Tecnología & Cultura Digital
2015-08-06

¡Cuidado infieles! Hackeo de Ashley Madison dejó muchas enseñanzas

El caso del hackeo del sitio Ashley Madison, web que incita a tener aventuras extramatrimoniales, enseña cómo ciberdelincuentes sacan jugo de sus robos

Por: iProfesional

El reciente robo informático que sufrió la web que incita a tener aventuras extramatrimoniales Ashley Madison, que afectó a sus 37 millones de usuarios, brinda varias enseñanzas de cómo los ciberdelincuentes aprovechan la información sustraída.

Avid Media Life, dueña de Ashley Madison, reconoció que "en este tiempo, hemos sido capaces de asegurar nuestros sitios web y cerrar los puntos de acceso no autorizados", y pidió perdón "por esta intrusión no provocada y criminal en la información de nuestros clientes".

Los "hackers" afirmaron tener datos personales de sus 37 millones de cónyuges de engaño y amenazaron con lanzar fotos de desnudos y fantasías sexuales de los clientes a menos que cierren la web, como informó el blog KrebsOnSecurity.

Avid Media Life confirmó que ya aseguró su sitio y que trabaja con las autoridades policiales para tratar de rastrear a los que están detrás del ataque. Eso sí, no dio a conocer qué información fue robada.

The Impact Team, la banda que se adjudicó el robo, exigió a la agencia de contactos eliminar los nombres de aquellos clientes que así lo habían solicitado y que incluso pagaron 19 dólares por ello, tal y como pedía la web, algo que por el momento no han cumplido.

Ashley Madison, que utiliza el lema "La vida es corta. Ten una aventura ", planeaba recaudar hasta 200 millones de dólares a través de una oferta pública inicial en la Bolsa de Valores de Londres.

La web cuenta con usuarios de más de 46 países, que se fundó en 2001. La compañía situada en Canadá asegura que un nuevo usuario se une cada seis segundos, y que es "el sitio web más grande del mundo para hombres y mujeres casados que esperan tener una aventura".

"El lucro en el ‘hackeo’ de Ashley Madison no es lo único que hay que temer", explicó ante iProfesional Ray Jiménez, vicepresidente regional para América latina de Blue Coat Systems, una empresa especializada en la protección de bienes e infraestructuras informáticas.

"Dada la sensibilidad de la información, este ataque puede llegar a ser el más lucrativo de los hasta ahora vistos, así como el primero de una futura y preocupante realidad", advirtió.

Las repercusiones de toda esta historia son muy importantes en un mundo donde ya los historiales médicos o crediticios están conectados a Internet a través de todo tipo de dispositivos, o donde los "hackers" están ya en condiciones de poder llegar a producir accidentes de vehículos.

"La confidencialidad y sensibilidad de los datos, tanto personales, como financieros o profesionales de los usuarios de Ashley Madison, hace pensar que los usuarios puedan llegar a ser víctimas de algún tipo de extorsión por parte del grupo de piratas The Impact Team que ha realizado el ataque. Este grupo ya ha filtrado algunos datos y ha amenazado con hacer públicos otros más", señaló Jiménez.

Respecto a cómo ocurrió el ataque, afirmó que "el hecho de que hubo un único y planificado ataque parece fuera de toda duda".

Recordó que en otros casos, "la explicación del éxito en el ataque ha venido de la mano de antiguos empleados vengativos o de empleados actuales cuyas credenciales de acceso se habían visto comprometidas por algún tipo de ingeniería social".

Otros ataques con éxito se lograron gracias a herramientas automáticas y computarizadas que, utilizando malware, consiguieron romper las barreras de seguridad cibernéticas.

"Crisis como ésta tienden a tener una gran visibilidad temporal pero a desaparecer tan pronto como la agenda informativa de los medios vaya dictando la actualidad… Pero en esta ocasión, la brecha en Ashley Madison va a tener una permanencia mayor en el tiempo debido a lo sensible de la información personal obtenida de sus socios y, dada la naturaleza de la misma, puede ser utilizada tanto mañana mismo como lo podrá ser dentro de un año", advirtió Jiménez.

Posibles explotaciones

Para este especialista, "hay muchas posibilidades que los ciberatacantes utilicen de alguna manera la información que han conseguido y, en este caso, se van a poder sentar muchos precedentes".

La primera posibilidad que se presenta, según Jiménez, es que Impact Team siga con su amenaza de exponer al público la información que dispone de los usuarios, con objeto de avergonzarlos o humillarlos.

"Esto hará que Ashley Madison sea el precedente de otros futuros ciber ataques impulsados principalmente por argumentos inicialmente moralistas, aunque luego tengan una repercusión social o económica", estimó.

"Este tipo de ataques son preocupantes en la medida que los atacantes no se han visto ni limitados ni constreñidos por el posible alto costo de llevarlos a cabo, al tener otro tipo de motivaciones no económicas, y también porque las personas tendremos que empezar a preocuparnos seriamente porque nuestras vidas privadas puedan llegar a hacerse públicas aún contra nuestra voluntad", puntualizó.

Sin embargo, la mayoría de los ataques contra empresas suelen tener detrás una motivación económica de algún tipo, y los atacantes se concentran en aquellas actividades que creen van a resultarles más rentables, describió.

Algunos expertos opinan sobre el hecho de que Impact Team haya distribuido algunos datos y amenazado con hacer públicos otros más, con la intención de incrementar el posible rescate o el precio del material si lo conservan.

Un posible escenario se abrirá si Impact Team, o a quien ellos vendan los datos, utilice la información para pedir un rescate a los usuarios de Ashley Madison, con la amenaza de hacerlos públicos en abierto o a sus seres queridos si no se paga una cantidad.

"Con un número de víctimas potenciales cercano a los 37 millones, y muchas de ellas de alto nivel de ingresos, el ciberataque a Ashley Madison puede llegar a resultar un negocio altamente lucrativo, potencialmente el más lucrativo de todos los ciber ataques que hasta ahora hayamos conocido", afirmó Jiménez.

Tampoco hay que dejar a un lado a aquellos clientes de nivel adquisitivo menor, pues muchos de ellos pueden ser profesionales con acceso a redes corporativas o a otros recursos de alto interés para terceros.

Los ciberatacantes pueden llegar a utilizarles como "rehenes" y amenazarles "a punta de ratón" para conseguir acceso a bases de datos corporativas o a otro tipo de información, sostuvo el especialista.
Los atacantes también pueden vender los datos personales a otros delincuentes, facilitándoles así unos puntos vitales de acceso que les permitan conseguir el éxito en ataques personalizados dirigidos contra ciertas organizaciones determinadas.

"La venta de unos datos frescos y recién obtenidos, puede llegar a alcanzar en el mercado unos precios altos ya que nadie más cuenta con esa información", vaticinó el especialista.
Prevención

Ante este nuevo escenario que se presenta de un mayor riesgo e incertidumbre, se hace evidente que hay que tomar algún tipo de medidas defensivas que reduzcan el acceso a datos personales sensibles.

"La formación no es, obviamente, la solución frente a las ciberamenazas, pero es una necesidad ineludible. Los cibercriminales están utilizando las redes sociales para encontrar información sobre cómo romper las claves. Si lo logran, se abre ante ellos todo un pasillo que les permite acceder a las redes corporativas y a la información que en ellas circula", afirmó Jiménez.

"Las consecuencias finales de esta crisis no van a ser conocidas en su totalidad hasta que Impact Team actúe, pero aun así, la brecha en Ashley Madison nos va a dejar una huella muy duradera", vaticinó.

"Si Impact Team escoge la opción del rescate, será uno de los más lucrativos, y probablemente embarazosos ataques nunca antes realizado y conocido", estimó.

"Pero si termina llevando a cabo su amenaza de hacer públicos los datos, puede ser el comienzo de una nueva etapa que nos lleve a ver ciberataques cada vez mayores, impulsados por criterios moralistas o ideológicos en lugar de económicos", concluyó.

Si el cibercrimen se convierte en una herramienta para hundir empresas u organismos públicos, o para hacer manifestaciones sociopolíticas de cualquier tipo, el mensaje real no será el de que las crisis cibernéticas son breves, sino que se puede llegar a complicar la vida de manera importante de ahora en adelante.

12 ejemplares al año por $75

SUSCRIBIRSE