1.

Criptografía en las Redes Sociales

Concepto y Redes Sociales

Cuando se habla del concepto de red social de forma coloquial, se suele caer en el
error de confundir las marcas comerciales más conocidas de determinadas
empresas IT con la realidad teórica y práctica que las conforma. Una red social está
formada por individuos y por las intercomunicaciones que generan entre sí como
especie, según su necesidad intrínseca de relacionarse constantemente para
evolucionar.

Por tanto, una definición más concreta del concepto de red social "telemática" sería:
una arquitectura de "ordenamiento" de datos, generalmente de carácter social
(político, laboral, económico, sentimental, etc. ...) sobre una infraestructura lógica
de servicio e interconexiones electrónicas.

Podemos decir que las redes telemáticas compuestas por

perfiles identitarios únicos facilitan ciertos aspectos de la sociedad que las utiliza.
De ahí que adopten el nombre de redes sociales. Entre otras, cabría destacar las
siguientes cualidades:

 Comunicación (ayudan a poner en común conocimientos)

 Comunidad (ayudan a encontrar e integrar comunidades)
 Cooperación (ayudan a hacer cosas en conjunto)

Para poder medir de alguna forma los niveles de dichas interacciones y, al mismo
tiempo, explicar cada una de las partes que componen dichos procesos sinérgicos,
se han definido una serie de conceptos. Dichos conceptos pertenecen al espacio
arquitectónico del mundo lógico que almacena y distribuye los datos entre individuos
y comunidades.
 Fig. 11 - Ejemplo de generación de una vista de nodos y conectores

Modelos estratégicos. Técnicos y de negocio

Las redes sociales, como infraestructuras lógicas de ordenamiento de información,

presentan una serie de estrategias para la disposición de sus servicios. Dichas
estrategias son desplegadas en diferentes niveles y la finalidad de las mismas en
su conjunto es la acumulación de "valores". Esos "valores" pueden ser cuantificados
de diversas formas y según intereses.

Los baremos más comunes suelen ser: el número de usuarios de la red, la cantidad
de bytes de terceros alojados en sus servidores, los beneficios económicos
resultantes de su actividad, el nivel de impacto social, etc.

Destacamos las estrategias técnicas y de negocio porque a través de su estudio es

posible saber las intenciones de los creadores de las arquitecturas, así como
dilucidar lo que representan en la sociedad globalizada, su capacidad de
determinación y la influencia que tienen sobre decisiones políticas, laborales,
sociales, económicas, etc. En definitiva, podemos conocer los cambios que
producen dichos servicios en las estructuras, entre otras, de decisión, organización,
gobierno y representación ciudadana, de las distintas sociedades modernas que
comparten la red de Internet.

El análisis y correcta interpretación puede ser bastante útil para poder determinar,
desde un punto de vista basado en la necesidad de la libertad de información como
forma de progreso humano, la "legitimidad" del servicio que proveen ciertas
compañías y/o agrupaciones de personas.

Las estrategias técnicas, aparte de por los equipos humanos que desarrollan el
código que genera la parte lógica del aplicativo, pasan por el uso de un modelo
concreto para la distribución y el correcto almacenaje de los datos. Podríamos incluir
más modelos, como el modelo de protección de la información, el modelo de
balanceo de tráfico u otros más, como modelos laborales, modelos de desarrollo de
código, etc., pero nos centraremos en explicar los que podemos considerar como
pilares básicos para las redes sociales: los modelos de distribución y almacenaje.
De entre ellos, destacamos los siguientes:

 Modelo centralizado: dicho modelo centraliza los datos en uno o varios

puntos con un único gestor y propietario.
 Modelo distribuido (P2P): dicho modelo descentraliza los datos en varios
puntos y no permite la propiedad o gestión única.
 Modelo en "nube" (Cloud): dicho modelo centraliza los datos en uno o varios
puntos y el propietario puede ser uno y el gestor puede ser otro. Ambos
únicos en su tarea.
 Modelo federado: dicho modelo descentraliza los datos en varios puntos y
permite diferenciar entre propietarios y gestores, pero sin permitir que sean
únicos, si se desea.

Son las estrategias de negocio las que de forma pragmática tienen un mayor
impacto sobre el desarrollo de las sociedades. Los modelos de negocio IT basados
en la creación y mantenimiento de una red social son totalmente novedosos, con
respecto a las conocidas como empresas del "boom" de los años 90.

Dichos modelos contienen, entre otras, una componente de contacto directo mayor
con los propios recibidores de servicios con respecto a los proveedores y, por tanto,
una mayor necesidad de respuesta, actualización, invención y creación de
componentes de documentación y de código, como por ejemplo plugins, APIs,
módulos, manuales, portabilidades, etc.
Según los intereses, se despliegan unos modelos de negocio u otros. Dichos
despliegues de recursos, tanto humanos como de ideas y materiales y sus
respectivas estrategias para que funcionen de forma eficiente, se conocen
como configuraciones estructurales.

Generalmente las configuraciones estructurales reúnen a seres humanos cuyas

metas personales/profesionales coinciden en una finalidad consciente unificada que
justifica la cohesión de los recursos y que representa, en mayor medida, la "realidad"
que ofrecen como proveedores de una red social, en su conjunto, hacia el ámbito
de la sociedad. Muchas veces se confunde dicha "realidad" con la imagen
corporativa que ofrecen, lo cual es un producto de "irrealidad" derivado de llevar a
cabo ciertas acciones y estrategias conocidas como marketing. El propio término
"red social" es un ejemplo claro en determinados modelos de negocio.

La finalidad más extendida en el "paisaje virtual" de las redes sociales más

vanguardistas es la ganancia económica exponencial. Esta se basa en el conocido
como modelo mercantilista y trata, única y exclusivamente, de encontrar soluciones
a la búsqueda continua de la acumulación de capitales. Varios ejemplos de redes
sociales que siguen dicho modelo son: WhatsApp, Twitter, Linkedin, Pinterest,
Myspace, etc.

El modelo de negocio mercantilista, a su vez y según pautas de expansión

económica, puede derivar en el conocido como modelo bursátil o financiero. Los
ejemplos de redes sociales con dicho modelo más famosas son: Google+ y
Facebook.

Por otro lado, existen otros modelos, también conocidos como modelos sociales,
que se basan menos en la acumulación exponencial de capital y más en
aquellas estrategias de desarrollo de la sociedad en su conjunto, generalmente
basadas en la compartición de conocimientos como forma de evolución de la
especie. Cabe destacar en la temática de las redes sociales el modelo de
las licencias de software libre. Algunos ejemplos de aplicaciones que han tenido o
tienen cierta relevancia son: Identi.ca, Cabgrass, Lorea, Diaspora, etc.
En "medio" de las finalidades descritas anteriormente, se encontraría el modelo
"Open Source", donde tratan de coexistir las metas lucrativa y de compartición como
sociedad de conocimiento.

Hasta la fecha, no se contemplan redes sociales destacadas que sigan dicho

modelo.

Cifrado en redes sociales. Enmascaramiento y herramientas

El cifrado se presenta como una herramienta muy útil para proteger el derecho a la
privacidad de las comunicaciones, el derecho a la intimidad y el derecho al
anonimato.

Existen diferentes formas de catalogarlo. Una que resulta interesante es la que se

hace a través de saber si utiliza una clave "secreta" o una clave "pública".

Si la clave es secreta, se denomina criptografía simétrica. En ella, se usa una misma

clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de
ponerse de acuerdo de antemano sobre la clave a usar. Una vez que ambas partes
tienen acceso a esta clave, el remitente cifra un mensaje usando la clave, lo envía
al destinatario, y éste lo descifra con la misma clave.

Fig.12 - Esquema explicativo del cifrado simétrico

Sin embargo, se produce un detalle que parece casi paradójico: ¿qué canal de
comunicación que sea seguro se utilizará para transmitir la clave secreta?

Ante tal dilema, surgió una posible solución que permitía el intercambio de esa clave
a partir de una clave pública. En la criptografía asimétrica se usa un par de claves
para el envío de mensajes.

Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una
clave es pública y se puede entregar a cualquier persona, la otra clave es privada y
el propietario debe guardarla de modo que nadie tenga acceso a ella.

Fig.13 - Esquema explicativo del cifrado asimétrico

La solución es bastante acertada, pero tiene ciertos matices que, a día de hoy, aún
se siguen discutiendo:

 Para una misma longitud de clave y mensaje se necesita mayor tiempo de

proceso.
 Las claves deben ser de mayor tamaño que las simétricas.
 El mensaje cifrado ocupa más espacio que el original.

Es importante el tema del espacio que se ocupa, debido a que varias redes sociales
de uso masivo (Twitter, Identi.ca,...) utilizan el microbloggingy las limitaciones en el
número de caracteres por cada bloque de texto a emitir. Por tanto, generalmente
para el despliegue de soluciones criptográficas para este tipo de entornos, se
propone el uso del cifrado de clave secreta por una cuestión "visual". Sin embargo
y como se mostrará más adelante, no quiere decir que no sea posible el uso de
cifrado de clave pública.

En el caso de las redes sociales que no se basan en el microblogging, cabe destacar

que la gran mayoría de las mismas no introducen el cifrado dentro de sus
infraestructuras. Si bien permiten la navegación segura a través de HTTPS, por
regla general no permiten generar capas de permisos de lectura/escritura al estilo
UNIX, que permiten el total control sobre el contenido que se genera, así
como tampoco permiten la generación de criptas de almacenaje de datos. Al menos,
criptas cuyo control se encuentre únicamente en manos de los usuarios y no como
las "soluciones a medias" propuestas por redes de contenidos como Mega. Este
hecho y otras muchas decisiones más, se entienden debido a la necesidad por parte
del negocio mercantil de tener siempre acceso a los datos generados por los
usuarios, de manera que las intenciones económicas perduren como objetivo
principal y en ocasiones tengan ciertos conflictos con las leyes descritas en las
Constituciones de varios países.

No siempre sucede así. Existen redes sociales cuyos esquemas, aunque difieren
en las estrategias para la gestión, sí que priorizan la protección de los datos y el
anonimato de quien los genera. Algunas de ellas incluso mantienen un modelo de
negocio mercantil que les reporta beneficios. En líneas generales, disponen de
menos recursos para su puesta en marcha y mantenimiento, pero generan gran
riqueza de código fuente, amparado jurídicamente por licencias de software libre
que permite ampliar la conectividad y en general ciertos posibles escenarios futuros,
como puede ser el uso de la web semántica en las redes sociales.

En España, desde el año 2009 existe el proyecto "Lorea", que integra las medidas
de permisos y criptas descritas anteriormente y en las cuales y mediante el uso de
clave asimétrica, se pueden almacenar datos sin que los administradores de los
sistemas y de las propias redes puedan necesariamente saber a qué se refieren. Al
mismo tiempo, propone un despliegue federado de la información, con una
arquitectura de almacenaje distribuida. De momento el proyecto se encuentra en
una fase de experimentación.

La misma importancia que tiene proteger el contenido que se genera, lo tiene

proteger la navegación. Los proveedores de redes sociales también se nutren de
este tipo de datos en sus procesos de datamining. De esta manera pueden conocer
cierta información relevante sobre los usuarios, tanto datos como metadatos. Por
ejemplo, el lugar de procedencia del mensaje, qué páginas visita un determinado
usuario además de la red social, el geo posicionamiento, etc. Una de las respuestas
más eficientes es el uso del "enmascaramiento".

Existen diversas formas de enmascarar ciertos datos generados a partir de la

navegación. Si bien es posible borrar dichos rastros, generalmente resulta más
prudente modificarlos por datos ficticios. Esto sucede porque en los procesos
de datamining es más sencillo relacionar la falta de datos que reconocer y
demostrar su autenticidad.

Por ejemplo, la modificación de los parámetros que el navegador envía al

servidor de la red social a través de sus cabeceras HTTP. Cambiar los datos de los
parámetros User-agent y Referer permite que la parte del servidos no conozca el
tipo y versión de navegador que usa el cliente, así como de dónde procede. Esto se
puede hacer con diversas herramientas que no son navegadores, así
como plugins instalables en los mismos.

Otra pauta recomendable es la conexión a través de proxies, de manera que el

usuario nunca acceda a la red social con una IP que revele su localización física
real. Uno de los proxies más famosos es que permite la entrada y salida de las
conexiones a través de la red conocida como Tor.

La red Tor fue originalmente diseñada, implementada y puesta en

funcionamiento como una actualización de un proyecto de enrutado de datos que
llevaba a cabo el laboratorio de investigación de la Marina de EE.UU. La finalidad
de su desarrollo era proteger las comunicaciones del gobierno. Actualmente es
utilizada de forma pública y por muy diversos tipos de gente (activistas, periodistas,
fuerzas de seguridad, usuarios en general, etc.…).

Su arquitectura permite crear túneles virtuales que dificultan el rastreo de datos, al

mismo tiempo que, a través de su código, acerca al desarrollo de otras herramientas
todo el potencial de sus técnicas de "protección" de la información. Uno de los
aspectos a destacar, es que; "cuanta más gente use la red Tor, mejor funcionará el
anonimato".

Fig.14 - Logo de la herramienta para navegar de forma anónima: TOR

Otro servicio interesante es la utilización de conexiones a través de VPNs Virtual

Prívate Networks. Este tipo de conexiones aseguran el anonimato, pero
generalmente suelen ser de pago. Aunque existen alternativas gratuitas-

Además de las herramientas comentadas, las cuales pueden ser utilizadas de forma
general para "proteger" la navegación en Internet, también nos encontramos con
herramientas cuyo desarrollo es específico para las redes sociales en conexión con
la API que éstas ponen a disposición del resto. Incluso existen técnicas
combinadas con herramientas cuya finalidad aparente no es el uso en redes
sociales, que cuya correcta puesta en marcha resultan muy útiles a la hora de
preservar el anonimato.

Empezando por el final, por ejemplo, la red social Facebook contiene un chat para
que sus usuarios puedan estar en contacto directo. Dicho chat se apoya en una
tecnología conocida como Extensible Messaging and Presence Protocol XMPP.
 Fig.15 - Esquema que muestra el funcionamiento federado del protocolo
XMPP

XMPP es un protocolo que varios clientes de chat soportan; por ejemplo, Pidgin.
Dicho cliente contiene un plugin que permite cifrar los mensajes llamado Off The
Record (OTR); por tanto, si combinamos todas las herramientas, es posible chatear
utilizando cifrado en Facebook

En cuanto a las herramientas específicas, por ejemplo, para Twitter podemos utilizar
AnonTwi

Fig.16 - Logo de la herramienta para redes sociales de microblogging:

AnonTwi

AnonTwi es una herramienta de software libre escrita en Python que permite

mantener cierta privacidad y anonimato en determinadas redes sociales.
Concretamente y a través del uso del protocolo OAuth2, es posible utilizarla en
Identi.ca (Statusnet) y Twitter. Aparte de utilizar la tecnología de socks para
conectarse a las aplicaciones, permitiendo el uso de proxies (Tor, etc.), se
propusieron soluciones para el uso del cifrado simétrico (actualmente en
funcionamiento) y algunas ideas para el uso del cifrado asimétrico (hay varios
experimentos en curso). En el texto titulado: "AnonTwi: Cifrado y redes sociales"
[34] se detalla en profundidad el cifrado simétrico que se utiliza en la versión estable
del programa, cómo se conformó la idea hasta el código actual (v1.0) y algunas de
sus posibilidades futuras.

En el caso del cifrado, AnonTwi utiliza la combinación de los algoritmos:

AES256 [35] + SHA1 [36] - HMAC

Fig.17 - Esquema de generación de subtipos del cifrado AES

Fig.18 - Esquema de generación de SHA1-HMAC

El rendimiento obtenido es de 69 caracteres en texto plano, por cada bloque de 140
caracteres de texto cifrado. En la actualidad existe una propuesta abierta a la
Comunidad para mejorarlo.

La elección de sistemas de cifrado simétrico para el uso en las redes sociales no es

la opción que más protección puede ofrecer, pero sí es útil, debido a que reduce
considerablemente la cantidad de información que otros tipos de cifrado necesitan
para poder operar correctamente.

2. Ataques importantes a la Redes Sociales:

Desde que surgió Internet, el riesgo de ataques informáticos ha ido creciendo. De

hecho, en los últimos tiempos hemos visto cómo han surgido nuevas técnicas y
también se han incrementado otras antiguas que incluso parecían olvidadas. Sin
embargo, a lo largo de la historia ha habido una serie de hackeos, de ataques
cibernéticos, que han marcado y han afectado a millones de usuarios. De ello vamos
a hablar en este artículo. Vamos a nombrar algunos de los ataques informáticos
más famosos que han ocurrido en Internet, comparando los usuarios que fueron
afectados.

 Yahoo: Quizá uno de los ataques informáticos más importantes y que

tenemos muy presente todavía, fue el de Yahoo. Se considera como el
ataque informático más grande de la historia. En total se calcula que fueron
hackeadas unos 500 millones de cuentas, en un principio. Datos ofrecidos
por la propia compañía, pero que luego resultó que llegó a ser de al menos
el doble. Robo de datos personales, fechas de nacimiento, número de
teléfono, correos electrónicos, contraseñas… Eso sí, según indicó la propia
compañía, ni los datos bancarios ni las tarjetas de crédito se vieron
comprometidos.
 MySpace: Seguramente lo recordemos como una página muy popular hace
ya unos años. Esta red social, que podríamos decir que era algo así como el
Facebook de la época (llegó a ser la red social más utilizada), sufrió un
 importante ataque informático. Se calcula que unos 427 millones de
cuentas se vieron afectadas.
 EBay: Sin duda una de las páginas más importantes de compra-venta en
Internet. Crearon tendencia hace más de una década y se convirtió en líder
del sector. Muchos millones de usuarios hemos comprado o vendido alguna
vez en esta página.
 Linkedin: Si seguimos con el ranking de cuentas afectadas, Linkedin tuvo 117
millones. Esta famosa red social sufrió en 2016 uno de los ataques más
importantes de la historia. Los ciberdelincuentes anularon las cuentas de
millones de usuarios.
 VK: Quizás para muchos lectores este nombre no les suene muy familiar. Es,
para que nos hagamos una idea, el Facebook ruso. Cuenta con millones de
usuarios (no solamente en Rusia). Según la compañía, algo más de 100
millones de cuentas fueron hackeadas.