Ya han pasado dos años desde uno de los ataques más sonados de la Historia: la controversia en torno a Ashley Madison, la red fraguada para citas y fantasías de carácter secreto, está lejos de olvidarse. Sólo por refrescar la memoria, Ashley Madison sufrió una brutal vulneración de seguridad que dejó al descubierto más de 300 gigabytes de información perteneciente a sus usuarios. Información que además incluía nombres, apellidos, datos bancarios, transacciones, fantasías sexuales… Es la pesadilla de todo usuario, los datos más íntimos distribuidos por la red. Pero las consecuencias han sido mucho peores de lo que nadie se imaginaba. De una red de dudoso gusto y lucrativo negocio a ejemplo de mala gestión de seguridad sólo hay un paso, como pudimos ver en 2015.

El hacktivismo como excusa

Tras el ataque de Ashley Madison, el grupo The Impact Team envió un aviso a los dirigentes coaccionándolos y aleccionándolos de la mala fe de la empresa. En vez de pedir nada a cambio, el grupo de hackers abatieron la red y liberaron los datos de sus usuarios. Entre sus razones, alegaban, estaba el no haber protegido correctamente la información. Por ejemplo, supuestamente los perfiles eran borrados tras pagar $19, cosa que no se realizaba, tal y como afirmó el grupo. Otra promesa no cumplida, siempre según este grupo, consistía en no borrar la información sensible relacionada con la tarjeta de crédito. Los detalles de compra no se eliminaban e incluían el verdadero nombre y dirección.

Por cuestiones como estas, la acción del equipo de hackers decidió castigar a la empresa. Una lección que le ha costado casi 30 millones de dólares en multas, arreglos de seguridad y, finalmente, indemnizaciones.

Las consecuencias van mucho más allá

Como consecuencia de la información vertida en la red, tiempo después de poner las medidas necesarias para regularizar su situación de seguridad, muchos de los usuarios han seguido denunciando que son extorsionados y amenazados. En España, numerosos empresarios interpusieron denuncias por extorsión ya que otros hackers, no ligados al The Impact Team, seguían solicitándoles entre 500 y 2000 euros para no mostrar a sus allegados la información sacada de Ashley Madison. A día de hoy, la investigación y la securización de Ashley Madison continúa. Unos procesos que le han costado a la compañía, como veíamos, varias decenas de millones de dólares y la revisión auditada por parte de la Comisión Federal de Comercio, quien obliga a cumplir una serie de estrictas y costosas condiciones de seguridad para garantizar la privacidad de sus usuarios.

¿Qué hacer si hackean mi empresa?

Aunque existen muchas incógnitas sobre el hackeo, los analistas sacaron algunas importantes conclusiones del ataque que podrían aplicarse a cualquier empresa que se precie a la hora de asegurar su información:

  • La importancia de una buena contraseña

Tal y como se comprobó en su momento, a pesar de que las contraseñas de la plataforma estaban hasheadas  mediante bycrpt, un subset de al menos quince millones de contraseñas habían sido procesadas con MD5, un algoritmo conocido por ser fácilmente vulnerado mediante bruteforcing. Esto probablemente sea una reminiscencia de la evolución de todo el sistema en torno a la red de Ashley Madison. Y nos enseña una cosa esencial: aunque cueste, hay que asegurarse por todos los medios que no existen problemas de seguridad tan claros. Además, otro de los resultados de los analistas mostraban la flaqueza de varios millones de dichas contraseñas, lo que nos recuerda que hay que educar al usuario en aras de su propia seguridad.

  • Eliminar significa eliminar

Probablemente uno de los temas más polémicos de todo este asunto sea el del borrado de la información. Los hackers pusieron al descubierto una cantidad ingente de datos que, supuestamente, habían sido eliminados. A pesar de que Ruby Life Inc, la compañía detrás de Ashley Madison, afirmó que los hackers estuvieron robando información durante un periodo prolongado de tiempo, lo cierto es que muchos de los datos aparecidos no concuerdan con las fechas descritas. Toda empresa debe tener en cuenta uno de los factores más críticos de la gestión de datos personales: la eliminación de la información de forma segura e irrecuperable.

  • La seguridad es una obligación continua

En cuanto a las claves, se pone de manifiesto la necesidad de mantener unos protocolos y costumbres de seguridad impecables.En el caso del uso del algoritmo de hashing MD5, y ni migrar todos estos datos, es un ejemplo. Pero en Ashley Madison podemos ver más. Tal y como se vio en la auditoría posterior, la plataforma al completo contenía errores graves de seguridad que no habían sido subsanados por formar parte del desarrollo acometido por un equipo anterior. Otra de las cuestiones principales es el peligro de amenaza interna. Esta puede provocar unas consecuencias insalvables y la única manera de prevenirlos son estrictos protocolos, control y monitorización de la actividad de los trabajadores.

Precisamente la seguridad sobre este y cualquier otro tipo de acciones ilegítimas radica en la concepción del propio modelo de Panda Adaptive Defense, puesto que es capaz de monitorizar, clasificar y categorizar el absolutamente todos los procesos activos. Todas estas acciones se llevan a cabo a lo largo del tiempo, de manera continua. Ninguna empresa debería perder de vista ni un solo instante la importancia de mantener todo el sistema seguro. Porque hacerlo podría tener consecuencias inesperadas y muy, muy caras.

Descubre Panda Adaptive Defense