viernes, 28 de agosto de 2015

La caída de Ashley Madison


Nunca antes el robo de información de un sitio web había causado tanto estremecimiento en el ciudadano del común. No es el asalto mas grave que empresa alguna haya tenido, pero por sus características ha afectado  a muchas personas.

Sobra describir aquí en detalle el principal cliente de Ashley Madison. Usuarios en relaciones aburridas y buscando un poco de aventura, muchos de ellos y ellas casados son el cliente usual de este sitio web de citas clandestinas.

Los hackers publicaron la base de datos, y muchos la han replicado en redes sociales y otros sitios web. Peor aún, los datos hechos públicos incluyen la información de cuanto gastó el usuario. A pesar de que el perfil permitía el anonimato, la base datos hackeada incluye el nombre completo del usuario, la dirección y el dinero gastado. Maridos celosos y mujeres engañadas pueden fácilmente verificar el nombre de su pareja, y saber si su media naranja le ha sido infiel. No se augura un buen futuro a las relaciones de pareja de quienes sean descubiertos.

Aparte del interés personal que muchos puedan tener en la publicación de datos confidenciales de Ashley Madison, hay varias lecciones que los profesionales de seguridad pueden aprender.  La primera lección es que cualquier red que tenga servidores públicos puede ser presa de ataques cibernéticos. Segundo, es importante proteger los sistemas de información y seguir buenas practicas de administración de sistemas. Esto puede sonar a verdad de Perogrullo, pero la realidad es que la mayoría de casos de robos de información son fácilmente prevenibles.

El caso de Ashley Madison tiene otras lecciones. De acuerdo a publicaciones especializadas, la base de datos tenía los datos mas críticos protegidos. Por ejemplo, las tablas con la información de tarjetas de crédito solo muestran los últimos cuatro dígitos de la tarjeta. El resto del número estaba protegido. Es decir que el robo tendrá poco rendimientos financieros.

Adicionalmente la contraseña (o “password”) estaban protegidos porque usaban una número aleatorio inicial (“salt”) para almacenar la clave final en el sistema. Es posible que de haber tenido una base de datos encriptada la información no se hubiera hecho pública tan fácilmente. Debo anotar, que esta última afirmación depende de cómo accedieron la base de datos. Si el acceso fue directo, el cifrado de la base de datos puede ser de alguna protección. Si por el contrario, el acceso a la  información fue a través de la aplicación esta protección no es útil.

Aunque aún se desconocen los detalles de cómo los atacantes penetraron los sistemas de Ashley Madison, si es conocido que hubo acceso a todo tipo de información incluyendo los correos electrónicos de los ejecutivos de la empresa.

A pesar de que los atacantes no pueden usar los números de las tarjetas de crédito, hay alternativas de lucros para los atacantes. En próxima entrega explicaré un poco las posibles nefastas consecuencias para el usuario de este sitio web.