Los principales ataques a celebridades y cómo pueden afectarte
El año pasado, las noticias de los ataques a celebridades parecían estar en todas partes después del Celebgate, el nombre dado por los medios de comunicación para el ataque que, según Celebuzz, afectó a 600 cuentas de iCloud de personas famosas. Los contenidos incluían fotos personales subidas de tono de celebridades atacadas que aparecieron posteriormente en el sitio de prensa amarilla 4chan, y poco tiempo después estaban publicadas por todo Internet.
Este año, el objetivo de los ataques sociales de alto perfil ha sido Ashley Madison, el sitio de citas que se promocionaba a sí mismo como especializado en relaciones extramatrimoniales. La lista de miembros fue robada y publicada online, y provocó la búsqueda inmediata por parte de los medios de comunicación de celebridades entre los clientes del sitio, pero el ataque a Ashley Madison no afectó solo a las celebridades. A las empresas en Estados Unidos les preocupa que los empleados que se suscribieron puedan ser vulnerables a ataques de "spear phishing" u otras formas de ciberchantaje.
Ataques a las vidas privadas
Resulta que el destino de estos ataques a las celebridades no solo es una preocupación para los famosos. En la era de Internet, cualquiera puede ser famoso, y de la forma más desagradable, si las imágenes o cualquier otro contenido estrictamente privado acaba hackeado y publicado online. Estos incidentes tienen importantes lecciones sobre ciberseguridad para todos.
Aún no se han hecho públicos más detalles técnicos sobre el ataque del Celebgate. (Esto es así por un buen motivo, ya que estos detalles podrían proporcionar una hoja de ruta para futuros hackers). Un punto que vale la pena destacar es que las imágenes y otros datos almacenados en los iPhones se copian automáticamente a iCloud, el servicio de almacenamiento en la nube de Apple. Android y otros sistemas operativos móviles también guardan copias en un servicio en la nube, nuevamente, por un buen motivo: para que los usuarios puedan tener acceso a ellas desde todos sus dispositivos. Pero representa una vulnerabilidad potencial de la que todos los usuarios móviles deberían ser conscientes.
El ataque puede haber sido tan simple como adivinar las contraseñas de celebridades (Apple, que generalmente goza de una buena reputación por su seguridad, posteriormente ha reforzado su protección "Olvidé mi contraseña"), o puede haber implicado la "ingeniería social", es decir, engañar a alguien para que revele su contraseña.
Las celebridades no son las únicas víctimas potenciales
El ataque a Ashley Madison, en cambio, técnicamente parece similar a otros ataques a sitios web de compras. Solo sus consecuencias han sido distintas, y se han extendido mucho más allá de Ashley Madison. Los ataques a sitios de compras suelen aspirar a robar información de tarjetas de crédito, que es como el oro para los cibercriminales. Los hackers de Ashley Madison, en cambio, pretendían exclusivamente avergonzar a personas, así que los hackers publicaron millones de correos electrónicos de los clientes de Ashley Madison online.
Aunque la lista de miembros contenía muchas direcciones de correo electrónico de celebridades, Ashley Madison no verificó ni confirmó estas direcciones, y pocas (si es que las había) parecían ser reales. Hasta el momento, Josh Duggar (del reality show 19 Kids and Counting) es la celebridad del más alto perfil que ha admitido estar involucrado en el escándalo, pero seguramente no sea la única persona que ha experimentado las consecuencias. Sin embargo, según se informó en Infoworld, la falta de confirmaciones de los ataques por parte de celebridades no ha evitado que el ataque se convirtiera en una preocupación seria, no solo para los individuos cuyos correos electrónicos reales están en la lista, sino también para las empresas y organizaciones cuyos empleados se suscribieron al sitio y que ahora podrían ser vulnerables a la "ingeniería social" y el chantaje de alta tecnología.
La ingeniería social y la vulnerabilidad humana
"Ingeniería social" es el término que utilizan los expertos de ciberseguridad para los ataques destinados al factor humano. Un ejemplo demasiado común es el "spear phishing", que consiste en que un cibercriminal envía un correo electrónico (generalmente uno que aparenta ser de un amigo o compañero de trabajo) que incluye enlaces a un sitio web o archivo malicioso. La víctima incauta hace clic en el enlace, permitiendo así que el malware infecte su dispositivo, donde puede sonsacar nuestros datos privados.
La preocupación de las organizaciones es que cualquier empleado cuyo correo electrónico estuviera en la lista de Ashley Madison ahora podría ser vulnerable a correos electrónicos de spear phishing que aparenten ser de abogados o investigadores privados. En este escenario, los atacantes no tienen que molestarse en inventar un agradable toque personal para enganchar a sus víctimas. El miedo de la víctima a la exposición y su desesperación por obtener protección podrían ser suficientes para que hagan clic en un enlace, lo que permite a los atacantes introducirse y buscar contraseñas u otros datos que luego se pueden aprovechar.
En la era de la movilidad, cualquier dispositivo con una conexión a Internet es potencialmente vulnerable a los ataques, y las contraseñas seguras son realmente importantes.
Ten cuidado con la ingeniería social y piénsalo dos veces antes de hacer clic en enlaces inesperados o inusuales incluidos en los correos electrónicos. Los ricos y famosos no son los únicos objetivos en la nueva era de los ataques a celebridades.
Otras lecturas y enlaces útiles relacionados con las amenazas a la seguridad de dispositivos móviles
Los principales ataques a celebridades y cómo pueden afectarte
Kaspersky
Artículos destacados
