Ashley Madison es un sitio canadiense con una estructura similar a una red social que conecta a personas que buscan relaciones extramatrimoniales, aventuras secretas con parejas distintas a las habituales o simplemente nuevos encuentros. El servicio es de pago y para registrarse es necesario proporcionar varios datos personales, como nombre, apellido, fecha de nacimiento, nacionalidad, altura, peso, color de ojos y cabello y dirección de correo electrónico.
Para activar ciertas funciones del sitio, los huéspedes pueden comprar, utilizando métodos de pago que incluyen la tarjeta de crédito, una serie de paquetes de membresía de renovación automática con los que puedes interactuar con otros usuarios. En este punto, cada cuenta activa se puede conectar a una cuenta bancaria y, por lo tanto, a una identidad precisa.
Pues bien, todos estos datos, junto con todas las referencias útiles para hacer una recogida ordenada, han sido hecho público en Internet a finales de julio. Existe, pues, la posibilidad de conocer todos los nombres y apellidos de quienes, por diversión o con verdadera intención de traicionar, han utilizado –y también es posible saber cómo– los servicios del sitio de Ashley Madison.
La violación, que provocó la renuncia del director general Noel Biderman, ha sido reclamado por un grupo de piratas informáticos que se hacen llamar “Equipo de impacto“. ¿El motivo? El sitio, según los responsables del ciberataque, no contaba con un número equilibrado de "usuarias" activas en comparación con el de usuarios masculinos.
Dejando a un lado los aspectos legales, las terribles consecuencias -dos hombres estadounidenses y un canadiense se suicidaron por la vergüenza de tener que explicar a sus parejas la presencia de sus nombres en la lista- y lo grotesco de la historia, ciertamente se pueden sacar algunas conclusiones. Se extraerán enseñanzas relativas a la gestión de la seguridad de los datos en Internet, pero también -y lamentablemente- de sentido común.
En primer lugar, el "Premio a la seguridad de confianza" que se destaca en la página de inicio del sitio web de Ashley Madison, así como el ícono del candado "Sitio seguro SSL" muestran que los estándares de seguridad no son suficientes para que los repartidores duerman tranquilos en en manos de terceros dicha información sensible y personal.
El hecho de que aproximadamente 15.000 direcciones de correo electrónico utilizadas para el registro hayan terminación “.gov” o “.mil”, dice mucho sobre la facilidad que adoptan los usuarios promedio en el uso de las herramientas informáticas disponibles dentro de su entorno de trabajo, para fines personales.
Las contraseñas no se almacenaban en texto claro, sino a través del sistema bcrypt. Sin embargo, incluso esta protección parece tener los días contados. Muchos de los ejecutivos de Ashley Madison tenían cuentas en el sitio y usaban los servicios que brindaban. Y fueron los primeros en violar más reglas basicas de gestion de la seguridad de los demás y sus propios datos. En sus archivos estaban los historiadores de siete años de transacciones con tarjetas de crédito y las contraseñas de otros sistemas de pago como PayPal, que parecían tener las típicas connotaciones de poca confiabilidad: palabras cortas, repetidas y fáciles de adivinar.
Ni hablar de quién incluso ha utilizado el servicio de mensajería de Facebook, que vincula inequívocamente la identidad de la persona a la cuenta de Ashley Madison, para registrarse en el sitio.
Hay una operación que, ahora, muchos usuarios ocasionales del sitio de citas están haciendo sin darse cuenta de que corren el riesgo de empeorar la situación: buscar el nombre, la cuenta, el correo electrónico, dentro de los diversos sitios que han aparecido como hongos, a ver si forma parte de los difundidos en Internet. Tan simple y rápido como hacer una búsqueda en Google, sin tener que ir y descargar toda la cantidad de datos, pero el riesgo es que estos base de datos lata recoger y revelar precisamente esa información confidencial que se teme ha sido revelada, pero que aún no lo ha sido o que está a la espera de una simple confirmación...
Una de estas herramientas, por ejemplo, envía correos electrónicos a personas cuya dirección ha sido buscada por alguien dentro del motor de búsqueda y luego ofrecer consejos sobre cómo actuar o cómo averiguar más sobre su supuesta presencia en la lista.
Moraleja: en Internet, a pesar de los llamados “era de la nube“, confiar tus datos -más o menos comprometedores- a terceros desconocidos no garantiza que el cuidado que puedan tener los algoritmos y manos expertas sea mayor que el que tendría el legítimo titular. Distribuya estos datos en línea por conveniencia también representa un considerable mayor factor de riesgo.
