He de confesar que estoy suscrito a varios foros de Hackers y de seguridad con varias identidades falsas. Lo considero un deber y una obligación. Es imprescindible estar informado de “que se cuece” en cada momento. Además en todo esto no puedo evitar la inmensa curiosidad de indagar en las técnicas y medios que se emplean para quebrantar la seguridad de algunos sistemas.
Dudo de cualquier profesional o empresa de informática que no preste especial atención a estos temas ya que existen multitud de medios a su disposición, foros de sistemas, de empresas de seguridad y de los propios actores, los mal llamados Hackers. Muchas grandes empresas dicen tener departamentos a tal efecto, pero es habitual que no sean realmente operativos, que esté compuesto por personal inútil o que en definitiva sea pura fachada, los únicos sectores dónde realmente son buenos son en el financiero, las apuestas y el de la pornografía.
A mediados del mes de Julio, antes de aparecer en muchos Blogs, yo ya tenía información de que Ashley Madison había sido hackeado y que disponían de los datos de los usuarios, datos de tarjetas de crédito incluidos. Es por ello que dispongo y disponemos algunos, de información de primera mano de lo acontecido con este servicio de infidelidades online.
Los medios tradicionales ya ponen en duda la seguridad de Internet.
Si cada vez que se estrella un avión se pusiera en duda la seguridad del transporte aéreo los aviones hubiesen desaparecido hace mucho tiempo. A día de hoy el trasporte aéreo es el medio más seguro del mundo. La ignorancia de los medios de comunicación tradicionales queda patente cada vez que se produce una noticia sobre la vulneración de la seguridad de algún sistema conocido.
He visto con estupor como algunas televisiones, por ejemplo la Sexta, sacaban los micrófonos a la calle y preguntaban a los viandantes sobre la seguridad de Internet, la mayoría decía que no existe, que Internet es inseguro, esta era la opinión de un señor que salía de un bar de tapas o la de una señora que estaba haciendo la compra. Esto ocurre sólo con la informática, no se bien el porqué, sobre otros temas como pudiera ser la Aeronaútica, hubiesen recurrido al consultar a alguien del sector o al menos con ciertos conocimientos básicos, un piloto, un mecánico, un controlador aéreo y hasta una azafata. La única cadena de televisión que se libra de esto es TVE que por lo menos entrevistó a Chema Alonso. ¡Por lo menos preguntaron a alguien que sabe del tema!
Como estamos ya acostumbrados a ver , tal y como digo, enseguida los medios de comunicación y los periodistas encargados de las noticias, sacan el debate sobre la seguridad de Internet, sin conocimiento alguno, sin haberse informado y lo que es más grave, sin haber consultado con alguien medianamente conocedor de la materia. No es tan difícil, basta que pongan la mitad del empeño que ponen en las investigaciones sobre las tramas políticas o para el fútbol, aunque claro está que esto no es tan rentable.
Para evaluar en conjunto el asunto de Ashley Madison y comprobar que no se pueden extraer conclusiones generales sobre la seguridad hay que tener en cuenta tres factores.
Lo primero. ¿Sería Ashley Madison un ejemplo de seguridad?
No rotundamente. Si hablamos de golfos y de seguridad, siento ser politicamente incorrecto, pero el mayor golfo aquí es el presidente de Ashley Madison, Noel Biderman. El nivel ético de los Hackers, aunque dudoso, queda en mi opinión muy por encima del que tienen en la empresa.
Para Ashley Madison la seguridad no ha sido ni una prioridad ni una preocupación en nigún momento. Parece que la empresa no ha actuado de forma correcta en muchos sentidos. En Ashley Madison hay miles de perfiles falsos, se han guadado los datos sin protección y aunque cobraban por ello no han eliminado los perfiles bajo solicitud de sus clientes.
Para Dídac Sánchez, presidente de Eliminalia, empresa española especializada en borrar contenidos de la red : “Ashley Madison no se ha gastado un duro en seguridad“
Una prueba de que la seguridad de los datos de sus clientes les importaba más bien poco lo demuestra el hecho de que han estado guardando los números de sus tarjetas de crédito. Nunca, nunca bajo ningún concepto han de guardarse los datos de las tarjetas de los clientes. Nunca en ningún proyecto en el que he participado o colaborado hemos hecho esto. La solución es que la pasarela de pago o el servicio intermediario para el cobro haga esta labor, pero de ninguna forma almacenar esos datos. Si el servicio usa Paypal o una pasarela Visa, no es necesario guardar las tarjetas de los clientes, los números de tarjeta serán almacenados por estos servicios que son los que ingresarán en la cuenta de la empresa.
La estafa de Ashley Madison ha consistido en tener miles de perfiles falsos, sobre todo de mujeres, de esta forma el negocio eran los hombres que se suscribían y pagaban por solicitar contacto con mujeres ya fueran falsas o reales. En los mapas publicados puede verse que los suscriptores de Ashley Madison son en un 85% hombres (Mapa).
Para mi, está comprobado que son una pandilla de golfos con su presidente a la cabeza, el Sr. Noel Biderman, al que más bien podríamos tratar como un delincuente. Resulta que hasta encargó a uno de sus empleados el hackeo de la web de una empresa competidora “Un empleado de Ashley Madison hackeo a una empresa competidora en el 2012“.
Lo segundo. ¿Han hackeado realmente a Ashley Madison tal y como nos cuentan?
No. Si los medios tradicionales hubiesen indagado un poco se hubiesen dado cuenta de que los expertos en seguridad y los hackers coinciden en sus opiniones, no hubo un ataque externo sino desde el interior.
La compañía de seguridad Kaspersky dice que “Es muy posible que una persona con el acceso al interior de la red de la empresa está involucrada – un ex empleado o un contratista.“
Chema Alonso es de la misma opinión y lo ha expresado en varias entrevistas.
El que va más lejos es John McAfee, el excéntrico creador de la compañía de seguridad informática McAfee. Según el experto The Impact Team, el grupo hacker que se adjudica el ataque al sitio para infieles, está solo compuesto por una persona que trabajó para la empresa y que esa persona es una mujer.
Una de las razones es que para analizar nada menos que 40GB hubiera tomado, al menos, una semana. El tema es que The Impact Team reveló el análisis mucho antes. Por ese motivo explicó que la persona que lo hizo sabía dónde buscaba, qué buscaba y cómo hacerlo. Solo alguien que trabajaba en la empresa lo supo.
Tercero. Protección de datos.
Pedirle protección de datos o privacidad a Ashley Madison es tanto como pedirle permiso de armas a un atracador. Lo primero es que la legislación de protección de datos en Canada o Estados Unidos nada tiene que ver con las normas Europeas. No están realmente ni obligados ni comprometidos con este tipo de medidas. Lo segundo es considerar que estamos hablando de estafadores con un negocio turbio.
En los términos de servicio de Ashley Madison hay una cláusula que estipula: “Usted acepta que registrándose con un perfil o usando nuestro servicio ha acordado con nuestra declaración de privacidad. Es de su conocimiento que a pesar de que hacemos lo necesario para mantener la seguridad necesaria para proteger sus datos personales, no podemos asegurar la privacidad de la información que usted provee a través de la Internet y sus mensajes.“
En Europa está cláusula no tendría validez jurídica. No se pueden introducir cláusulas que contravienen las leyes o si se introducen no tienen ningún tipo de validez.
Mas Información en:
Ashley Madison Hack: Suicidios, Mentiras y Negocios Túrbios.
The cheating website in an involuntary affair with hackers.
John McAfee: Ashley Madison database stolen by lone female who worked for Avid Life Media.