Letras chiquitas salvan a Ashley Madison tras ‘hackeo’

Tras el hackeo al sitio para infieles Ashley Madison, cerca de 20 gigabytes de nombres, números de tarjetas de crédito, direcciones y otros detalles personales de sus usuarios quedaron expuestos en la red. Dependiendo del caso, los involucrados tendrán consecuencias; sin embargo, para el sitio propiedad de Avid Media, casi todo seguirá igual.

A pesar de que el hackeo demuestra las vulnerabilidades del sitio, el director de Investigación y Análisis para Kaspersky Lab en América Latina, Dmitry Bestuzhev, advierte que para la empresa las consecuencias serán mínimas, ya que la mayoría de los usuarios afectados no denunciará y el aviso de usos y condiciones del sitio, protege a la firma ante un incidente de redes.

Lee:  Hackers divulgan datos de clientes de Ashley Madison

“Hay que leer muy bien las letras del contrato de servicio, muchas veces ahí especifican qué es lo que sucede con los datos, pero no hablan de cómo lo hacen y ahí hay que sospechar (...) lamentablemente estos ataques se van a seguir dando y la impunidad será alta. A veces algunas personas no denuncian y eso es un error”, dijo el analista.

El artículo 14 del Aviso de Usos y Condiciones de Ashley Madison, detalla lo siguiente:

«no somos responsables de ningún inconveniente o dificultad técnica de redes o líneas telefónicas, sistemas de computadoras en línea, servidores o proveedores, equipos de computación, software, fallas de correos electrónicos/chats o jugadores debido a problemas técnicos o congestión de tráfico en internet o en el sitio web, o una combinación de estos».

Bestushev asegura que el impacto será mayor para los usuarios “desde cualquier punto de vista esto es un desastre. (...) la seguridad que aplicaron no fue la adecuada para ellos ni para los usuarios”.

Seguridad insuficiente

Aunque no se han revelado los motivos del ciberataque, de acuerdo con el analista de Kaspersky, uno de los factores que propiciaron este fue que el sitio no contaba con suficientes niveles de seguridad de datos, a pesar de que sus ejecutivos afirmaran que todos los datos se mantenían cifrados.

“Tal vez tenían cifrados en el primer nivel, donde se autentica el usuario, pero en el nivel de guardar datos no era así (...) Cuando los datos son cifrados, lo son, aunque los extraigan. Aún robando la información el atacante, no podría descifrar los datos”, dijo Bestuzhev.

Aunque al momento que un usuario se registraba en el sitio, debía proporcionar un correo electrónico y algunos datos personales extras, Ashley Madison aseguraba a sus clientes que al retirarse de la plataforma sus datos serían eliminados definitivamente, tras un pago, lo cual pudo no haber ocurrido.

“Ellos decían que ofrecían soporte a los clientes para eliminar sus datos cuando te ibas del servicio, pero en la práctica vemos que esto no era así (...) Esto demuestra que no lo tenían; a veces las compañías dicen una cosa pero no se puede verificar detrás si realmente es así”, dijo.

Los datos de usuarios de Ashley Madison fueron revelados como consecuencia de un hackeo previo, realizado por el grupo de piratas cibernéticos, Impact Team, al sitio Avid Life Media a finales de julio.

El objetivo del hackeo a Avid Life Media, que es la firma dueña de Ashley Madison y Established Men, era la eliminación definitiva de estos portales, ya que según los hackers, su negocio basado en la infidelidad es cuestionable.

Tras el incidente, Ashley Madison, reprobó el hecho y lo describió como un acto criminal y no de ciberactivismo, como los hackers argumentan.

“Esto no es hacktivismo, es un acto de criminalidad. Es un acto ilegal contra los miembros individuales de AshleyMadison.com, al igual que para la gente de libre pensamiento que elige estar en un sitio con actividades libres como este”, dijo la firma, tras el ciberataque.

De acuerdo con cifras de la empresa, el sitio contaba con más de 35 millones de usuarios en el mundo y México es el sexto país con mayor participación en la página, de acuerdo con el director general de Ashley Madison México, Víctor Hermosillo.

Militares sin honor

Tras el hackeo, Impact Team también publicó en diferentes sitios la base de datos en la que se pueden ver a detalle nombres, cuentas de banco, correos electrónicos y teléfonos de usuarios involucrados en esta plataforma. De acuerdo con un primer análisis de los datos publicados, se reveló que 15,000 cuentas de Ashley Madison fueron registradas con correos electrónicos del gobierno y militares de Estados Unidos. (.gov y .mil)

De acuerdo con Bestushev, las mayores consecuencias de los implicados en la base hackeada serán personales, pero para los militares listados la consecuencia es mayor. De acuerdo con el artículo 134 del Código de Uniforme de Conducta Militar de Estados Unidos, la infidelidad se castiga con un año de cárcel y cese de cargo, por lo que a largo plazo, elimina su derecho a recibir la pensión militar del gobierno.

A la fecha ningún experto de seguridad ha podido confirmar la veracidad de los datos publicados por Impact Team. Varios analistas explicaron que debido a que el sitio permite crear cuentas, sin necesidad de verificar el correo electrónico, existe un alta posibilidad de que diversos usuarios crearan cuentas falsas en la red fuera para mantener el anonimato o fraude.

Un caso en concreto fueron las diversas cuentas que fueron encontradas en la base de datos robados registradas con el correo electrónico del exministro británico, Tony Blair.