Esta semana removimos una serie de Páginas, grupos y cuentas que violaron nuestras políticas de autenticidad en Facebook e Instagram. Parte de ese comportamiento inauténtico coordinado fue originado en Irán y otra parte en Rusia. En ambos casos se trataba claramente de campañas, y aunque no detectamos una vinculación entre ellas, las dos usaban una táctica similar: construir redes de cuentas para engañar a otros acerca de quiénes eran y qué hacían.
Prohibimos este tipo de comportamiento porque queremos que las personas confíen en las conexiones que establecen en Facebook. Y si bien estamos progresando en la erradicación de estos abusos, se trata de un desafío constante contra grupos que actúan con determinación y están bien financiados. Debemos mejorar constantemente para poder anticiparnos a sus acciones. Eso implica crear mejor tecnología, contratar a más personas y trabajar en conjunto con las autoridades, expertos en seguridad y otras empresas. Esa colaboración es esencial, ya que ninguna compañía puede luchar contra esto por sí sola.
Existe una tensión entre eliminar a estos malos actores rápidamente y dedicar esfuerzos a mejorar nuestras defensas en el largo plazo. Si los removemos con mucha velocidad, se vuelve más difícil entender sus tácticas y la magnitud de sus redes. Eso también limita nuestra capacidad de coordinar con las fuerzas de seguridad, que a menudo llevan a cabo sus propias investigaciones. Esa es la razón por la cual hemos investigado estas campañas durante meses y continuaremos trabajando para indagar más acerca de su origen y de su proceder. Actualizaremos esta publicación con más detalles cuando los tengamos o si se producen nuevos hallazgos.
Agosto 21, 2018
Lo que hemos descubierto hasta ahora
Por Nathaniel Gleicher, Líder de Políticas de Ciberseguridad
Removimos 652 Páginas, grupos y cuentas de nuestra plataforma por actuar en forma inauténtica y coordinada desde Irán con el objetivo de impactar diversos servicios de internet en Oriente Medio, América Latina, el Reino Unido y Estados Unidos. En julio, la empresa de seguridad informática FireEye nos aportó información sobre “Liberty Front Press”, una red de Páginas de Facebook y cuentas de otros servicios de internet. FireEye publicó un primer análisis y en breve presentará un reporte completo sobre sus descubrimientos. Queríamos aprovechar esta oportunidad para agradecerles por su trabajo.
En base al dato de FireEye, iniciamos una investigación sobre “Liberty Front Press” e identificamos más cuentas y Páginas ligadas. Establecimos una conexión entre esa red y medios estatales iraníes a través de información pública sobre subscripciones web, direcciones IP y Páginas de Facebook que comparten los mismos administradores. Por ejemplo, una parte de esa red, “Quest 4 Truth”, afirma ser una organización independiente de medios iraníes, pero en realidad está conectada con Press TV, un grupo de noticias en inglés afiliado a los medios estatales iraníes. Las primeras cuentas de “Liberty Front Press” que encontramos habían sido creadas en 2013. Algunas intentaban ocultar su ubicación y publicaban en su mayoría contenido político con foco en Oriente Medio, el Reino Unido, Estados Unidos y América Latina. A partir del 2017 aumentaron su foco en Estados Unidos y el Reino Unido. Típicamente, las cuentas y páginas conectadas con “Liberty Front Press” se hacían pasar por organizaciones civiles y de medios que compartían información en distintos países sin revelar su verdadera identidad.
- Presencia en Facebook e Instagram: 74 páginas, 70 cuentas y 3 grupos en Facebook y 76 cuentas en Instagram.
- Seguidores: 155.000 cuentas seguían al menos a una de las Páginas, 2300 cuentas participaban de al menos uno de los grupos y más de 48.000 cuentas seguían al menos a una de las cuentas de Instagram.
- Publicidad: más de 6.000 dólares gastados en avisos de Facebook e Instagram, pagados en dólares americanos y australianos. El primer aviso se publicó en enero del 2015, y el último en agosto del 2018. Algunos fueron bloqueados a partir del lanzamiento de nuestras herramientas de transparencia de avisos políticos. Todavía no hemos completado nuestra revisión del contenido orgánico generado desde estas cuentas.
- Eventos organizados: 3.
- Muestras del contenido a continuación.
La segunda parte de nuestra investigación descubrió conexiones entre “Liberty Front Press” y otro grupo de cuentas y Páginas, la primera de las cuales fue creada en 2016. Generalmente, se hacían pasar por organizaciones de noticias y no revelaban su verdadera identidad. También llevaban a cabo ataques tradicionales contra la seguridad informática, como intentos de hackear las cuentas de personas y diseminar malware, que ya habíamos visto antes e interrumpido.
- Presencia en Facebook e Instagram: 12 Páginas y 66 cuentas en Facebook, y 9 cuentas de Instagram.
- Seguidores: unas 15.000 cuentas seguían al menos una de estas páginas, y más de 1.100 al menos una en Instagram.
- Publicidad: no hemos encontrado ninguna publicidad asociada a estas cuentas o Páginas. No hemos finalizado aun nuestra revisión del contenido orgánico generado desde estas cuentas.
- Eventos: no hemos encontrado eventos asociado a estas cuentas o Páginas.
- Muestras del contenido a continuación.
La tercera parte de nuestra investigación reveló otro conjunto de cuentas y Páginas, la primera de las cuales fue creada en 2011, que en gran medida compartían contenidos políticos de Oriente Medio en árabe y en farsi. También compartían contenidos sobre política en inglés en el Reino Unido y Estados Unidos. Descubrimos este grupo por primera vez en agosto de 2017 y ampliamos nuestra investigación en julio de 2018 a medida que incrementamos nuestros esfuerzos para las elecciones de mitad de mandato en Estados Unidos.
- Presencia en Facebook e Instagram: 168 páginas y 140 cuentas en Facebook y 31 cuentas on Instagram.
- Seguidores: unas 813.000 cuentas seguían al menos a una de estas páginas y más de 10.000 seguían al menos una de estas cuentas en Instagram.
- Publicidad: más de 6.000 dólares invertidos en avisos en Facebook e Instagram, pagados en dólares americanos, liras turcas y rupias indias. El primer aviso se publicó en julio de 2012 y el último en abril de 2018. No hemos finalizado aún nuestra revisión del contenido orgánico generado desde estas cuentas.
- Eventos organizados: 25.
- Muestras del contenido a continuación
Continuamos investigando, y hemos compartido lo que sabemos con los gobiernos del Reino Unido y de Estados Unidos. Dado que existen sanciones de Estados Unidos contra Irán, también informamos al Departamentos de Estado y al Tesoro en Washington. Esas sanciones, no obstante, permiten a las compañías ofrecer servicios de internet para comunicaciones personales, incluyendo al gobierno y a sus instituciones afiliadas. Pero Facebook adoptó medidas para prevenir que tanto Irán como los otros países donde hay sanciones vigentes puedan usar nuestras herramientas de avisos. Por ejemplo, nuestros sistemas analizan a cada anunciante para identificar su ubicación actual y si figuran en la lista de individuos sancionados del gobierno de Estados Unidos. A partir de lo que aprendamos con esta investigación implementaremos cambios para detectar mejor a las personas que intenten evadir nuestras herramientas para el cumplimiento de sanciones y evitar que publiquen anuncios.
Por último, hemos eliminado Páginas, grupos y cuentas que puedan conectarse con fuentes que el gobierno de Estados Unidos haya identificado previamente como servicios rusos de inteligencia militar. Esta acción no está conectada con las actividades que hemos descubierto en Irán. Si bien se trata de algunas de los mismos malos actores que hemos eliminado por ciberataques antes de la elección de 2016 en Estados Unidos, esta actividad más reciente se concentraba en la política de Siria y Ucrania. Por ejemplo, están asociadas al Inside Syria Media Center, que según el Atlantic Council y otras organizaciones, ha difundido de forma encubierta contenidos pro-Rusia y pro-Assad. Hasta el momento, no hemos encontrado ninguna actividad de estas cuentas orientada a Estados Unidos.
Trabajamos junto con las fuerzas de seguridad de Estados Unidos en esta investigación, y agradecemos su ayuda. Ese trabajo continúa y debido a su naturaleza confidencial tenemos límites para difundir más detalles sobre la remoción.
Actualización en Agosto 21, 2018 a las 7:55PM PT
Cuándo reaccionar contra las ciberamenazas
Por Chad Greene, Director de Seguridad
Cuando los equipos de seguridad detectan una ciberamenaza, se enfrentan a una decisión difícil: ¿cuál es el mejor momento para reaccionar? ¿Debemos detener inmediatamente una campaña para evitar que haga más daño? ¿O pasamos más tiempo investigando la extensión del ataque y quién está por detrás para prevenir que vuelvan a hacerlo en el futuro?
Los expertos en seguridad debaten estas cuestiones desde hace años. Y es una decisión con la que nuestro equipo en Facebook ha tenido que lidiar durante el último año, a medida que identificamos diferentes ciberataques, incluidas las acciones coordinadas que eliminamos esta semana. Hay una infinidad de cuestiones a considerar en cada caso. ¿Qué tan activa es la amenaza? ¿Cuál es el grado de sofisticación de quienes la realizan? ¿Cuánto daño está causando? ¿Y qué consecuencias tendrá en el escenario mundial? Este es un resumen de lo que hemos aprendido a lo largo de los años; en muchos casos, se trata de lecciones que tuvimos que aprender a la fuerza.
Con quién compartimos información y cuándo
Las ciberamenazas no suceden en el vacío. Tampoco las investigaciones. Entender la naturaleza de una amenaza requiere comprender cómo se comunican aquellos que la llevan a cabo, cómo obtienen elementos como registros de dominio y hosting, y cómo se manifiesta esa amenaza en otros servicios. Para obtener ayuda al recopilar esa información, a menudo compartimos inteligencia con otras compañías, una vez que tenemos una idea básica de lo que está sucediendo. Esto también les permite proteger mejor a sus propios usuarios.
Los investigadores académicos también son socios valiosos. Porque los expertos externos, ya sean individuos u organizaciones, a menudo tienen una perspectiva única e información adicional que puede ayudarnos. También cumplen un papel importante cuando se trata de concientizar al público acerca de estos problemas y de cómo la gente puede protegerse mejor.
Las fuerzas de seguridad también son esenciales. Hay ocasiones en los que tienen un rol específico en ayudarnos a mitigar una amenaza que hemos identificado, y es en esos casos en los que recurrimos a la agencia apropiada para compartir lo que sabemos y pedir ayuda para minimizar el daño a las personas que utilizan nuestros servicios, nuestra máxima prioridad.
Cuando decidimos eliminar una amenaza –un asunto sobre el que me explayaré más adelante– también debemos considerar nuestras opciones para alertar a la gente que pudo haber sido afectada. Por ejemplo, en casos de malware direccionado e intentos de hackeo que sabemos que son realizados por agentes sofisticados –como organizaciones ligadas a un Estado o a una nación– podríamos poner un aviso en la parte superior de la sección de noticias para avisar a las personas y asegurarnos de que su cuenta está protegida. En caso de un ataque que busca causar un daño social mayor -como intentar manipular a las personas o generar divisiones mediante el uso de desinformación– compartimos lo que sabemos con la prensa y los investigadores externos, en la medida de lo posible, para que el público esté al tanto.
Cuándo esperamos y cuándo actuamos
Cuando identificamos una campaña malintencionada, nuestro objetivo es averiguar todo lo que podamos sobre el alcance que tiene en nuestros servicios las personas que la realizan, y qué es lo que podemos hacer para frenarlas. En el momento en que nuestro análisis ya no genera nueva información, la eliminamos. Ese fue el caso de la remoción que hicimos esta semana, que estaba conectada con servicios rusos de inteligencia militar.
Pero si continuamos haciendo descubrimientos a medida que investigamos, probablemente demoraremos cualquier acción que pueda alertar a nuestro adversario y lo haga modificar su curso de acción. Después de todo, cuanto más sepamos sobre una amenaza, mejor equipados estaremos para evitar que las mismas personas vuelvan a atacar en el futuro.
Esta premisa es especialmente importante cuando se trata de agentes altamente sofisticados, especializdos en ocultar sus huellas. Queremos comprender mejor sus tácticas y responder de manera de mantenerlos fuera de Facebook. Los ataques amateurs, en cambio, pueden ser eliminados rápidamente con relativa seguridad de que podremos encontrarlos si aparecen en otro lado, incluso teniendo poca información acerca de quiénes son o de cómo operan.
Sin embargo, a menudo debemos adoptar algunas medidas antes de agotar nuestra investigación. Siempre nos moveremos rápidamente cuando una amenaza represente un riesgo inminente contra la seguridad. Por eso, si determinamos que alguien está intentado comprometer la cuenta de otra persona para poder obtener su ubicación, y sospechamos que eso representa un peligro físico, intervendremos inmediatamente y notificaremos a la víctima y a las fuerzas de seguridad en caso de ser necesario.
Estas prácticas no se limitan al daño físico. También investigamos de qué manera una amenaza puede impactar en alguno de los próximos eventos mundiales. Esto a veces significa que nos apuramos en eliminar algo porque se aproxima la realización de uno de ellos. Fue el caso de cuando eliminamos 32 páginas y cuentas el mes pasado. En otros casos, esto puede significar demorar la decisión para reducir las chances de que una persona malintencionada tenga tiempo de reagruparse y ocasionar daños.
Nuestra mejor apuesta
Los expertos en seguridad nunca pueden estar 100% seguros de cuál es el mejor momento para actuar. Pero lo que sí podemos hacer es observar con atención todas las piezas importantes, sopesar los beneficios y los riesgos que conllevan los distintos escenarios, y tomar una decisión que creamos que sea la mejor para los que usan nuestros servicios y para la sociedad en general.