El 12 de julio de 2015, el mundo digital se vio sacudido por un ciberataque sin precedentes, dejando valiosas lecciones de ciberseguridad empresarial. Los empleados de Ashley Madison, una red social para personas que buscaban aventuras extramaritales, encendieron sus ordenadores para encontrarse con un mensaje aterrador: sus sistemas habían sido comprometidos.
Para añadir un toque de burla a la tragedia, los ciberatacantes decidieron amenizar la ocasión con la canción “Thunderstruck” de AC/DC. Lo que encontraron los empleados a continuación era aún más espeluznante: la información personal de más de 30 millones de usuarios había sido expuesta al mundo.Información que además incluía nombres, apellidos, datos bancarios, transacciones, fantasías sexuales… Es la pesadilla de todo usuario, los datos más íntimos distribuidos por la red.
Este ataque se convirtió en una de las mayores violaciones de datos de la historia y casi una década después, el escándalo de Ashley Madison vuelve a la actualidad con el estreno de una serie en Netflix titulada “Sexo, mentiras y escándalos”.
Pero las consecuencias han sido mucho peores de lo que nadie se imaginaba. De una red de dudoso gusto y lucrativo negocio a ejemplo de mala gestión de seguridad sólo hay un paso, como pudimos ver en 2015.
El hacktivismo como excusa
Tras el ataque de Ashley Madison, el grupo The Impact Team envió un aviso a los dirigentes coaccionándolos y aleccionándolos de la mala fe de la empresa. En vez de pedir nada a cambio, el grupo de hackers abatieron la red y liberaron los datos de sus usuarios. Entre sus razones, alegaban, estaba el no haber protegido correctamente la información de sus clientes.
Por cuestiones como las que vamos a explicar a continuación, el equipo de hackers decidió castigar a la empresa. Una lección que le ha costado casi 30 millones de dólares en multas, arreglos de seguridad y, finalmente, indemnizaciones.
QUIZÁS TE INTERESE: Pérdida de negocio: el mayor coste de una brecha de datos
Las consecuencias del ciberataque van mucho más allá
El ciberataque a Ashley Madison en 2015 no solo expuso las credenciales de inicio de sesión y las direcciones de correo electrónico de sus usuarios, sino que también reveló información altamente sensible como el historial de transacciones de pago, fantasías sexuales preferidas, nombres completos reales y direcciones postales.
Un engaño a los usuarios
Lo más impactante de este caso fue la falsa promesa de anonimato que ofrecía Ashley Madison. La empresa cobraba a los usuarios 19 dólares por la supuesta eliminación permanente de sus datos, una promesa que nunca cumplieron. En 2014, esta práctica fraudulenta les reportó 1,7 millones de dólares, una cifra que solo acrecentaba la indignación de los usuarios afectados.
Otra promesa no cumplida según este grupo, consistía en no borrar la información sensible relacionada con la tarjeta de crédito. Los detalles de compra no se eliminaban e incluían el verdadero nombre y dirección de los clientes.
El grupo Impact Team, responsable del ataque, argumentó que su principal motivación era hacer justicia ante el engaño y la falta de ética de Ashley Madison.
Para presionar a la empresa, Impact Team amenazó con publicar la totalidad de la información robada si Ashley Madison no cerraba todos sus sitios web. Esta amenaza, junto a la revelación de las prácticas fraudulentas de la empresa, generó un gran revuelo mediático y una crisis reputacional para Ashley Madison
Como consecuencia de la información vertida en la red, tiempo después de poner las medidas necesarias para regularizar su situación de seguridad, muchos de los usuarios han seguido denunciando que son extorsionados y amenazados.
En España, numerosos empresarios interpusieron denuncias por extorsión ya que otros hackers, no ligados al The Impact Team, seguían solicitando entre 500 y 2000 euros para no mostrar a sus allegados la información sacada de Ashley Madison.
¿Qué hacer si hackean mi empresa? Lecciones de ciberseguridad empresarial
Aunque existen muchas incógnitas sobre el hackeo, los analistas han sacado algunas conclusiones importantes del ataque que podrían aplicarse a cualquier empresa que se precie a la hora de asegurar su información:
La importancia de una buena contraseña
En el caso de Ashley Madison, se descubrió que, a pesar de utilizar el algoritmo bcrypt para cifrar las contraseñas, un subconjunto significativo (15 millones) había sido procesado con MD5, un algoritmo obsoleto y vulnerable a ataques de fuerza bruta. Esta negligencia por parte de la empresa expuso la información sensible de sus usuarios a un grave riesgo.
QUIZÁS TE INTERESE: Cómo crear contraseñas seguras
Un recordatorio de la evolución
La historia de Ashley Madison nos recuerda la necesidad constante de actualizar y reforzar las medidas de seguridad. Los ciberdelincuentes no se duermen en las laureles, y los métodos de ataque evolucionan a un ritmo acelerado. Las empresas deben estar a la vanguardia y adoptar las mejores prácticas de seguridad para proteger los datos de sus usuarios.
La clave: la educación del usuario
Más allá de las medidas técnicas, la educación del usuario es fundamental para fortalecer la seguridad digital. Es crucial fomentar la creación de contraseñas robustas y únicas para cada plataforma, así como evitar su reutilización. Las empresas deben implementar medidas de concienciación y ofrecer herramientas que faciliten la creación y gestión de contraseñas seguras.
Eliminación de datos: Una promesa rota
Uno de los aspectos más controvertidos del caso Ashley Madison fue la supuesta eliminación de datos. Los hackers expusieron una gran cantidad de información que, según la empresa, había sido eliminada. Sin embargo, muchos de los datos filtrados no coincidían con las fechas de borrado proporcionadas por Ruby Life Inc., la empresa matriz de Ashley Madison.
Este caso pone de relieve la importancia de la gestión segura de datos personales, especialmente en lo que respecta a su eliminación. Las empresas deben implementar mecanismos robustos y transparentes para garantizar que la información eliminada sea irrecuperable.
QUIZÁS TE INTERESE: Doxing: tus datos personales expuestos
La ciberseguridad empresarial es una obligación continua
En cuanto a las claves, se pone de manifiesto la necesidad de mantener unos protocolos y costumbres de seguridad impecables. El escándalo de Ashley Madison también evidenció la necesidad de mantener protocolos de seguridad impecables. La plataforma utilizaba el algoritmo de hashing MD5, que ya no se considera seguro, y no había migrado los datos a sistemas más modernos. Además, la auditoría posterior reveló graves fallos de seguridad en la plataforma, algunos de los cuales no se habían solucionado por ser parte del código heredado de un equipo anterior.
Este caso nos recuerda que la seguridad no es un punto de llegada, sino un proceso continuo. Las empresas deben actualizar constantemente sus sistemas, implementar medidas de protección adecuadas y realizar auditorías regulares para identificar y corregir vulnerabilidades.
Este caso nos invita a reflexionar sobre la protección de datos personales en la era digital. Y en el actual panorama digital, la ciberseguridad es aún más crítica. Es crucial que los usuarios sean conscientes de sus derechos y fundamental que sean conscientes adoptando prácticas seguras y siendo selectivos con la información que comparten online. Y las empresas deben actuar con responsabilidad y ética en el manejo de la información. Deben estar a la vanguardia en la protección de datos, implementando medidas robustas y actualizadas para hacer frente a las crecientes amenazas.
Si bien el escándalo ha quedado atrás, sus repercusiones siguen presentes. Es un recordatorio aleccionador de los riesgos que conlleva compartir información personal online y la necesidad de una cultura de seguridad digital sólida, tanto para empresas como para usuarios.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
