El caso Ashley Madison, o como las crisis digitales pueden ser breves pero su repercusión muy duradera
Por Miguel Ángel Martos, Director General Blue Coat Sur de Europa.
Esta semana pasada, Avid Life Media, la compañía propietaria de las web de citas Ashley Madison, Cougar Life y Established Men, reconoció haber sido víctima de un ciberataque con éxito. Algunos comentarios hablan de escenario “apocalíptico”, y no sorprende a nadie que los 37 millones de usuarios de Ashley Madison estén bastante preocupados ante la posibilidad de que sus datos, más íntimos y privados, puedan llegar a hacerse públicos, o de si se va a poder conseguir poner remedio antes, pero a qué precio. Dada la sensibilidad de la información, este ataque puede llegar a ser el más lucrativo de los hasta ahora vistos, así como el primero de una futura y preocupante realidad.
Las repercusiones de toda esta historia son tremendamente importantes en un mundo donde ya nuestros historiales médicos o crediticios están conectados a internet a través de todo tipo de dispositivos, o donde los hackers están ya en condiciones de poder llegar a producir accidentes de vehículos. La confidencialidad y sensibilidad de los datos, tanto personales, como financieros o profesionales de los usuarios de Ashley Madison, hace pensar que los usuarios puedan llegar a ser víctimas de algún tipo de extorsión por parte del grupo de piratas llamado The Impact Team (El Equipo Impacto), que ha realizado el ataque. Este grupo ya ha filtrado algunos datos y ha amenazado con hacer públicos otros más.
En este momento es muy difícil poder decir cómo ocurrió el ataque. Sabemos que es muy habitual en los usuarios utilizar claves de baja calidad, sin embargo, la dimensión del ataque parece indicar que las 37 millones de claves individuales no pudieron llegar a ser “adivinadas” de una sola vez. El hecho de que hubo un único y planificado ataque parece fuera de toda duda. En otros casos anteriores, la explicación del éxito en el ataque ha venido de la mano de antiguos empleados vengativos o de empleados actuales cuyas credenciales de acceso se habían visto comprometidas por algún tipo de ingeniería social. Otros ataques con éxito se han logrado gracias a herramientas automáticas y computarizadas que, utilizando malware, han conseguido romper las barreras de seguridad cibernéticas,
Crisis como ésta tienden a tener una gran visibilidad temporal pero a desaparecer tan pronto como la agenda informativa de los medios vaya dictando la actualidad. Por parte de Ashley Madison es obvio que todos sus esfuerzos van a ir encaminados a encontrar el modo de limitar los datos reputacionales, pero con toda probabilidad puede despedirse de los planes para cotizar este año, según han comentado a los medios diversas fuentes bancarias consultadas. Avid Life Media, la matriz de Ashley Madison y webs como Cougarlife y Established Men, se valoraba a sí misma en 900 millones de euros y su cifra de negocio en 2014 fue de 114 millones de euros, un 45% más que el año anterior.
Pero en esta ocasión, la brecha en Ashley Madison va a tener una permanencia mayor en el tiempo debido a lo sensible de la información personal obtenida de sus socios y, dada la naturaleza de la misma, puede ser utilizada tanto mañana mismo como lo podrá ser dentro de un año. Hay muchas posibilidades que los ciber atacantes utilicen de alguna manera la información que han conseguido y, en este caso, se van a poder sentar muchos precedentes.
La primera posibilidad que se presenta es que Impact Team siga con su amenaza de exponer al público la información que dispone de los usuarios, con objeto de avergonzarlos o humillarlos. Esto hará que Ashley Madison sea el precedente de otros futuros ciber ataques impulsados principalmente por argumentos inicialmente moralistas, aunque luego tengan una repercusión social o económica. Este tipo de ataques son preocupantes en la medida que los atacantes no se han visto ni limitados ni constreñidos por el posible alto coste de llevarlos a cabo, al tener otro tipo de motivaciones no económicas, y también porque las personas tendremos que empezar a preocuparnos seriamente porque nuestras vidas privadas puedan llegar a hacerse públicas aún contra nuestra voluntad.
Sin embargo, la mayoría de los ataques contra empresas suelen tener detrás una motivación económica de algún tipo, y los atacantes se concentran en aquellas actividades que creen van a resultarles más rentables.
Recientemente, algunos expertos han opinado sobre el hecho de que Impact Team haya distribuido algunos datos y amenazado con hacer públicos otros más, con la intención de incrementar el posible rescate o el precio del material si lo conservan.
Un posible escenario se abrirá si Impact Team, o a quien ellos vendan los datos, utilice la información para pedir un rescate a los usuarios de Ashley Madison, con la amenaza de hacerlos públicos en abierto o a sus seres queridos si no se paga una cantidad. Con un número de víctimas potenciales cercano a los 37 millones, y muchas de ellas de alto nivel de ingresos, el ciber ataque a Ashley Madison puede llegar a resultar un negocio altamente lucrativo, potencialmente el más lucrativo de todos los ciber ataques que hasta ahora hayamos conocido.
Tampoco hay que dejar a un lado a aquellos clientes de nivel adquisitivo menor, pues muchos de ellos pueden ser profesionales con acceso a redes corporativas o a otros recursos de alto interés para terceros. Los ciber atacantes pueden llegar a utilizarles como “rehenes” y amenazarles “a punta de ratón” para conseguir acceso a bases de datos corporativas o a otro tipo de información.
Los atacantes también pueden vender los datos personales a otros delincuentes, facilitándoles así unos puntos vitales de acceso que les permitan conseguir el éxito en ataques personalizados dirigidos contra ciertas organizaciones determinadas. La venta de unos datos frescos y recién obtenidos, puede llegar a alcanzar en el mercado unos precios altos ya que nadie más cuenta con esa información.
Ante este nuevo escenario que se presenta de un mayor riesgo e incertidumbre, se hace evidente que hay que tomar algún tipo de medidas defensivas que reduzcan el acceso a datos personales sensibles. En unos estudios que en Blue Coat hemos llevado recientemente a cabo en el Reino Unido, pudimos comprobar cómo muchos de los trabajadores de empresas británicas desconocían las buenas prácticas necesarias para proteger la información online, tanto personal como profesional. El estudio desveló que cerca del 54% de los empleados británicos se conectan con desconocidos a través de las redes sociales, y el 18% de ellos nunca habían tenido ninguna formación en seguridad en sus empresas.
La formación no es, obviamente, la solución frente a las ciberamenazas, pero es una necesidad ineludible. Los ciber criminales están utilizando las redes sociales para encontrar información sobre cómo romper las claves. Si lo logran, se abre ante ellos todo un pasillo que les permite acceder a las redes corporativas y a la información que en ellas circula.
Las consecuencias finales de esta crisis no van a ser conocidas en su totalidad hasta que Impact Team actúe, pero aun así, la brecha en Ashley Madison nos va a dejar una huella muy duradera. Si Impact Team escoge la opción del rescate, será uno de los más lucrativos, y probablemente embarazosos, ataques nunca antes realizado y conocido. Pero si termina llevando a cabo su amenaza de hacer públicos los datos, puede ser el comienzo de una nueva etapa que nos lleve a ver ciber ataques cada vez mayores, impulsados por criterios moralistas o ideológicos en lugar de económicos. Si el ciber crimen se convierte en una herramienta para hundir empresas u organismos públicos, o para hacer manifestaciones sociopolíticas de cualquier tipo, el mensaje real no será el de que las crisis cibernéticas son breves, sino que se nos puede llegar a complicar la vida de manera importante de ahora en adelante.