El spam puede definirse como mensajes irrelevantes o no solicitados enviados a través de Internet. Suelen enviarse a un gran número de usuarios para una variedad de casos de uso como publicidad, phishing, propagación de malware, etc.
En el pasado, el spam solía favorecer al correo electrónico ya que era la principal herramienta de comunicación. Las direcciones de correo electrónico eran relativamente fáciles de cosechar a través de salas de chat, sitios web, listas de clientes y que impactan en la libreta de direcciones de un usuario. Con el tiempo, los filtros de correo electrónico se volvieron más sofisticados y disminuyeron de forma más eficaz el spam que obstruía la bandeja de entrada.
Desde entonces, los spammers se han trasladado a un nuevo objetivo: las aplicaciones sociales.
Las cuentas falsas son la clave del spam social: Para ganar credibilidad, estas cuentas falsas intentan hacerse «amigos» o seguir a cuentas verificadas, por ejemplo, celebridades y figuras públicas, con la esperanza de que estas cuentas se hagan amigas o las sigan a ellas. Cuando las cuentas genuinas se hacen amigas o siguen a las cuentas falsas, esto legitima la cuenta y le permite llevar a cabo actividades de spam.
Otra forma de ataque de los spammers es hackear y tomar el control de la cuenta de un usuario, difundiendo mensajes falsos a los seguidores auténticos del usuario.
Armados con cuentas falsas en redes sociales o aplicaciones, los spammers pueden realizar las siguientes actividades:
Mensajes a granel
Se pueden enviar mensajes con el mismo o similar texto a un grupo de personas en un corto periodo de tiempo. Varias cuentas de spam también pueden publicar simultáneamente mensajes duplicados.
El uso de la mensajería masiva puede hacer que un determinado tema sea tendencia de forma artificial si un número suficiente de personas los visitan. En 2009, un sitio web de spam que ofrecía un puesto de trabajo en Google engañó a los usuarios para que creyeran que el sitio era genuino.
De forma similar, la mensajería masiva puede utilizarse para difundir malware o publicidad para dirigir a los usuarios a un sitio.
Difusión de enlaces maliciosos
Los enlaces maliciosos son enlaces creados con la intención de dañar, engañar o perjudicar a un usuario o su dispositivo. Cuando se hace clic en el enlace, las actividades que se desencadenan pueden ir desde la descarga de malware hasta el robo de información personal.
Estos enlaces pueden difundirse fácilmente a través de comentarios y publicaciones enviadas por los usuarios, por ejemplo, vídeos de YouTube. Con una cuenta falsa en las redes sociales, los enlaces también pueden difundirse a través de publicaciones o mensajes de la cuenta.
Las reseñas fraudulentas
Las reseñas falsas son reseñas de usuarios que nunca han utilizado realmente el producto. Diversos productos o servicios suelen pagar a varios usuarios por reseñas positivas para potenciar su oferta de productos o servicios.
Con las cuentas falsas, se pueden publicar fácilmente reseñas desde una persona falsa, y éstas se pueden hacer de forma masiva.
Compartir contenido indeseado o excesivo
Las cuentas falsas también pueden contactar y compartir contenido injustificado como insultos, amenazas y publicidad no deseada a los usuarios genuinos. Los bots pueden configurarse para seguir automáticamente a nuevos usuarios o enviar mensajes automáticos a los usuarios que publican contenido.
Clickbaiting y likejacking
El clickbaiting es el acto de publicar titulares sensacionalistas para animar al usuario a hacer clic en el contenido con el objetivo de generar ingresos por publicidad online. Cuando el usuario hace clic en la página, el contenido normalmente no existe o es radicalmente diferente de lo que el titular hizo parecer.
El likejacking es el acto de engañar a los usuarios para que publiquen una actualización de estado de Facebook para un determinado sitio sin el conocimiento o la intención previa del usuario. El usuario puede pensar que sólo está visitando una página, pero el clic puede desencadenar un script en segundo plano para compartir el enlace en Facebook.
Esto creará entonces un círculo vicioso, ya que otros amigos del usuario genuino harán clic en el enlace y lo compartirán con más personas de su red.
Estas actividades tienen un impacto negativo en la experiencia del usuario, ya que pueden hacer perder su tiempo y atención, así como comprometer potencialmente su seguridad o robar sus datos. La presencia de cuentas falsas y el spam son, por tanto, un problema para las redes sociales, la mensajería over-the-top (OTT) y otras aplicaciones móviles o de juegos, ya que una experiencia de usuario negativa puede provocar el desgaste de los usuarios, impactar en el potencial de monetización y en la valoración del servicio.
Aunque las redes sociales están empezando a tomar medidas drásticas contra las cuentas falsas y el spam, los spammers pueden crear fácilmente nuevas cuentas falsas para continuar con sus actividades.
Arreglar los problemas de spam de las redes sociales
La raíz del problema es que crear una cuenta falsa en la aplicación social es increíblemente fácil, ya que el proceso de verificación de identidad es fácil de eludir. Los métodos más comunes de verificación de identidad incluyen el uso de la verificación por correo electrónico y el uso de la contraseña.
La verificación por correo electrónico es problemática porque un solo usuario puede crear muchas cuentas de correo electrónico en poco tiempo, que luego pueden ser utilizadas para crear cuentas falsas en la aplicación social.
La contraseña también es problemática porque los spammers pueden utilizar una herramienta automatizada llamada «verificador de cuentas» para probar diferentes combinaciones de nombres de usuario y contraseñas en la aplicación social con la esperanza de que unas pocas puedan funcionar para obtener acceso a estas cuentas. s se supone que disuaden de la creación automatizada de cuentas, pero se pueden externalizar rápidamente para que la gente lo solucione de forma económica.
El uso de la verificación telefónica al crear las cuentas puede evitar que los spammers creen cuentas falsas. Esto implica el envío de una contraseña de un solo uso (OTP) a un usuario a través de un canal de comunicación distinto (SMS o voz) que el canal IP (Internet) utilizado por la aplicación social.
Si una cuenta sólo puede crearse después de que el usuario haya introducido correctamente la OTP en la aplicación social, esto hará que la creación de cuentas falsas sea un proceso más tedioso.
Además, los números virtuales y portados pueden ser olfateados utilizando ciertas APIs como Number Insight de Nexmo. Como resultado, esto hace que sea prohibitivamente caro para el spammer crear cuentas falsas para usarlas con fines de spam, ya que o bien tienen que invertir en una solución altamente sofisticada, o someterse al proceso manual de obtener un número de teléfono para evitar la verificación telefónica.
La verificación telefónica es ideal para implementar porque los números de teléfono están disponibles a nivel mundial, y el proceso es barato de implementar. No se requiere hardware adicional, ya que la mayoría de la gente tiene un teléfono básico y una tarjeta SIM, y el coste de enviar/recibir mensajes es bajo.
Los nuevos usuarios pueden incluso incorporarse sin problemas, sin necesidad de introducir un código, comprobando su tipo de número de teléfono mediante un servicio como Number Insight de Nexmo. Esto también puede permitir el descubrimiento de cuentas que intentan introducir números virtuales, que la aplicación social puede optar por bloquear.
Una vez que el usuario realiza una acción dentro de la aplicación social, por ejemplo, actualizar el servicio, hacer la primera publicación, etc., la contraseña OTP puede enviarse entonces a su móvil, realizando una verificación dura.
Para evitar la toma de cuentas, la verificación telefónica también puede implementarse para autenticar el inicio de sesión desde un nuevo dispositivo, ubicación o dirección IP.
El spam en las aplicaciones sociales puede ser realmente disruptivo para la experiencia del usuario, por lo que la implementación de la verificación telefónica puede ser una forma efectiva de bloquearlo.
Siguiente lectura: ¿Son tus usuarios quienes dicen ser? ¿Cómo lo sabes?