Ashley Madison: 7 respuestas sobre el golpe a los infieles

Lá página de infieles más popular del mundo quedó vulnerada en el valor más importante que prometía a sus usuarios: la seguridad. Los archivos que desclasificó la revista Wired

162
162
162
162

El sitio que se promociona a sí mismo como el lugar "premium de engaño para las personas casadas", se vio vulnerado por un grupo de hackers que irrumpieron en sus servidores y publicaron más de 30 gigabytes de datos usuarios y de la compañía. Ashley Madison ahora está en la mira.

Propiedad de la firma canadiense Avid Life Media, permanece en línea desde el año 2001 y afirma que tiene unos 40 millones de usuarios, que ahora quedaron al descubierto y en manos de "Impact Team", como se hace llamar el grupo de hackers.

La web especializada en tecnología Wired logró desclasificar los archivos y afirmó que contienen detalles de cuentas bancarias y contraseñas de 32 millones de usuarios de la red social. También contienen siete años de detalles de transacciones desde el año 2007.

Los datos incluyen nombres, direcciones, correos electrónicos y pagos, pero no números de cuentas bancarias, aunque sí cuatro dígitos que podrían ser los últimos cuatro de las tarjetas de crédito utilizadas.

En una entrevista con Motherboard.com, una revista online dedicada a la tecnología y la ciencia, los hackers dijeron que tienen 300 GB de mensajes de correo electrónico de los usuarios en su poder, además de decenas de miles de imágenes que intercambiaban. "Un tercio de las imágenes son de genitales y no las vamos a publicar", dijeron en la entrevista.

Nada de esto es un buen augurio para otras empresas que pueden participar en las prácticas que a los hackers no les gustan. El Impact Team, dijo que apuntarían a "cualquiera de las empresas que hacen cientos de millones beneficiándose del dolor de los demás, sus secretos y mentiras".

Preguntas de contexto

¿Qué es Ashley Madison?

Es un sitio de citas con el lema "La vida es corta. Tenga una aventura", que ofrece a las personas casadas la oportunidad de engañar a sus cónyuges. Con cerca 39 millones de usuarios registrados en el mundo, es uno de los portales más grandes de su tipo, y no es ajeno a la controversia: el sitio le había permitido en agosto de 2014 a un científico analizar secretamente las conversaciones de sus usuarios para escribir un artículo sobre cómo se comportan las mujeres que quieren engañar a sus esposos.

El sitio es administrado por la empresa canadiense Avid Life Media, que opera un grupo de sitios igualmente polémicos, incluyendo 'Cougar Life' (para mujeres mayores que buscan hombres más jóvenes) y 'Established Men' ("Conectando mujeres jóvenes hermosas, con hombres interesantes").

Shutterstock 162

¿Cómo trabaja el sitio?

A diferencia de muchos sitios de citas, Ashley Madison no cobra por la membresía directamente. En cambio, los usuarios pagan por créditos, que se utilizan para enviar mensajes y sesiones de chat abiertas. Controversialmente, el sitio cobra sólo a los hombres para enviar mensajes a las mujeres, y también les cobra a los hombres para leer los mensajes enviados por las mujeres. Mientras que muchos sitios de citas inclinan la balanza a favor de los miembros femeninos, pocos son tan explícitos sobre ello.

Los usuarios también pueden utilizar sus créditos para enviar regalos, o pagar un costo extra para poner su mensaje en la parte superior de la bandeja de entrada de una mujer.

¿Qué se robó?

La base de datos de los miembros, así como una enorme cantidad de datos corporativos internos. La base de datos se divide en tres partes: la más grande contiene información de perfil, incluyendo nombres, direcciones, y fechas de nacimiento de los usuarios. Esa base de datos también contiene entradas de los usuarios, con detalles de sus gustos, qué tipo de persona están buscando, qué están dispuestos a hacer y otra información biográfica como si fuman o si beben.

Una segunda base de datos contenía direcciones de correo electrónico de los usuarios, así como información acerca de las listas. Esta es la base de datos que ha sido la fuente de muchas de las historias hasta ahora, porque es la más fácil de buscar en términos generales.

Pero la base de datos de correo electrónico es cuestionable. Comprendiendo la necesidad de privacidad de sus miembros, Ashley Madison no requería una confirmación del correo electrónico para utilizar la cuenta, lo que lleva a algunos miembros inscribirse con cuentas falsas (como "tblair@labour.gov.uk", una dirección que no existe), y otros dieron mensajes de correo electrónico que no eran propias, tales como las múltiples cuentas creadas con "steve@apple.com".

La tercer base de datos es de información de transacciones bancarias. Pero la información no es suficiente para robar dinero de los usuarios, y Ashley Madison ha sido muy claro que la información de tarjeta de crédito completa no se filtró: "No fueron robados los números de tarjetas de crédito completos de miembros actuales o anteriores de Avid Life Media. Cualquier declaración en sentido contrario es falsa. Avid Media Life nunca ha almacenado números de tarjetas de crédito completos".

¿Qué pasa si la cuenta se ha eliminado?

Parte de la información de las cuentas eliminadas todavía permanece en la base de datos. Esto es así incluso para las cuentas que aparentemente son eliminadas con una opción que ofrece Ashley Madison llamada "completa eliminación", que ofrece por 15 £ o 20USD eliminar toda la información de un usuario del sitio. The Guardian ha descubierto que algunas cuentas etiquetadas como "eliminación paga" están en la base de datos y conservan suficiente información como para identificar al titular de la cuenta: específicamente, una coordenada de longitud y latitud derivada del código postal, así como la fecha de nacimiento, altura , peso y sexo.

¿Dónde está la información ahora?

La mayor parte de la información se encuentra alojado en un Tor -un software libre que permite la comunicación anónima- y a diferencia de una página web normal se accede a un servicio oculto a través de una conexión encriptada. Esto significa que es muy difícil usar el sistema legal para acabar con la mayoría de la información.

Además de eso, la propia información está siendo diseminada usando BitTorrent, un protocolo de transferencia de peer-to-peer. El archivo se divide en varios bloques, que luego son compartidos directamente desde un equipo a otro.

¿Quién lo hizo?

Hasta el momento, nadie lo sabe. En el día del hackeo, el presidente ejecutivo de Ashley Madison Noel Biderman dijo al reportero Brian Krebs que podría haber sido algo interno. "Estamosa punto de confirmar quien creemos es el culpable, y quien por desgracia puede haber desencadenado esta publicación masiva", dijo Biderman. "Definitivamente fue una persona de aquí que no era un empleado, pero que sin duda tocó nuestros servicios técnicos".

Pero desde entonces, nada más ha sido revelado por Ashley Madison, excepto el hecho de que la empresa está investigando el ataque. En su declaración más reciente, la compañía dijo: "Hemos puesto en marcha inmediatamente una investigación completa utilizando expertos forenses independientes y otros profesionales de la seguridad para ayudar a determinar el origen, la naturaleza y el alcance de este ataque. Nuestra investigación está todavía en curso y estamos cooperando al mismo tiempo plenamente con las investigaciones policiales, incluyendo la Real Policía Montada de Canadá, la Policía Provincial de Ontario, la policía de Toronto y la Oficina Federal de Investigaciones de Estados Unidos".

¿Qué se puede hacer si aparecen datos de una persona?

Dada la amplia disponibilidad de los sitios que permitirán a los curiosos comprobar si una dirección de correo electrónico determinada se incluye en los datos hackeados, si alguna persona sabe que su información está en el sitio, irremediablemente deberá prepararse para que sea pública.

"La mayoría de los titulares de cuentas reales tienden a utilizar datos falsos por razones obvias. Si algunos de esos detalles falsos coincide con una persona real, entonces se puede crear un problema para esa persona. Por último, aunque los datos reales sean de una persona real, y esa persona realmente esté registrada en el sitio, no hay confirmación de que esa persona haya tenido una aventura", dice Tod Beardsley Gerente de Investigación de Seguridad en Rapid7, una agencia de seguridad cibernética.