Filtración de datos de Ashley Madison

En julio de 2015, una persona o grupo desconocido autodenominado "The Impact Team" anunció que había robado los datos de los usuarios de Ashley Madison, un sitio web comercial que se promocionaba como un facilitador de relaciones extramatrimoniales. Los piratas informáticos realizaron un volcado de la información personal de la base de datos de los usuarios del sitio y amenazaron con hacer públicos los nombres de los usuarios, además de la información de identificación personal de los mismos, si la página de Ashley Madison no cerraba inmediatamente. Para evidenciar la gravedad de la amenaza, los atacantes inicialmente revelaron la información personal de más de 2.500 usuarios, aunque la empresa en un principio negó que sus registros fueran inseguros y continuó operando.

La ausencia de medidas de seguridad apropiadas en el sitio, junto con la negligencia de no eliminar la información personal de los usuarios de su base de datos, incluyendo nombres reales, direcciones específicas, historial de búsquedas y registros de transacciones con tarjetas de crédito, generó inquietudes entre los usuarios acerca de la posibilidad de ser expuestos públicamente. Dichas preocupaciones, como se demostró posteriormente, estaban justificadas.

Los días 18 y 20 de agosto del mismo año, se hicieron públicos más de 60 gigabytes de datos de la empresa, incluidos los detalles de los usuarios. Entre los datos publicados incluso figuraba la información personal de los usuarios que habían pagado al sitio para eliminar su información personal, puesto que la empresa no eliminaba dichos datos a pesar de afirmar haberlo hecho.

El grupo anunció el ataque el 19 de julio de 2015, además de amenazar con exponer las identidades de los usuarios de Ashley Madison si su empresa matriz, Avid Life Media, no cerraba la página web, además de su sitio gemelo, "Established Men". ^[1]

El 20 de julio de 2015, el sitio web de Ashley Madison publicó tres declaraciones en su sección de relaciones mediáticas abordando la infracción. La cuenta de Twitter del sitio web, que normalmente era muy activa, guardó silencio aparte de publicar los comunicados de prensa. ^[2] Una de las declaraciones publicadas decía:

En este momento, hemos podido asegurar nuestros sitios y cerrar los puntos de acceso no autorizados. Estamos trabajando con las fuerzas del orden, que están investigando este acto delictivo. Todas y cada una de las partes responsables de este acto de Ciberterrorismo serán responsabilizadas. En virtud de la Digital Millennium Copyright Act (DMCA), nuestro equipo ha eliminado los mensajes relacionados con este incidente, así como toda la información de identificación personal (PII) de nuestros usuarios publicada en línea.^[3]

El sitio también ofreció renunciar al cargo que cobraban por la eliminación de la cuenta de sus usuarios.

"The Impact Team" publicó más de 2.500 registros de clientes el 21 de julio, pero la empresa en un principio negó la afirmación de que su base de datos principal fuera insegura o hubiera sido pirateada. ^[4] Sin embargo, el 18 de agosto se publicaron más de 60 gigabytes de datos adicionales y se confirmó que eran verídicos. ^[5] La información fue publicada en BitTorrent en forma de un archivo comprimido de 10 gigabytes y el enlace fue publicado en un sitio web de la red oscura, al que solo se puede acceder a través del navegador Tor. ^[6] Los datos fueron firmados criptográficamente^[7]con una clave PGP para asegurar la integridad y la veracidad de los datos. En su mensaje, el grupo culpa a Avid Life Media, acusando a la empresa de prácticas engañosas: "Hemos explicado el fraude, el engaño y la estupidez de ALM y sus miembros. Ahora todos pueden ver sus datos... Es una lástima para ALM, prometisteis discreción pero no lo cumplisteis."

En respuesta, Avid Life Media emitió un comunicado declarando que la compañía estaba trabajando en conjunto con las autoridades para investigar, además de afirmar que los piratas informáticos no eran "hacktivistas" sino delincuentes.^[8] El 20 de agosto de 2015 se publicó un segundo volcado de datos más extenso, cuyo archivo más grande comprendía 12,7 gigabytes de correos electrónicos corporativos, incluidos los de Noel Biderman, director ejecutivo de Avid Life Media.^[9]

En julio de 2017, Avid Life Media (rebautizada como Ruby Corporation) llegó a un acuerdo para solventar dos docenas de demandas derivadas de la infracción por 11,2 millones de dólares.^[10]

Impacto y ética

Ninguna de las cuentas del sitio web necesitaba verificación de correo electrónico para crear el perfil, lo que permitió que las personas que utilizaban el sitio web creasen perfiles asociados a direcciones de correo electrónico falsas. La empresa de Ashley Madison exigía a los propietarios de las cuentas que pagaran para eliminar el perfil asociado al correo electrónico, impidiendo que las personas que tenían cuentas configuradas sin su consentimiento (ya fuera como una broma o un correo electrónico mal escrito) pudieran eliminarlas sin antes realizar un pago.^[11] Los piratas informáticos alegaron que Avid Life Media llegó a recibir hasta 1,7 millones de dólares al año de las personas que pagaban para borrar sus cuentas creadas en el sitio web. La empresa afirmaba falsamente que una vez realizado el pago, ellos "eliminarían por completo" los perfiles, pero el hackeo demostró que esto no se llegó a cumplir. ^[11]

Josh Duggar, un hombre de 27 años que se hizo famoso con su aparición como miembro adolescente de una familia cristiana conservadora que protagonizó un reality de televisión llamado 19 Kids and Counting, fue uno de los usuarios más notorios de Ashley Madison cuyos datos fueron violados. Entre los datos publicados se incluyeron registros de casi 1.000 dólares en transacciones con una tarjeta de crédito a su nombre. La noticia de la divulgación de datos agravó sus problemas relacionados con las revelaciones de principios de ese año sobre informes policiales acerca de su conducta sexual inapropiada, y el 20 de agosto admitió que le había sido infiel a su esposa. ^[12] ^[13] El 25 de agosto de ese mismo año ingresó en un centro de rehabilitación. ^[14] ^[15] ^[16]

Tras el ataque, ciertas comunidades de vigilantes de Internet comenzaron a buscar personas famosas a los cuales planeaban humillar públicamente.^[17] El medio France24 informó que en la base de datos filtrada había 1.200 direcciones de correo electrónico '.sa', pertenecientes a dominios de Arabia Saudita, que eran aún más extorsionables, puesto que el adulterio se castiga con la muerte en Arabia Saudita. ^[18] En el sitio web se registraron varios miles de direcciones de correo electrónico estadounidenses con las extensiones de dominio .mil y .gov,^[19]^[20]^[21] pertenecientes a dominios militares y gubernamentales. En los días posteriores a la filtración, los extorsionadores comenzaron a poner en su punto de mira a personas cuya información personal se encontraba incluida en la filtración, intentando estafarles más de 200 dólares estadounidenses en Bitcoins. ^[22] ^[23] ^[24] Incluso una empresa llegó a ofrecer un servicio de búsqueda, en el cual las personas podían escribir las direcciones de correo electrónico de sus colegas o cónyuges en el sitio web, y si la dirección de correo electrónico estaba en la filtración de la base de datos, entonces la empresa les enviaba cartas amenazándolos con que sus datos serían expuestos, a menos que pagaran dinero a la empresa. ^[25] ^[26]

Diversos expertos en seguridad y activistas de la privacidad en Internet participaron en un debate sobre la ética mediática de los periodistas que informan sobre los detalles de los datos, incluyendo los nombres de los usuarios que fueron expuestos como miembros. ^[17] ^[27] ^[28] ^[29] Algunos comentaristas realizaron comparaciones entre este incidente de hackeo y la pérdida de privacidad experimentada durante el hackeo de fotografías de celebridades de 2014. ^[30] ^[31]

En sus declaraciones para un artículo, algunos psicólogos clínicos expresaron que abordar una aventura de manera particularmente pública aumenta el daño para los cónyuges y los hijos. ^[32] Carolyn Gregoire, escritora de salud y ciencia del periódico HuffPost, y autora del artículo que incluye las declaraciones de los distintos expertos, argumentó que "las redes sociales han creado una cultura agresiva de difamación pública en la que los individuos se encargan de infligir daño psicológico" y que, en la mayoría de los casos, "el castigo va más allá del alcance del delito". ^[32] El bloguero británico de ciberseguridad Graham Cluley analizó que las consecuencias psicológicas para las personas avergonzadas podrían ser inmensas, y que sería posible que algunas fueran intimidadas e inducidas al suicidio.^[33] ^[34] El experto en psicología de relaciones de pareja Charles J. Orlando, que se había unido al sitio para realizar una investigación sobre las mujeres que engañan infiltrándose como un marido infiel, escribió sobre su preocupación por los cónyuges e hijos de los adúlteros desenmascarados, diciendo que "la mafia que es Internet está más que dispuesta a servir como juez, jurado, y verdugo" y que los miembros del sitio no merecían "una flagelación en la plaza virtual del pueblo ante millones de espectadores". ^[35]

El 24 de agosto de 2015, la policía de Toronto anunció que dos suicidios no confirmados habían sido relacionados con la filtración de datos, además de "varios informes de crímenes de odio relacionados con el ciberataque". Avid Life Media también informó de que distintos cuerpos de seguridad, entre ellos la Policía Montada de Canadá o el FBI, estaban involucrados en la investigación sobre la filtración. ^[36] ^[37] Informes sin verificar hablan acerca de un hombre en Estados Unidos que posiblemente se suicidó a raíz de este incidente. ^[25] Desde entonces se ha informado de que al menos un suicidio, que en un principio habría sido relacionado con la filtración de Ashley Madison, se debió al "estrés enteramente relacionado con problemas en el trabajo que no tenían ninguna conexión con la filtración de datos". ^[38] Ese mismo día, un pastor y profesor del Seminario Teológico Bautista de Nueva Orleans se suicidó dejando una nota citando la filtración producida seis días antes. ^[39]

Los usuarios afectados por la filtración presentaron una demanda colectiva por valor de 567 millones de dólares contra Avid Life Media, la compañía propietaria de Ashley Madison, a través de los bufetes de abogados canadienses Charney Lawyers and Sutts y Strosberg LLP.^[40] En julio de 2017, el propietario de Ruby Corp. (El nuevo nombre de Avid Life Media) anunció que la empresa resolvería la demanda por 11,2 millones de dólares.^[41] En una entrevista de 2019, el director de estrategia de Ashley Madison, Paul Keable, confirmó la instalación de funciones de seguridad como verificación de dos factores, cumplimiento del estándar PCI DSS y navegación completamente cifrada a raíz del ciberataque de 2015.^[42]

Análisis de los datos

Annalee Newitz, editora jefe de Gizmodo, realizó un reportaje analizando los datos obtenidos de la filtración.^[43] Inicialmente descubrieron que sólo 12.000 de los 5,5 millones de cuentas femeninas registradas aproximadamente se utilizaban de forma regular, suponiendo alrededor del 0,2%.^[44] ^[45] El porcentaje de cuentas restante pertenece a las que habían sido utilizadas sólo una vez, siendo esta el día de su registro. Newitz también descubrió que una gran cantidad de las cuentas asociadas a mujeres fueron creadas desde la misma dirección IP, lo que sugiere que muchas cuentas fueron falsamente creadas. Descubrieron que las mujeres que revisaban los mensajes de correo electrónico lo hacían con muy poca frecuencia en comparación a los hombres: por cada vez que una mujer revisaba su correo electrónico en busca de mensajes, 13.585 hombres revisaban el suyo. Sólo unas 9.700 de las 5 millones de cuentas femeninas habían respondido alguna vez a un mensaje, en comparación con los 5,9 millones de hombres que habían hecho lo mismo. En su reportaje, llegaron a la conclusión de que "las cuentas pertenecientes a mujeres exhiben una actividad tan insignificante que fácilmente podría interpretarse como inexistente".^[44] En un artículo publicado a la semana siguiente, Newitz reconoció que habían "malinterpretado la evidencia" en su artículo anterior, y que su conclusión de que había pocas mujeres activas en el sitio en realidad había sido erróneamente basada en los datos registrados acerca de las actividades de los "robots" al contactar a los miembros. También indicaron que "no tenemos ningún dato que registre la actividad humana en absoluto en el volcado de la base de datos de Ashley Madison del Impact Team. Todo lo que podemos ver es cuando los falsos humanos contactaron con los reales". ^[46]

Las contraseñas del sitio web estaban cifradas haciendo uso del algoritmo bcrypt. ^[47] ^[48] Un analista de seguridad, llamado Erik Cabetas, utilizó la herramienta de recuperación de contraseñas Hashcat con un diccionario basado en las contraseñas de RockYou descubrió que entre las 4.000 contraseñas más fáciles de descifrar, "123456" y "contraseña" eran de las contraseñas más utilizadas dentro del sitio web, además de otro elevado número de ellas compuestas únicamente por secuencias de números, ya fueran sucesivos o repetidos. Además, un análisis de contraseñas antiguas utilizadas en una versión archivada reveló que "123456" y "contraseña" también fueron las contraseñas más comúnmente empleadas. ^[49] Debido a un error de diseño en el que las contraseñas se codificaban tanto con bcrypt como el algoritmo MD5, se pudieron descifrar 11 millones de contraseñas.^[50]

Reconociendo que algunos hombres habían descubierto la estratagema, la redactora Claire Brownell del Financial Post sugirió que, si se llevaran a cabo solo unas pocas interacciones, los chatbots que imitaban a mujeres y que habrían conseguido engañar a muchos hombres para que compraran cuentas especiales podrían posiblemente superar el test de Turing.^[51]

Filtración de datos de Ashley Madison

Impacto y ética

Análisis de los datos

Véase también

Referencias

Related Articles