Hackeando la democracia: Un like para controlarlos a todos

Entender cómo funcionaba Cambridge Analytica es esencial para todos aquellos que quieran construir un movimiento según sus ideas o entender el poder político moderno según la financiación invertida o evitar ser manipulado

Silicon valley ha estado diseñando desde los últimos diez años toda esta máquina propagandística para mantener a los usuarios enganchados y crear adicción.

Todo el mundo puede hacer big data, la información sobra, pero Cambridge Analytical ha creado un modelo para convertir los datos en perfiles de los usuarios y lo ha utilizado en primer lugar para predecir y después para manipular la opinión pública cambiando el comportamiento de la gente.

En 2013  Michal Kosinski utilizó el modelo OCEAN para conocer los perfiles psicológicos de los usuarios, para ello vinculo los likes de los usuarios con sus puntuaciones OCEAN. (Para más información revisar los links de debajo del artículo en Wikipedia donde se explica el modelo de los cinco grandes).

Una vez hecho esto, podían hacer el paso inverso, a través de 10 likes de Facebook de cualquier otra persona que no tenían en la base de datos podían conocer cuál era su modelo OCEAN y su perfil de personalidad.

Cambridge Analytica lo llevo al extremo, realizando los siguientes pasos:

  • En primer lugar le pagaron a gente entre $2 y $5 en mturk (Mechanical Turk es una plataforma de Amazon para minijobs) para poder obtener su personalidad mediante una encuesta política a través de una aplicación de facebook que pedía autenticarse con su login/password de facebook. Dicha aplicación daba acceso a su perfil y además a poder ver el perfil de sus amigos.
  • Después hacían un match de los resultados de la entrevista/encuesta con los likes de sus perfiles en Facebook.
  • Una vez hecho esto combinaron todos estos datos que ya tenían con datos de otras fuentes, como por ejemplo a que revistas están suscritos, a que iglesias van, donde compran el pan, etc. Comprando datos de los Data Brokers.
  • Entonces construyeron campañas microtargetizadas de esos perfiles para obtener máxima difusión y acierto de sus campañas políticas.

Facebook está en caída libre en la bolsa, ha despedido al jefe de seguridad Alex Stamos, vale 60000 millones menos y se comenta que Mark Zuckerberg ha perdido el control de la criatura que él mismo creó.

Normalmente, la gente cuando habla de Big Data es humo, pero esta gente lo ha hecho tangible. ¡Bravo por ellos!. Eso sí, han necesitado una cartera y unos cerebros muy grandes ;).

 

Enlaces de referencia:

  • https://medium.com/join-scout/the-rise-of-the-weaponized-ai-propaganda-machine-86dac61668b
  • https://es.wikipedia.org/wiki/Modelo_de_los_cinco_grandes
  • https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
  • https://www.elconfidencial.com/tecnologia/2018-03-20/facebook-cambridge-analytica_1538554/

 

El phishing del proveedor

Ampliamente se ha hablado en las noticias del fraude/phising del CEO, en el cual unos atacantes se hacen pasar por el CEO de la organización y contactan con el personal responsable de ventas/cobros para realizar importantes transferencias de dinero en efectivos a bancos en países remotos en el extranjero.

Puede sonar a chiste, pero la verdad es que a la gente no le hace mucha gracia cuando tienen que tener una reunión/gabinete de crisis para explicarte como les han hackeado y te preguntan cómo podrían recuperar su dinero.

Una de las actividades que hacemos es concienciación a pequeñas y medianas empresas porque son las más vulnerables a este tipo de engaños debido a su reducido presupuesto. Para ello realizamos pequeñas simulaciones de phishing para revisar cuál es el porcentaje de éxito en cada compañía.

El phishing del proveedor es un poco diferente, imaginad una empresa muy grande, no importa a que se dedique, lo mejor es que sea muy grande para poder localizar buscando en internet que proveedores tiene.

Una vez localizada la lista de proveedores se envía un phishing a todos y cada uno de ellos utilizando la lista de correos que se ha extraído de alguna fuga de datos de esas tan comunes últimamente en internet.

Se hace de esta forma porque normalmente el proveedor, al ser más pequeño, ha invertido menos recursos en seguridad informática que la empresa grande (aunque no siempre es así, en futuros artículos veremos que lo fácilmente hackeable que es una empresa, es directamente proporcional al número de empleados que trabajan en ella).

Una vez hemos comprometido la empresa tenemos que encontrar a la persona que envía las facturas a la empresa grande y enviar una factura lo más grande posible a la empresa matriz para que nos pague pero modificando el número de cuenta por una de un banco en las Bahamas o en cualquier país remoto donde nadie pueda llegar 😉

Si tenemos un poco de tiempo para escribir en futuros artículos veremos como hacer movimiento lateral y desplazarse una vez se ha comprometido una empresa.