Detalles sobre el hackeo de la Web "Ashley Madison"

«La vida es corta. Ten una aventura». Este es el lema por el que se rige la página web de citas Ashley Madison. Y precisamente una aventura es lo que están viviendo en estos momentos sus millones de usuarios tras el «hackeo» de este miércoles por parte del grupo «Impact Team», que ha colgado un archivo BitTorrent que contiene casi 10 GB de datos robados, como los correos electrónicos, altura y peso de los usuarios, direcciones postales e información relativa a las transacciones efectuadas con tarjetas de crédito.

Ahora, 37 millones de usuarios de registros circulan a sus anchas por la web. La privacidad de todos ellos ha sido violada mientras el FBI investiga el asunto. «No podemos dar detalles de la investigación», han asegurado en un comunicado. Y no es para menos porque entre esos datos que circulan se encuentran millones de direcciones de correos de funcionarios del gobierno de EE.UU. o funcionarios y ejecutivos de alto nivel del Reino Unido. Ahora, se abren dos caminos. Por un lado, el que compromete a las propia Ashley Madison y, por otro, el de sus usuarios.

La privacidad no está garantizada

Resulta mucho más interesante analizar ahora qué va a pasar con quienes aparezcan en esa lista filtrada. «El impacto que la exposición de estos datos puede tener, no sólo es perjudicial para la seguridad de los usuarios al desvelarse detalles personales; también puede tener graves consecuencias financieras», aseguran los expertos de Kaspersky Lab. «Los usuarios que están confiando información privada en un sitio web deben poder estar seguros de que su información está a salvo y todas las empresas que manejan datos privados tienen el deber de garantizarlo». Sin embargo, no es así.

Basta con leer con detenimiento el punto 14 de «Términos y condiciones del servicio» en el que Ashley Madison detalla el «Descargo de responsabilidad de garantías», en el que el usuario acepta usar el servicio «bajo su propio riesgo» y rechaza «expresamente todo tipo de garantías, sean expresas o implícitas». La compañía especifica también que no garantiza «que nuestro servicio no sufrirá interrupciones, será oportuno, seguro y estará libre de errores; que la información que usted proporcione o que nosotros recopilemos no será divulgada a terceros; que los materiales o archivos que descargue de internet estarán libres de virus, gusanos, troyanos u otros códigos que puedan producir daños; que otras personas no utilizarán su información confidencial de manera no autorizada». Al final, indican: «no somos responsables de ningún inconveniente o dificultad técnica de redes o líneas telefónicas, sistemas de computadoras en línea, servidores o proveedores, equipos de computación, software, fallas de correos electrónicos/chats o jugadores debido a problemas técnicos o congestión de tráfico en internet o en el sitio web, o una combinación de estos.

¿Cómo consultar las listas?

En el plano personal, los clientes de Ashley Madison se están viendo descubiertos por sus parejas. El acceso a los datos está complicado pero no es imposible. Tal y como ha publicado Chema Alonso en su blog «El lado del mal», en «Have I been Pwned?», se puede consultar listas de correos electrónicos de los clientes de la compañía canadiense. «La pregunta que se hace mucha gente es si estos datos son de fiar o no. En mi opinión, si son datos de una personalidad relevante a la que se le quiere hacer una campaña de descrédito habría que ponerlos en cuarentena, pero si son datos de tu pareja... me extraña mucho que sean falsos».

Tal ha sido el aluvión de consultas que «Have I been Pwned?» ha dejado de responder a los correos electrónicos de Ashley Madison si no se ha verificado que la persona que consulta es el dueño de ese correo electrónico, así que ahora solo se puede comprobar un correo accediendo a la base de datos completa», afirma Chema Alonso.

Tampoco se puede pasar por lato que «los datos filtrados contienen información como nombres reales, direcciones y detalles de tarjetas de crédito. Ahora son públicos y los ciberdelincuentes tienen la oportunidad de utilizar esta información para robar dinero o identidades personales», recuerdan desde Kaspersky Lab.

En el otro lado, se encuentra la propia compañía. Aunque no hay datos oficiales, el coste económico de este daño supera con creces los 140 millones de dólares. Ashley Madison ha asegurado que están trabajando y colaborando con la policía de lo que han calificado de «un acto delictivo». Y también ha querido aclarar que «Avid Media Life (empresa propietaria de Ashley Madison) nunca ha almacenado números de tarjetas de crédito completos de los miembros» de su comunidad.