Usas contraseñas aleatorias que, además, son muy largas, difíciles de adivinar y cambias cada cierto tiempo. En tu correo y todos los servicios que lo soportan tienes activada la verificación en dos pasos. Tienes cuidado con las páginas a las que entras y revisas tu ordenador periódicamente para comprobar que no está infectado. Con todas estas medidas, puede que te creas "intocable" en el mundo digital, pero no te puedes olvidar de una cosa: tú eres tan sólo un eslabón de la cadena.
Que el usuario se proteja al máximo para evitar posibles disgustos es algo necesario y recomendable, pero al final puede no servir de nada si otro eslabón más débil acaba sucumbiendo ante atacantes que saben muy bien lo que buscas. Ya lo hemos visto en el reciente caso de Ashley Madison con la publicación, hace unas horas, de la información personal (nombres, direcciones, correos y otros datos) de la mayoría de sus usuarios. Usuarios que se registraron allí para engañar a sus parejas (o, al menos, tantearlo).
"Filtrando" un modo de vida
La alarma saltaba el pasado día 20 de julio. Un grupo de hackers, autodenominado The Impact Team, decía tener en su poder la base de datos de Ashley Madison. Este sitio web es especialmente popular y polémico por su temática: el facilitar relaciones "discretas" entre personas que ya tienen pareja. ¿Por qué? Los autores del ataque acusaban a la compañía de "engañar" a los usuarios y de cobrarles si estos querían borrar su perfil, a modo de chantaje, aunque ni siquiera pagando eliminaban los datos. Por ello, exigían que todos los sitios web de la empresa fueran borrados.
Ashley Madison no cedió a las amenazas y hace tan sólo unas horas conocíamos el resultado: los datos de sus más de 32 millones de usuarios están en Internet, a disposición de cualquiera que quiera buscarlos y demostrar así que la web no cumplía su parte del trato. Un "hackeo" de estas características siempre es grave, pero aquí estamos hablando de algo más: el sitio web vendía discreción y seguridad a sus miembros para que llevaran a cabo infidelidades. Es poco probable que las contraseñas se acaben descifrando (estaban hasheadas), pero entre la información filtrada hay direcciones y nombres completos.
Todavía es pronto para ver las consecuencias de esta filtración. Inicialmente apareció en la Deep Web, pero ya existen trackers de BitTorrent que la ofrecen para descargar y los archivos ya tienen miles de fuentes. Además, otros usuarios se están animando a hacer sus propias búsquedas y compartirlas en Twitter, aunque el centro neurálgico de toda actividad parece estar siendo 4chan, con numerosas personas buscando a ver si hay algo "jugoso" entre todo lo que se ha publicado y, supuestamente y según afirman algunos, avisando ya a las parejas de algunos de los afectados.
Hackeos a la orden del día
Si esto fuese un simple "hackeo" que afectase a una web concreta, podríamos hablar de un caso aislado. Pero, por desgracia, últimamente no dejan de llegarnos noticias de servicios que han sido comprometidos. ¿Recuerdas cuando el año pasado eBay te mandó cambiar la contraseña? No fue una comprobación al azar, sino la consecuencia de que una auditoría interna de la compañía descubriera que los datos de más de 233 millones de usuarios, incluyendo teléfono, contraseñas y direcciones físicas, habían sido comprometidos.
Otro de los grandes ataques tuvo lugar en 2013 con Adobe como objetivo y dejó al descubierto emails, contraseñas y "pistas" de las contraseñas de sus usuarios. Si ya hablamos de contenido para adultos, y además de Ashley Madison, en febrero de 2012 fue la página YouPorn la que vio cómo el nombre y el usuario de más de 1 millón de cuentas aparecía en la red. En 2014 sufrimos el Celebgate, con la aparición de numerosas fotos de famosas desnudas. Este año le tocaba el turno a Adult Finder.
Los "hackeos" de servicios con filtración de información de usuarios ocurren con demasiada frecuencia ultimamente
Podría seguir repasando servicio tras servicio, pero me eternizaría: Forbes, Yahoo, Gawker, Snapchat, PSN... Aquí podéis ver una lista bastante completa de algunos de los más recientes. Y ojo porque estos problemas de seguridad no afectan únicamente a servicios en los que te registras, sino también podrían darse en la Administración y otros departamentos. En el caso de Estados Unidos, el IRS (que equivaldría a nuestra Hacienda), reconocía hace unos días haber detectado el acceso no autorizado a los datos de 334.000 contribuyentes. Hasta los propios hackers son a veces hackeados.
¿Qué pasa con los correos?
¿Qué ocurriría si alguien pudiese leer tus correos electrónicos? Seguro que alguna vez has compartido información personal a través de ellos que no te gustaría que trascendiese. Si utilizas un dominio propio o tu empresa lo usa para el correo corporativo, más te vale que esté protegido adecuadamente. Además, en muchos casos una dirección de email puede ser el** punto de entrada a una cuenta** de la que no se conozca la contraseña.
En Sony Pictures no se aplicaron demasiado el cuento y toda su red cayó presa de un importante ataque a finales del año pasado. Se filtraron películas, documentos internos y otra información importante. Y sí, no faltaron los propios correos electrónicos de los empleados. En ellos, y además de tratar aspectos confidenciales del negocio, había también algún que otro insulto y crítica hacia actores y otras personalidades del mundo del cine. El escándalo fue tal que la presidenta de la compañía tuvo que abandonar su cargo.
Tampoco los correos están blindados a los ataques: mucho ojo con lo que escribes
"Pero yo uso Gmail o Hotmail...". Ya, bueno, en este caso, y siempre que pongas todo de tu parte para asegurar tu cuenta (contraseña, identificación en dos pasos, etc.), la seguridad final sigue dependiendo de Google, de Microsoft o del proveedor de turno. Hasta el momento ninguno de ellos ha tenido ningún fallo reconocido importantísimo de seguridad, pero eso no significa que estén protegidos al 100%. Mismamente, hace casi dos años un bug en Google hizo que las conversaciones de Hangouts llegaran a destinatarios erróneos, causando todo tipo de dramas entre los usuarios.
Protocolos y certificados
Puede que incluso el fallo de seguridad no se dé directamente en el usuario y tampoco en el servicio. ¿Recordáis la polémica con Heartbleed? Afectaba a la librería OpenSSL, que de aquella utilizaban muchos servicios y aplicaciones. Sus consecuencias fueron menores de las que podrían haber sido por la rápida reacción de algunos servicios pero ¿quién nos dice que no vamos a sufrir un nuevo Heartbleed? ¿Quién nos asegura que no lo estemos sufriendo ya? A fin de cuentas, dicho fallo llevaba dos años en la librería y se desconoce si durante todo ese tiempo alguien se estuvo aprovechando de él.
Otro caso reciente: el de Lenovo. Al fabricante chino le descubrieron metiendo malware en algunos de sus portátiles. Utilizaban un certificado raíz propio para meter anuncios al usuario, lo que podría haber sido explotado con fines maliciosos por cualquiera con conocimientos. ¿Y si hago una instalación limpia cada vez que compro un ordenador? Pues que sepas que también han pasado en eso, y ahora hay quejas de que utilizan otros métodos para seguir instalando sus aplicaciones y seguir enviando información a sus servidores.
Cuando el usuario ya no es el eslabón más débil...
Como usuario de Internet, una de tus mayores preocupaciones debería ser mantener tus cuentas y tu información a salvo. Por ello, es recomendable y casi imprescindible hoy en día que sigas unas pautas de seguridad básicas (cuidando tus contraseñas, sí, pero también protegiendo tu navegación y activando la autentificación en dos pasos siempre que sea posible). Sin embargo, y como hemos visto, esto no es suficiente.
Estos fallos de seguridad son inaceptables para grandes compañías, en las que los clientes confían sus datos sin pensárselo dos veces
Cuando el usuario ya no es el eslabón más débil de la cadena de seguridad, los servicios deberían darse cuenta de que hay algo que están haciendo mal. "Vaya, otra app ha sido hackeada", pensamos cada vez que nos llegan noticias como ésta. "Vaya, otra vez me mandan cambiar la contraseña", nos lamentamos al ver estos avisos. Pero este tipo de problemas no deberían ser una rutina más y nosotros, como usuarios, deberíamos ser muy críticos con este tipo de sucesos. Si hablamos de grandes compañías como eBay, Adobe o cualquiera de las otras, estos fallos son simplemente inaceptables.
Sumemos todo lo que filtran los atacantes a toda la polémica con las filtraciones de la NSA, lo que ya saben de nosotros las redes sociales, los datos que recopilan anunciantes y otros servicios... Privacidad, ¿dónde? Desde luego, y sabiendo todo esto, mejor ser algo paranoicos que lamentar después: en Internet nunca debes fiarte de nadie, ni siquiera de los sitios donde te registras.
En Xataka | Los hackers de Ashley Madison publican los datos de sus más de 32 millones de usuarios
Imagen | EFF Photos
Ver 32 comentarios
32 comentarios
jjjaguar
"en Internet nunca debes fiarte de nadie, ni siquiera de los sitios donde te registras."
Me habeis creado una paradoja, Xataka.
sugarterrorist
Me alegro por aquellos/as que se creyeron más listos que nadie y decidieron engañar a su pareja. Se lo merecen por cobardes y falsos. No me dan ninguna pena.
Lo siento por aquellos/as solteros/as que se meterieron ahí para echar un polvo. Ellos no engañaban a nadie.
vaxkex
El gran error es confiar todos los aspectos importantes de tu vida a internet, mientras tenemos el mundo real, que es el mejor firewall.
Akenatón 2013
¿Qué más da que hayan publicado la base de datos de la web? ¿Y por eso los medios tienen manga ancha para publicar a los cuatro vientos los datos de sus clientes? ¿Acaso no es también delito? Entonces si unos hackers se hacen con un secreto industrial y publican los planos ¿estaría bien que salieran esos planos por todas partes? La respuesta es un rotundo NO, se tiene que impedir que los medios de comunicación se aprovechen del delito de otros. Tan mal como sacar en revistas y medios digitales el desnudo de un famoso 'gracias' a que unos piratas lo han sacado a la luz sin su consentimiento. Si no hay consentimiento nadie tiene derecho. Si esto no se hace con los menores, con los adultos tampoco, que tienen el mismo derecho al respeto y a su integridad física y psíquica. El delito está en toda la cadena de distribución pública de datos confidenciales. ¿O va a ser que no?
m88
Esto le pasa a la gente floja y perezosa que prefiere dejar sus datos en ashley madison o cualquier sitio para conocer a alguien cuando pueden ir a un bar local y nadie se entera.
Que tienes datos sensibles que comunicarle a alguien pues no uses email, con una llamada telefónica o mejor aun ve con esa persona directamente.
Te da flojera conectar un cable usb y prefieres subir tus documentos y fotos a la nube, bueno no llores si después están en toda la web.
Aun se puede tener algo de privacidad usando la web, si se es precavido tan simple como no dejar tu dirección real en cada sitio que te registras, no uses tu nombre completo y guarda tus datos en medios físicos aunque te de flojera conectar un cable.
Tengo amigos en Facebook que en su perfil esta su nombre completo, dirección, teléfono de casa, celular, edad, email, pareja sentimental, hacen check in en su propia casa, y no obstante todo lo anterior, unas bonitas fotos de sus casas, coches y demás.
Creo que el verdadero fallo de seguridad esta en los usuarios y no tanto en las compañías...
zoompyy
Lo peor que te puede pasar es que uses la misma clave para varios servicios, y que al caer uno de ellos ya se tenga acceso a todos los demás. Si la gente se registra en este portal, con su correo electrónico y usa la misma clave que en el mismo, cualquiera que se mate a leer la BD podría iniciar sesión con el correo electronico tambien, y encima acceder a todos los servicios en los que se haya registrado con dicho correo, por poner un ejemplo.
Pero bueno, todos sabemos que en internet no hay privacidad, una vez que entras, estas perdido.
juanjofm
No es que no exista... es que NO QUIEREN que exista. Hay formas de conseguir privacidad, pero entonces te quedas "fuera" de lo que hace toda la gente: Facebook, Google, etc...
mostoles_2
Y donde se ve la lista filtrada? Para saber si esta mi novia registrada jaja
nickzero
Seamos realistas, el problema comienza en la vida como tal frente a frente. Un ejemplo, las tarjetas de crédito, nadie se salva de que reparten tu información a promociones y seguros, y mal no venga aunque sea dificil creer, tambien la información cae en compañias falsas.
oyagum
La gracia no es que hayan pillado a los adulteros, la gracia es que hayan conseguido las tarjetas de crédito y si lo consiguen de un sitio, ¿que les impide conseguirlo de amazon? O de muchos otros sitios que en vez de usar tpv's piden las tarjetas para poder operar con ellas.
uti
La cosa es aterradora, el artículo tiene toda la razón, yo se que mi iMac es seguro, es casi imposible que alguien entre en él, pero yo, todos, estamos registrados en multitud de sitios, empezando por la propia Apple, tenemos que registrarnos obligatoriamente, y no tenemos ningún control sobre cómo preservar esa información, estamos a merced de la probidad de cada compañía en saber salvaguardar los datos de sus usuarios.
Quizás Ashley Madison se merecía lo que le han hecho por no atender lo que le demandaban, cumplir los acuerdos con sus clientes, pero éstos no tienen culpa ninguna de lo "choriza" que es la empresa.
driverop
¿No transcendió cómo realizaron el robo?, no me digan que con un simple SQL Injection!
tyyo
Que queréis que os diga me parece perfecto por cornudos,jaja.