Empleando las redes sociales como calificadores del riesgo de crédito

Hola,

Estuve el otro día hablando con un amigo acerca de redes sociales, y los muchos usos que se le pueden dar más allá del mero hecho de servir de conexión entre individuos. Al hilo de la charla me pasó este enlace en el que se documenta un uso de las redes sociales poco común, pero que probablemente se extienda en un futuro.

El artículo se llama Creditworthy? Lenders delve into your social networks, y recoge una tendencia en alza de la que inicialmente se hizo eco CreditCards.com: emplear la información disponible en redes sociales como factor de valoración de la calidad crediticia de un indiviuo.

Según el texto, una empresa llamada Rapleaf (entiendo que bajo demanda) se encarga de monitorizar la actividad de los usuarios en Facebook, Twitter y otros sitios similares con el fin de obtener información adicional para la valoración de operaciones de crédito. Aspectos que pueden ser considerados triviales, como el tener más o menos contactos, estar vinculado con usuarios con malos antecedentes credicitios (morosidad, por ejemplo), la presencia de discrepancias entre las solicitudes de crédito y la información que se haya volcado en una red social (presentar una nómina de 2000 euros y twittear que estás constantemente sin un duro, contar en Facebook cosas del tipo he tenido que inventarme un certificado de ingresos porque con la nómina no me dan el préstamo, etc.) pueden resultar determinantes para que finalmente se conceda un préstamo. En cuanto a negocios, las críticas negativas y valoraciones positivas en portales de comercio y redes sociales también pueden ser valoradas a la hora de determinar el riesgo en una operación de crédito.

A fin de cuentas esto no es nada nuevo. Se trata de complementar la información existente sobre el solicitante con aspectos demográficos basados en la información que los propios usuarios vuelcan en Internet. Muchos verán en estas actividades motivo para poner el grito en el cielo, pero si la información procede de perfiles y datos públicos, quizás donde haya que hacer el esfuerzo es en explicarle a la gente que lo que cuenta en Internet puede, y de hecho en su mayoría acaba siendo, algo que cualquiera puede leer y valorar. Incluídos los responsables de servicios financieros.

Un saludo,

Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID)

Buenas,

Mientras estaba de vacaciones navideñas leí un artículo que hablaba de Cross Site Identification. La verdad es que me había olvidado del asunto, pero un correo que he leído hoy mismo en Security Focus me ha traído de nuevo el asunto a la cabeza.

Muchos os preguntaréis qué es eso del Cross Site Identification (CSID). Aunque la explicación del autor es magnífica y completa, por resumir un poco, se trata de un ataque en el cual la víctima, que está preautenticada en un servicio o red social, navega en paralelo a un sitio malicioso que realizará, sin que el usuario se de cuenta, peticiones a la red social en la que esté preautenticado para obtener datos. Dice el autor que los datos solicitados bien podrían ser públicos, pero que no dejan de ser obtenidos de una manera ajena al contexto de la red social. Es por esto que se llama Cross Site Identification (Cross Site por la dualidad servidor-navegador, e Identification porque el ataque está dirigido a obtener información personal de la víctima, tratando de identificarla con el mayor número de datos.

Y como una imagen vale más que mil palabras …

Si os tengo que ser sinceros para mí el CSID encaja perfectamente en la definición de un viejo conocido, el Cross-site Request Forgery (CSRF), ya que el CSID se basa, al igual que en el CSRF, en la confianza que tiene un servicio Web en la preautenticación (en definitiva, en el navegador del usuario).

Nomenclaturas aparte, quizás sea un tipo de ataque a tener en cuenta, sobre todo teniendo en consideración el auge de las redes sociales, aunque ya sabemos que el robo de información personal ni vende periódicos ni, por desgracia, preocupa en exceso a los usuarios.

Un saludo,