Infieles, objetivo hacker

«La vida es corta. Ten una aventura». Ese es el mantra que da la bienvenida a la web de infidelidades de Ashley Madison. Lo que no sabían los dueños del site de contactos extramaritales es que la auténtica aventura la iban a vivir ellos en forma de pesadilla.

Según reconocía la propia compañía este pasado lunes, el grupo de crackers The Impact Team ha accedido a las bases de datos que albergaban en Avid Life Media (ALM) y ha sacado a relucir los trapos sucios de más de 37 millones de usuarios. A pesar de que Noel Biderman, director ejecutivo de la empresa, informó de que la compañía estaba trabajando ‘frenéticamente’ para poner a salvo los datos de sus clientes, el daño estaba hecho y su reputación de discreción gravemente dañada.

Según informaba el diario The Guardian, los crackers tienen en su poder archivos de todos los usuarios de la web de contactos para infieles (incluidas fotos, datos personales y de sus tarjetas de crédito), además de información interna y financiera de la empresa. Hasta ahora, The Impact Team había publicado solo 40 megabites de los datos que dice poseer. Pero hoy las cosas han cambiado y han hecho públicos los datos de sus 38 millones de usuarios.

Y es que, a pesar de que todos nos hemos convertido en ‘usuarios de pro’ de la Red, son pocos los que miran por su seguridad informática. A medida que avanzan las tecnologías, también lo hacen los modos de robar información, cada vez menos sofisticados y accesibles a hackers de poca monta. Eso, unido a que en nuestro país somos más piratas que los Piratas del Caribe y descargamos sin ton ni son contenido de dudosa procedencia, somos un blanco muy fácil para los que se dedican al robo de información en Internet. Además, en todo el mundo en general -y en España en particular- somos de no poner medidas hasta que ocurre la desgracia.

Para que os hagáis una idea de hasta que punto estamos expuestos hemos hablado con Vicente Fernández, director del Grupo SAI y Luis Fernando García Alcaraz, experto en seguridad informática del citado grupo.

Pregunta: ¿Qué técnicas actuales se conocen que permitan hackear una web y robar los datos de los usuarios, como el caso de Ashley Madison?

Respuesta: En el caso de Ashley Madison, las primeras informaciones parecen confirmar que el ataque ha sido perpetrado por un agente externo a la empresa que ha tenido acceso al servicio. Algunos de los ataques que permiten hackear una WEB y pueden haber sido realizados son los siguientes:

– Una de las más conocidas es SQL Injection, que trata de actuar de manera activa sobre la base de datos desde la propia página WEB víctima.

– Se ha podido realizar una labor de Ingeniería Social para lograr los credenciales de trabajadores que tengan privilegios sobre la base da datos de la WEB, a través del sistema phishing de correo. A raíz de dicha técnica, lo atacantes logran el usuario y la contraseña para acceder a la base de datos.

– Filtración de datos desde el interior. El ataque puede haberse realizado desde un miembro de la plantilla, que por alguna razón aún desconocida, ha decidido recabar todos los datos posibles y ponerlos a merced de un comprador. El grupo de hackers que se responsabiliza del ataque, simplemente puede haber comprado dicha información.

P.: ¿Es relativamente fácil hacer este tipo de ataques? ¿Qué se necesita para llevarlo a cabo?

R.: En cualquier ataque hacker que logre éxito en el robo de información, hay que tener en cuenta que normalmente podemos encontramos ante personas experimentadas, que no sólo poseen la teoría, sino que también una elevada praxis. Para llevarlo a cabo, tan sólo es necesario poseer los conocimientos apropiados, un ordenador y conexión a Internet.

P.: The Impact Team, el grupo hacker que ha cometido el ataque, asegura que Ahsley Madison engaña a sus usuarios con ofertas como la de pagar 19 dólares a cambio de eliminar sus datos y su perfil. Si los hubieran eliminado como asegura su mantra ¿los hackers hubieran podido hacerse con ellos?

R.: Inicialmente, cuando los datos han sido correctamente eliminados, no se debería poder acceder a ellos. Si los atacantes han podido acceder, de facto que los datos no han sido debidamente eliminados o bien nos encontramos ante un estafa cuya finalidad era la de robar 19€ por cada petición.

P.: ¿Qué políticas podrían llevarse a cabo para evitar estos robos de información? ¿Hay alguna forma de blindar las web para los hackers?

R.: Para evitar cualquier robo de información, es necesario implementar una serie de políticas de seguridad a distintos niveles. Empezando por la seguridad interna, accesos jerarquizados, siguiendo por una programación efectiva de la aplicación, política de contraseñas de uso interno de los trabajadores, un correcto mantenimiento de la gestión a nivel preventivo y pro-activo, un diseño efectivo a nivel de seguridad de la arquitectura de red de datos.

No hay que olvidar que un buen sentido común de los trabajadores internos, es la mejor medida de seguridad. Para blindar una web, no existe un sistema único absoluto, sino que la suma de varios sistemas de seguridad internos y externos pueden evitar la gran mayoría de los ataques hackers.

P.: ¿Creéis que las web españolas de este tipo están más protegidas o somos muy vulnerables?

R.: Es difícil diferenciar la seguridad de una página web por el país donde ha sido desarrollada. Si bien es cierto, que en España, lamentablemente aún queda mucho por mejorar, comenzando por el presupuesto destinado a el desarrollo y seguridad de una página web. Si tenemos en cuenta las condiciones laborales de un programador en España en comparación con el extranjero, de manera lógica podemos pensar que la efectividad no puede ser la misma.

En España existen grandes profesionales de la informática y la seguridad, pero no están acompañados de las circunstancias idóneas para el perfecto desarrollo de sus funciones. Una práctica habitual en nuestro país, es medir la seguridad por su precio antes que por su eficacia, casos típicos como el “Te lo hago yo…”, “Sino es tan difícil…”, “A mí nunca me pasará…”.

Redacción QUO