Las redes sociales han sido el riesgo de seguridad y responsabilidad civil más grande y de más rápido crecimiento para las empresas durante años. Y, lamentablemente, el desarrollo de las redes sociales no ha hecho más que aumentar esta amenaza. Identificado por primera vez en 2016este riesgo combina, en el entorno empresarial, la esteganografía, es decir la ocultación de información en un soporte de portada, imágenes digitales en este caso, con las redes sociales. Aunque la esteganografía y las redes sociales están lejos de ser recientesla combinación de ambos como vector de distribución de malware no tiene precedentes.

Conocido como Instegogram, este medio de compromiso consiste en utilizar las redes sociales, en particular Instagram, como sitio de comando y control de un actor malicioso. Instegogram es único en el sentido de que una vez que el sistema remoto se ve comprometido, es posible publicar imágenes codificadas desde un servidor de comandos con la API de Instagram. El sistema remoto descargará la imagen, la decodificará, ejecutará los comandos codificados, codificará los resultados en otra imagen y los enviará de regreso a Instagram. Creado con fines de investigación, el uso potencial del esquema Instegogram como parte de un ataque de malware plantea la cuestión de quién sería responsable de tal ataque.

Índice
  1. Se cuestiona la exención de responsabilidad
  2. Precauciones de seguridad a tomar

Se cuestiona la exención de responsabilidad

En los Estados Unidos, según la Sección 230 de la Ley de Decencia en las Comunicaciones (CDA), las empresas que brindan servicios de alojamiento de sitios web generalmente están exentas de responsabilidad por la mayor parte del contenido que los clientes o usuarios malintencionados colocan en los sitios web que alojan. Sin embargo, esta exención podrá cesar si el sitio web controla el contenido de la información. Una empresa que utilice las redes sociales para crear la imagen o desarrollar la información controlaría esta información y, por lo tanto, no estaría protegida. En otras palabras, si un proveedor de servicios es "responsable, total o parcialmente, de la creación o desarrollo del contenido infractor", sus acciones pueden no estar cubiertas por las protecciones de la Ley de Decencia en las Comunicaciones.

La cuestión de si las protecciones de las regulaciones CDA se extienden al daño causado por malware sigue en gran medida abierta. Por lo tanto, las empresas podrían ser responsables de los daños causados ​​a terceros por un ataque de Instegogram, incluso si no sabían que la imagen digital estaba infectada. Dado que no existe inmunidad legal para proteger a los usuarios de las redes sociales, una empresa podría ser responsable de cualquier daño causado por la infraestructura de comando y control incorporada de un pirata informático.

Precauciones de seguridad a tomar

En los últimos años, el uso de plataformas de redes sociales para ataques cibernéticos ha aumentado y las empresas se han vuelto más vulnerables a los ataques. Por tanto, deben tomar las precauciones necesarias e implementar medidas de seguridad para minimizar el riesgo de ciberataques. También deben educar a sus empleados sobre las posibles amenazas de las redes sociales y explicarles por qué deben evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos desconocidos. Además, es fundamental mantener el software actualizado, instalar antivirus y firewalls y limitar el acceso a información confidencial. La implementación de estas medidas puede reducir la probabilidad de que las empresas sean víctimas de ciberataques. Además, las empresas deben contactar con sus corredores de seguros y aseguradoras para revisar sus pólizas de seguro y evaluar la cobertura de este riesgo. Deben ser conscientes de que varias pólizas de seguro pueden cubrir estas responsabilidades, incluidas las asociadas con riesgos, errores u omisiones cibernéticos, o las que cubren responsabilidades relacionadas con los medios.