El karma al acecho: Ashley Madison

22 Jul 2016

Hace un año, una gran brecha de seguridad impactó profundamente en la vida de los usuarios registrados en Ashley Madison, una web de “citas” para personas casadas. A causa de ella, el controvertido negocio estuvo a punto de desaparecer.

Ashley Madison users are still target for cybercroocks

Los hackers de Ashley Madison, un grupo desconocido que se hacía llamar Impact Team, expusieron los datos de más de 37 millones de usuarios de 40 países, además del código fuente de la página y la correspondencia interna entre los directivos de la compañía. Debido a la naturaleza de la página (usuarios casados en busca de otros usuarios casados para mantener relaciones extramaritales), el suceso cambió muchas vidas drásticamente y permitió que los ciberdelincuentes se comportaran como depredadores en contra de las víctimas del hackeo.

“Lo vieron venir

Los hackers a menudo roban datos para revenderlos en la Darkweb, pero, al parecer, los autores del hackeo de Ashley Madison buscaban justicia en lugar de dinero.

Para empezar, Impact Team envió una carta al equipo directivo de Avid Life Media, la compañía hermana de Ashley Madison, en la que informaban a la empresa de que habían hackeado su infraestructura y exigían que retiraran tres de sus webs de citas. Si no lo hacían, los datos de sus clientes serían filtrados al público. La compañía lo rechazó y, 30 días después, se cumplió la amenaza.

Tan pronto como sucedió, cundió el pánico entre los subscriptores, y no por temor a que se hubieran comprometido los datos de sus tarjetas de crédito, sino más bien por el temor a que se revelaran sus infidelidades y fotos privadas. Mientras tanto, los investigadores se pusieron a trabajar y analizaron el código fuente de la web del que pronto extraerían varias conclusiones interesantes.

En primer lugar, el código fuente de Ashley Madison contenía varias vulnerabilidades que permitieron a los hackers infiltrarse en la infraestructura de la web en cuanto encontraron el punto de entrada. En segundo lugar, el análisis mostró los pobres requerimientos que pedía la página para la creación de contraseñas: debían contener de 5 a 8 caracteres y solo soportaba dos tipos.

Avid Life Media y sus clientes tuvieron que enfrentarse a las consecuencias de esta brecha de seguridad y, debido a la naturaleza del servicio prestado, fueron mucho más difíciles de sobrellevar que las de otros servicios más populares.

Las pérdidas de la compañía: sueños rotos y daños de reputación

En general, la reacción del público a la brecha fue de risas reprimidas. Muchos consideraron que la brecha era fruto del karma dando una lección a la compañía. Después de todo, el modelo de negocio de Avid Life Media se sostenía sobre infidelidades y mentiras. Una vez filtrados los datos, incluida la información confidencial de la compañía, los investigadores los analizaron y fue cuando los usuarios enfurecieron.

La investigación demostró que la promesa que ayudó a Ashley Madison a atraer a millones de clientes era una gran mentira. Entre sus otras características, para que los clientes se sintieran cómodos con la discreción de la web, Ashley Madison anunciaba activamente su opción de “borrado total”, la cual se vendía a los usuarios como la posibilidad de borrar su perfil total y permanentemente por el precio de 19 dólares. Dicha opción hacía ingresar a Ashley Madison más de 1,7 millones de dólares al año.

Aun así, el servicio borraba solo los datos del perfil. Los datos de pago los guardaba, por lo que los nombres reales de los clientes, sus direcciones de facturación y los datos de sus tarjetas de crédito seguían estando en los servidores de la compañía. Aunque una persona utilizara un pseudónimo para registrase, su nombre real estaba en el sistema de forma permanente.

Conforme continuó la investigación, apareció otro dato interesante: la mayoría de las mujeres que coqueteaban eran en realidad chatbots cuyo único propósito era atraer a los recién llegados para que probaran la web y conseguir que pagaran para seguir con la conversación. Los chatbots no eran un error inocente: la decepción era intencionada y supuso una gran labor de codificación e, incluso, el análisis de las preferencias de los clientes: por ejemplo, se emparejaba a algunos hombres con “mujeres” que parecían ser de la misma etnia.

Al final, Avid Life Media quedó indefensa frente a los desconocidos e implacables hackers y eso le costó mucho a la compañía, la cual planeaba entrar en bolsa unos pocos meses después del hackeo, pero en cuanto se desató el infierno no tenía sentido hacerlo: ya no se podía alcanzar el precio inicial de compra de acciones de 200 millones de dólares. En su lugar, Avid Life Media se enfrentaba a demandas, auditorías y a la dimisión de su director ejecutivo, Noel Biderman.

El incidente obligó a Ashley Madison a renovar por completo su marca: un año después de la brecha, Ahsley Madison ha cambiado su oferta primaria y ha renovado su imagen. Su eslogan “La vida es corta. Ten una aventura” ha desaparecido y, en su lugar, los visitantes verán “La vida es corta. Encuentra tu momento”. El servicio abandonó su imagen de web de infidelidades y ahora se define a sí misma como “el mejor lugar para encontrar relaciones reales y discretas con adultos de actitud abierta”.

Castigo a los usuarios: divorcio, remordimientos y separación

Mientras Avid Life Media intentaba desesperadamente mitigar el efecto de la brecha ofreciendo una recompensa de 500 000 dólares por cualquier información relativa a los hackers, los usuarios tan solo podían prepararse para tiempos difíciles. Durante las semanas siguientes a la brecha, el servicio de atención al cliente de Avid Life Media dejó de responder con información útil a las miles de peticiones horrorizadas y abandonó a sus usuarios completamente a su suerte.

Un sinfín de matrimonios estaban al borde del divorcio y las víctimas temían sincerarse con sus parejas, lo que en algunos casos les llevó a tomar difíciles decisiones e incluso trágicas.

Mientras tanto, los abogados online de la moralidad y de la fidelidad marital continuaron atacando sin piedad a los miembros de la web. El DJ de una radio australiana dijo a una mujer mientras emitían que su marido estaba registrado en Ashley Madison y un periódico de Georgia publicó todos los nombres filtrados.

La amenaza inminente también afectó a oficiales militares, clérigos, celebridades, políticos y a otras figuras públicas cuyas reputaciones podían dañarse gravemente.

Varios informes de prensa afirmaban que muchos oficiales militares y trabajadores de la agencia gubernamental utilizaban sus e-mails de trabajo para registrarse en Ashley Madison. Aunque los informes no se confirmaron, los rumores hicieron que se pusieran en entredicho muchas instituciones, como la oficina del primer ministro del Reino Unido.

Las oportunidades de los delincuentes: extorsión, spam y phishing

Los delincuentes responsables del hackeo no eran los sospechosos habituales que roban credenciales para ganar dinero. Pero una vez que Impact Team abrió la puerta, otras ciberbandas aprovecharon la oportunidad.

En primer lugar, los usuarios afectados eran objetivos fáciles para los scams de tarjetas de crédito. Aunque muchos usuarios de Ashley Madison se registraran con un alias, para realizar el pago debían facilitar su verdadera identidad. La base de datos filtrada no parecía incluir los datos completos de las tarjetas de crédito, pero, en algunos casos, los delincuentes pudieron obtener la numeración completa de las tarjetas con los cuatro últimos dígitos y robar el dinero de las cuentas bancarias o realizar compras online.

Pero en el caso de Ashley Madison, los scams de tarjetas de crédito no fueron el único modo de aprovecharse de los datos de los usuarios. Con los datos privados en mano, los chantajistas se pusieron en contacto con las víctimas amenazándoles con hablar con sus familias y jefes sobre sus infidelidades o compartir sus fotos y correspondencia personal con sus amigos en Facebook o con sus contactos en LinkedIn. Al enfrentarse a esta situación inminente , algunas de las víctimas pagaron el rescate sin tener pruebas de que los chantajistas les dejarían en paz. Y al parecer, denunciarlos ante la policía no era una opción.

Estos casos siguen sucediendo. Un subscriptor de Nueva Jersey compartió hace poco y anónimamente su historia. El divorciado “Sr. Smith”, se registró en Ashley Madison con su nombre real y mediante su tarjeta de crédito. Al pasar un breve plazo de tiempo, recibió un e-mail de unos chantajistas que afirmaban tener su correspondencia privada, sus datos bancarios y demás.

El e-mail decía: “También tenemos acceso a tu página de Facebook. Si no quieres que compartamos esta información obscena con tus amigos, tu familia y tu mujer, debes enviar 5 bitcoins a esta dirección BTC… Tienes 24 horas. Ten en cuenta lo caro que resultaría un abogado matrimonialista. Si ya no hay compromiso en vuestra relación, piensa en cómo afectaría esto a tu estatus social entre tus familiares y amigos. ¿Qué pensarían ellos sobre…?”

Smith no se sintió avergonzado por nada de lo que había hecho, así que, en lugar de pagar el rescate, decidió compartir esta información con el resto del mundo. ¿Qué habrán hecho otras víctimas? Solo ellas lo saben.

Los artículos sobre el hackeo de “la web de infidelidades” pronto dieron paso también a nueva ola de webs de phishing. Las personas que dudaban sobre la fidelidad de sus parejas eran guiadas a páginas web en las que podían introducir sus direcciones de e-mail para comprobar si estaban en la base de datos de Ashley Madison.

Sin embargo, al introducir sus e-mails, estas personas corrían el riesgo de ser víctimas de ataques de spam o phishing. Los ciberdelincuentes crearon páginas falsas para coleccionar direcciones de e-mail y luego utilizarlas para hacer spam o phishing. En cuanto una persona introducía una dirección de e-mail, esta era enviada y los delincuentes la usarían para realizar fraude.

Post mortem

Ya ha pasado un año desde la brecha de Ashley Madison y hemos escuchado muchas otras historias horribles sobre brechas masivas y sus consecuencias. Aun así, el hackeo de Ashley Madison ha tenido un impacto diferente, más personal y profundo que el robo de contraseñas de redes sociales o de los números de tarjetas de crédito. Se traficó con historias privadas que de otro modo nunca se habrían dado a conocer y fueron expuestas a todo el mundo.

Algunas brechas tienen un efecto de larga duración tanto para el servicio afectado como para sus usuarios. Por ejemplo, solo hay que imaginarse lo que habría sucedido si se hubiera creado una herramienta para comparar los datos de Ashley Madison con los datos de otros grandes hackeos, como el de la Oficina de Gestión de Personal de los EE.UU. Aquel filtrado comprometió los datos personales de millones de trabajadores del gobierno estadounidense, incluidos los de muchos que tenían acceso a información clasificada.

Hasta la fecha, ha habido tres importantes demandas contra Avid Life Media. Sin embargo, muchos de los divorcios han pasado desapercibidos. Millones de personas viven con el temor de que se descubra su infidelidad y Avid Life Media, un negocio prometedor hasta mediados de 2015, se vio obligada a replantearse su estrategia de desarrollo. La compañía tendrá que lidiar con las consecuencias de esta brecha durante los años venideros.

El matrimonio y la fidelidad no son un negocio, son decisiones personales, y no es nuestra misión dar lecciones sobre dichas decisiones. Pero nos encontramos en la extraña situación de tener que alertar a los usuarios que decidan llevar estas decisiones íntimas al ámbito cibernético. Sus datos personales y sus reputaciones están en juego. Y la naturaleza de este tipo de información les hace más vulnerables frente a los ciberdelincuentes que usan los trucos más sucios (chantaje y extorsión).

Si todavía te apetece adentrarte en el peligroso mundo de las citas online, ten en mente unos consejos básicos que te ayudarán a mitigar los riesgos de una brecha potencial.

  • Preocúpate por tu propia seguridad, no esperes que una web lo haga por ti. Trata de evitar pagar con tarjeta de crédito. En su lugar, utiliza tarjetas regalo y nombres e e-mails falsos en tu perfil.
  • No intercambies fotos desnudo, incluso/especialmente bajo presión. Quizá confíes en la persona con la que estés chateando, pero hoy en día nadie está a salvo de los filtrados de datos, así que ponte en el peor de los casos.
  • Nunca utilices las direcciones de e-mail de trabajo para regístrate. Que un hacker pueda relacionarte con tu jefe es una gran oportunidad para chantajearte, además podría conllevar un ataque de ingeniería social y comprometer la seguridad de tu empresa.
  • Utiliza una dirección de e-mail privada, que no sea tu dirección principal, para las citas online.
  • Utiliza un pseuodónimo. Para mantener el mayor nivel de secretismo, no te registres con un nombre real y, por supuesto, no utilices tus cuentas de redes sociales para la autorización. Cuanta más información tengan los scammers sobre ti, más fácilmente podrán atraparte.
  • Si te ves afectado por una brecha de seguridad, no caigas en ninguna oferta para comprobar si tus datos aparecen entre los datos filtrados, puede tratarse de una trampa. Si quieres comprobarlo de forma segura, prueba en HaveIBeenPwned?, una página web desarrollada por hackers de sombrero blanco y el investigador de seguridad troy Hunt.
  • Si tus datos se han visto comprometidos, asegúrate de cambiar tus contraseñas en otros servicios online en los que hayas usado la misma contraseña o alguna similar: los hackers saben que los usuarios suelen usar la misma contraseña. Si dudas, los responsables podrían hackear tus cuentas de Facebook o LinkedIn, o peor, tu e-mail. Puede que también debas pedir nuevas tarjetas de crédito.
  • Quizá lo más importante: intenta tener siempre en cuenta que es posible que en el futuro hackeen tu cuenta. Por desgracia, hoy en día sufrir una brecha de seguridad no es una cuestión de “y si”, sino de “cuando”.