De acuerdo con Stephen Cobb, investigador senior de seguridad la haxposición pertenece a una categoría diferente al simple robo de datos para su reventa, que es un tipo de ataque informático mucho más común. Tanto en el caso Hacking Team como con Ashley Madison la publicación de datos resultó en un impacto grave a la reputación de miles de personas y para el modelo de negocio de ambas empresas.

En los dos escenarios planteados Cobb habla también de un nuevo tipo de hacktivismo dado que detrás de los ataques estaba un grupo de personas inconforme con las actividades de cada una de las compañías, una inconformidad que incluso iba más allá de intereses económicos.

Cuando se habla de haxposición se habla de una amenaza potencialmente más perjudicial para una empresa que la de robar y vender datos personales a otras personas que utilizarán la información con fines ilícitos. Aquí el daño potencial es una función para medir la confidencialidad de los datos que estás tratando de proteger.

En este sentido Cobb tiene una analogía muy acertada para ejemplificar el impacto. Considera que tienes una empresa de alimentos y unos cibercriminales roban tu receta secreta para preparar un platillo estrella; si la venden a la competencia o la publican en internet podrás enfrentar ciertas pérdidas pero esto no destruirá tu empresa. Por otro lado, si en tu receta secreta se esconde un secreto peligroso como que uno de los ingredientes es un cancerígeno prohibido, la exposición de este tipo de datos puede dañar hasta la bancarrota la reputación de tu negocio.

Haxposición en el 2016

La tendencia apunta a que este año veremos más casos como los de Hacking Team pero esta predicción puede revertirse fácilmente a medida que las organizaciones eleven su educación en materia de seguridad. Pero también esto dependerá de qué tantos secretos tengan que esconder las empresas ya que hay cientos de cibercriminales que están convencidos de tener la razón y el derecho de actuar como jueces de la justicia por lo cual buscarán nuevos secretos y los expondrán públicamente, dañando a víctimas inocentes en el proceso.

La firma de seguridad CynoSure Prime analizó la información obtenida de 36 millones de usuarios que estaban suscritos a esta página de citas para infieles y los resultados son preocupantes ya que confirman la nula precaución que la gente tiene para proteger su información personal.

Lee también: Contraseñas, aspectos que debes considerar al crear una

La siguiente lista muestra las 100 contraseñas más utilizadas en Ashley Madison y son el resultado de distintos métodos de desencriptación, algunos más complejos que otros. De acuerdo al estudio, alrededor del 0.0006% contaba con una contraseña relativamente segura, mientras que 2.6 millones de miembros tenían passwords tan sencillos que en un par de horas ya habían sido revelados.

La lista de coincidencias sufrirá cambios a medida que se siga analizando la base de datos obtenida luego del hackeo, mientras tanto esta tabla demuestra la importancia de crear contraseñas fuertes pues, en un posible robo de datos a alguna de las plataformas a las que le hemos entregado información personal, podríamos ser los primeros en quedar expuestos.

De acuerdo con el sitio Daily Dot, algunos correos filtrados dentro de los 10GB de información que se obtuvieron revelan que Noel Biderman, el Director Ejecutivo Avid Life Media trabaja hace 2 años en una aplicación para celulares llamada “What’s Your Wife Worth” (¿Cuál es el valor de tu esposa?).

Lee también: Filtración de datos propicia demanda millonaria contra Ashley Madison.

En uno de los primeros correos, Biderman escribe a propósito de la aplicación: “La opción a elegir debería ser ‘publica a tu esposa’ y ‘haz una oferta para la esposa de otra persona’. Y luego de una serie de correos en la que se discute el funcionamiento del servicio añadió “Esto está realmente bueno”.

Esta aplicación consistía en ponerle un valor en dólares a las mujeres de manera que la escala de dinero representara la calificación que obtenían las esposas de los miembros, tal como ya lo hacen otras plataformas que califican el físico de los usuarios.

En caso de que fueras soltero la aplicación también funcionaría como plataforma de entretenimiento para poder ofrecer una puntuación en dinero virtual para las parejas de otros usuarios, como si fuera una especie de subasta.

La compañía ha recibido todo tipo de críticas en redes sociales a causa de las capturas de pantalla que muestran la interfaz y dinámica de uso de la app que, aunque nunca salió a la luz por contar con un diseño desastroso, le cae como balde de agua fría a la empresa que de por sí ya se encontraba en la mirada de todos los sitios de noticias en internet.

The Daily Dot y otros medios han contactado a Biderman y parte del equipo de Avid Life Media para dar una declaración sobre los 197 mil correos electrónicos del Director, pero hasta ahora se han mantenido en silencio, lo último que se supo de ellos fue la recompensa de 500 mil dólares canadienses que ofrecieron para quien los ayude a capturar a los culpables.

Bryce Evans, superintendente de los servicios policiacos de Toronto declaró en una conferencia de prensa este lunes que a pesar de que los suicidios de los hombres podrían estar asociados con el perfil de los usuarios de la página de citas, la naturaleza de la misma no es de interés para la investigación.

Lee también: Filtración de datos propicia demanda millonaria contra Ashley Madison

Algunos especialistas de seguridad ya habían sugerido que algo así podría suceder. “Hay altas posibilidades de que mucha gente vaya a sobreactuar. No me sorprendería si vemos a gente quitándose la vida por algo como esto”, comentó Brian Krebs, uno de los primeros analistas en dar a conocer el caso y escribir al respecto.

Efectos secundarios del robo

Desafortunadamente el robo de información que involucra a 33 millones de perfiles en general ha convertido a las personas en blanco fácil para intentos de extorsión y fraude a través de phishing. Incluso apareció una nueva forma de scam que iba directamente dirigida a las personas que querían por todos los medios eliminar sus nombres de la base de datos de Ashley Madison a través de links maliciosos.

“Al dar clic en estas ligas, exponen su computadora a problemas de adware, spyware, malware y diversos tipos de virus”, explicó Evans, es un problema que rebasó los riesgos que se pudieron haber imaginado al principio ya que existen varios sitios que tienen en su poder la base de datos de los miembros de Ashley Madison –que no va a desaparecer– y que están intentando sacar provecho del hecho.

Ante la ola de delitos derivados de esta crisis Avid Life Media, la compañía detrás de Ashley Madison ha ofrecido una recompensa de $500 mil dólares canadienses a quien proporcione información veraz y de utilidad para poder arrestar a los hackers que violaron su sistema la semana pasada.

Se trata de una  colectiva y demanda millonaria contra Ashley Madison  por parte de las compañías Charney Lawyers and Charney Lawyers and Sutts y Strosberg LLP, que representan a los canadienses afectados. La solicitud judicial impuesta es por US$ 576 millones, aproximadamente 500 millones de euros.

Las demandadas son dos empresas que tienen a su cargo dicha página web en Canadá, Avid Dating Life y Avid Media, por no “saber proteger la privacidad de sus usuarios”.

Días antes de que se produjera el ataque, Avid Life Media reveló que uno de cada cinco habitantes de Ottawa estaba registrado en Ashley Madison. Pero eso no es todo, pues 500 cuentas de correo electrónico publicadas vulneradas pertenecen a organizaciones del gobierno federal canadiense.

Como se recuerda, un grupo llamado ‘Impact Team’ publicó recientemente 9,7 gigabytes de información de todas las personas registradas en dicha web. Fueron dos millones de clientes que vieron sus datos vulnerados y divulgados en el ciberespacio.

Para tener una idea de la ‘inseguridad’ que ofrecía esta empresa, ni el propio fundador de la web se salvó de ser hackeado y sus datos también fueron a parar al ojo público.

Fallas de seguridad y política de privacidad

Pero el hackeo no solo se debió a una falla de seguridad de la propia página web, este error también incumbe a los usuarios, que no leyeron con detenimiento la política de privacidad de Ashley Madison. En ella existían serios errores y ‘detalles’ que de haberse leído pudo evitar tanto daño.

Algunos de los puntos que anotaban estos términos de seguridad están:

1) “Si Ashely Madison quiebra, puede vender la información de sus usuarios”.

2) “Los usuarios deben dar a Ashley Madison información personal precisa”.

3) “No existe garantía de que Ashley Madison pueda proteger dicha información”. (Sí, así como lo lees).

4) “Ashley Madison podría compartir tus secretos con terceros”.

5) “Si cometemos un error, no tenemos la responsabilidad” (inaudito)

Muchos usuarios alegan que pagaron un honorario adicional para que la página web retirase todos sus datos luego del ataque, lo cual no se produjo quedando las informaciones expuestas sin ninguna intervención.

El error fue tanto de Ashley Madison por no resguardar debidamente la información de sus usuarios, quienes también tienen parte de la culpa en este caso. El hecho es que fuera de la lección moral que nos deja este ataque, existe otro mensaje mucho profundo que pocos ven: Leer las políticas de privacidad de todo lo que aceptamos.

Hace un mes esta plataforma fue víctima de un fuerte ataque de hackers, que robaron información personal de 37 millones de usuarios. Entre los archivos se encontraban registros financieros, datos de la compañía y, por supuesto, de las personas que eran miembros.

El grupo detrás del ataque se hacía conocer como Impact Team y amenazaron con revelar toda la información obtenida si el sitio no cesaba sus servicios. Hoy parece que un grupo de ciberdelincuentes –que se identifica bajo un nombre distinto– finalmente lo hizo pues un archivo de 10GB apareció en la Deep Web y contiene perfiles de usuarios, correos electrónicos y números de tarjetas de crédito.

El mensaje con el que se acompaña la descarga es el siguiente:

Avid Life Media no cerró Ashley Madison y Established Man. Hemos explicado el fraude, engaño y estupidez de ALM y sus miembros. Ahora todos verán expuesta su información.

 ¿Ves a alguien que conozcas aquí? Ten en cuenta que el sitio es una estafa con miles de perfiles falsos de mujeres. Miren las políticas de perfiles falsos de Ashley Madison; de 90 a 95% de los usuarios son hombres. Hay probabilidades de que tu hombre se haya unido al sitio de aventuras más grande del mundo, pero nunca hayas tenido una. Sólo tuviste la intención. Si es que se merece tal distinción.

 ¿Ves tu perfil aquí? Fue ALM quien te estafó y te mintió. Enjuícialos y reclama daños, después continua con tu vida. Aprende tu lección y compensa los daños. Avergüénzate ahora, eventualmente lo superarás.

También se ha hablado de “información sensible” haciendo referencia a las fotografías, videos, conversaciones, direcciones y correos electrónicos con información explícita de todo tipo precisamente por el tipo de servicio que ofrece Ashley Madison.

Sitios como Wired se han dado a la tarea de descargar algunos de estos archivos para verificar la legitimidad de los mismos, lo extraño es que Ashley Madison no ha comentado aún nada al respecto por lo cual no se sabe si tomarán cartas en el asunto por la vía legal o no.

Para ser más precisos todos los hallazgos obtenidos en el estudio giran en torno a la preocupación de cómo las instituciones de salud, proveedores de telecomunicaciones, empresas de servicios públicos, agencias gubernamentales y minoristas tienen acceso a nuestros datos personales para usarlos a su conveniencia.

Lee también: Sensitive Information, equilibrio en el tratamiento de la información

Debido a esta preocupación generalizada, varias compañías han tratado de cambiar el discurso de sus estrategias de manera que los consumidores vuelvan a otorgarles su confianza. Lo ideal es que este fenómeno no se convierta en un bloqueo para seguir conociendo nuestras necesidades y respuestas.

La misma empresa, Unisys, ha analizado varios de estos casos y realizó un desplegado a través de su blog en el que se tratan cuatro puntos con enorme potencial para abordar de manera diferente la forma en la que se utilizan los datos de los consumidores.

1. Abordaje convergente de seguridad física y lógica

El primer punto se refiere a las medidas que deben ser tomadas para que la seguridad no recaiga sólo en elementos físicos sino también lógicos al momento de comprobar la identidad  de una persona.

2. Aprovechar la biometría como nueva forma de autenticación

La tecnología ha avanzado y en algunos sectores se ha abaratado a tal punto de hacerla un recurso viable. Hoy por hoy es posible utilizar información de ADN, huellas dactilares, reconocimiento de voz, retina y venas para garantizar la seguridad de los usuarios.

El objetivo es  brindar un nivel de confianza y satisfacción muy alto entre el público objetivo de cualquier empresa.

3. El siguiente paso de la protección de datos

El fin de toda compañía debe ser asegurar a su mercado que su información es verdaderamente privada y no caerá en manos de quienes quieran sacar ventaja de ella. Para ello la mejor estrategia es el aislamiento de datos a través de controles de acceso y cifrado de alta tecnología, y sobre todo, que ellos lo sepan.

4. Generar estrategias integrales de seguridad

Proteger la información no se trata sólo de esconderla, consiste en un proceso más complejo de monitoreo para poder realizar informes que ayuden a identificar fallas y aciertos en el sistema. Es decir, integrar todos los recursos disponibles para mejorar y corregir cualquier parte del método que se esté empleando.

Estos son solo algunos puntos que interesan tanto a empresas y usuarios, pues nuestra información personal está en juego y de caer en manos erradas puede costar más de un dolor de cabeza.

Por su parte, las empresas no pueden menospreciar a los usuarios, tal y como lo hizo la página web Ashley Madison, que sin el menor reparo deslingó responsabilidades cuando fue víctima de un ciberataque que expuso el nombre y apellido de muchos de sus usuarios que usaban esa web de citas extramaritales. Como usuarios estamos en todo nuestro derecho de reclamar y asegurar cómo está siendo tratada nuestra información.

Y es que los cibercriminales ya amenazaron con publicar la información de todos los usuarios ‘infieles’ en el internet sin ningún tipo de remordimiento. Es más, según ellos mismos, ya existe buena parte de la información personal filtrada en el ciberespacio.

Por su parte, Avid Life Media, propietario de Ashley Madison, informó que las filtraciones de los hackers, que incluyeron información personal, ya fueron retiradas y que contrataron una firma de seguridad para revisar el caso.

Más que una lección moral

Sin embargo, este caso nos deja más que una lección moral. Se trata de los cuidados que debemos tomar a la hora de registrarnos en cualquier página web, sea Facebook, Twitter, Instagram o webs para citas extramaritales como es el caso de Ashley Madison, que presentaba cláusulas que claramente no protegían los datos de sus millones de usuarios.

Según anota CNNExpansion dicha página web posee los siguientes puntos en su Política de Privacidad.

1) «Si Ashely Madison quiebra, puede vender la información de sus usuarios».

2) «Los usuarios deben dar a Ashley Madison información personal precisa».

3) «No existe garantía de que Ashley Madison pueda proteger dicha información». (Sí, así como lo lees).

4) «Ashley Madison podría compartir tus secretos con terceros».

5) «Si cometemos un error, no tenemos la responsabilidad» (algunos de los términos más inauditos e increíbles que parezcan ¿no?)

Todo esto nos deja la lección de leer siempre aquella Política de Privacidad tan extensa y odiaba por todos, pero que guarda mucho de estas ‘perlas’, que se agravan mucho más en momentos de crisis. Al respecto, también es importante que las empresas mejoren esa parte y publiquen Políticas más fáciles, entendibles, directas, claras y resumidas que todo usuario tiene derecho a saber.