, intenta de nuevo conseguir que autoricemos el acceso a nuestra cuenta.

El pase de diapositivas requiere JavaScript.

Las imágenes utilizadas para testimonios de los ganadores de las redes sociales habían sido utilizadas con anterioridad para noticias relacionadas con el iPhone 6, y basta hacer una búsqueda para comprobarlo.

uso testimonio falso

De nuevo nos encontramos con otra señal de alarma. El diseñador simplemente buscó imágenes que incluyeran un iPhone 6 para su página, y así incluir estos testimonios falsos para dar una mayor apariencia de sorteo real.

Cómo funcionan estas aplicaciones maliciosas

Estas aplicaciones maliciosas suelen seguir un perfil bastante generalizado:

  • Buscan obtener rápidamente permiso para publicar en las cuentas y llegar hasta el mayor número de usuarios posibles. Muchas veces hacen más de una publicación del enlace, separándolas en el tiempo, para optimizar el alcance.
  • Recopilan todos los datos de los usuarios que autorizan
  • Si resulta posible, comercian con las cuentas con mecanismos como la venta de seguidores y similares

Lo que buscan estas aplicaciones es propagarse lo más rápido posible antes de ser bloqueadas por las redes sociales de que se trate (si es que llega a suceder), y es por eso por lo que utilizan los permisos que los usuarios han dado para publicar el enlace y llegar a más público. Los contactos, viendo dicho contenido en una cuenta legítima de confianza, son aún más propensos de lo normal a autorizar los permisos de esta aplicación sin revisarlos.

Otro aspecto que debemos tener en cuenta es que, pese a que revoquemos los permisos de la aplicación, esto no elimina los seguidores que haya añadido a nuestra cuenta. Lo mismo sucede con las publicaciones que hayamos realizado durante este tiempo, o las modificaciones del perfil que hayan realizado. Por lo tanto, las consecuencias de autorizar esta aplicación son más graves de lo que podría parecer a primera vista.

El riesgo añadido de sufrirlo en perfiles profesionales en redes sociales

Existe otro riesgo añadido, además del referido a nuestros datos y usos maliciosos de nuestras redes sociales, y es el efecto que para nuestra reputación online tiene el compartir dicho contenido. Muchos negocios no separan convenientemente su perfil profesional del personal, y esto aumenta el riesgo de sufrir mayores perjuicios de los que se sufrirían si la cuenta es estrictamente personal.

La imagen pública podría quedar aún más afectada si la empresa o el profesional se dedica precisamente a ofrecer servicios relacionados con la tecnología y el derecho, con lo cual hay que extremar precauciones en estos supuestos.

¿Cómo actuar?

A la hora de autorizar una nueva aplicación, la precaución es lo más importante. Existen aplicaciones legítimas que requieren de dichos permisos (gestión de perfiles en redes sociales, análisis, y similares), pero se trata de casos conocidos en que su reputación les precede.

El principal consejo que os podemos dar es que si tenéis la más mínima duda sobre si un servicio es real o no, no autoricéis el uso de tu cuenta por ninguna app. Los perjuicios superan ampliamente los potenciales beneficios de un servicio como el indicado.

Además, cuando estas redes sociales ofrezcan estas funcionalidades lo harán desde su propia plataforma, y no enlazando a servicios de terceros en dominios que hemos visto que son más que cuestionables.

Si ya habéis autorizado la aplicación, el primer paso es revocar permisos en la sección de Apps de Configuración

revoca permisos apps

Este es el primer paso, dado que cambiar la contraseña no impide el acceso de la aplicación a vuestro perfil. Hay usuarios que solo borraron la publicación del enlace sin revocar permisos, lo que ha provocado que al poco tiempo volvieran a sufrir publicaciones sin autorización.

A continuación os recomendamos

  1. Revisad vuestro perfil: Dado que habéis dado permisos para su modificación, es importante que comprobéis que sigue igual, en particular el enlace a vuestra página web que puede haber sido cambiado por el dominio malicioso
  2. Revisad las últimas publicaciones: Es importante que una vez ya habéis revocado permisos impidiendo que vuelva a tener acceso eliminéis las publicaciones con el enlace.

Es importante no autorizar ninguna aplicación sin valorar antes los riesgos, dado que en caso contrario nos encontramos supuestos como éste.

twitter

 

 

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos
1 comentario

    Deja un comentario

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.