Uno de los mensajes de marketing más destacados de la recientemente hackeada Ashley Madison era que la privacidad estaba garantizada. A pesar de los logos con candados y resto de mensajes comerciales mostrados en su web intentando reflejar el alto nivel de seguridad con el que trabajaban, hay que tener en cuenta que es un servicio basado en Internet, y por tanto, vulnerable de cara a mantener a salvo sus “secretos”.
Con las últimas grandes brechas de seguridad (Sony, Anthem, Target, Adobe, etc.) vamos viendo lo vulnerables que son nuestros datos y secretos en Internet. En el caso de Ashley Madison, el impacto toma una perspectiva más personal que la meramente corporativa o empresarial que habíamos visto en las anteriores (aunque incluso en ésta se han publicado varios gigas de información, emails, adjuntos, documentos pertenecientes al CEO de la compañía). Después de los Gigabits de datos personales de los usuarios expuestos (en principio se han publicado de unos 32 millones de usuarios) de esta web de citas extramatrimoniales con el lema “La vida es corta, ten una aventura”, nos podemos imaginar el impacto que podría tener en miles de familias rotas, carreras tocadas por el escándalo, etc. si los efectos de la fuga de información comienzan a expandirse.
Además del email y el hash del password, la información publicada incluye información específica como la altura, el peso, etc. También incluye direcciones e incluso coordenadas GPS. Seguramente mucha gente creó cuentas falsas con identidades también falsas, pero las coordinadas GPS que transmitieron sus aplicaciones son reales. Por lo que se ha ido viendo en los últimos días, se ha confirmado que los datos son legítimos, tanto de direcciones de email (hay que tener en cuenta que esta web no verificaba los correos en el proceso de alta, por lo que muchas direcciones pueden estar falsificadas) como de los últimos dígitos de las tarjetas de crédito.
Ataques como éste nos hacen más conscientes de lo vulnerables que son nuestros datos en Internet. Sin darnos cuenta utilizamos decenas de aplicaciones en el móvil, PC, etc. que suben y almacenan gran cantidad de datos personales en la web sin preocuparnos cómo de seguros estarán. Aunque en el ámbito corporativo las empresas son en mayor o menor medida conscientes de las necesidades de protección, poco a poco nos vamos dando cuenta de la importancia de la necesidad de seguridad y privacidad en el plano personal.
Por otro lado, vemos que este ataque tiene aparentemente diferentes motivaciones a los vistos recientemente. Hasta ahora las motivaciones eran económicas derivadas del robo de información financiera, datos de pacientes, chantajes, etc. e incluso políticas. En este caso, se esgrimen razones morales, pero ¿quién nos dice que no se ha hecho por puro entretenimiento?
Consecuencias de un ataque dirigido
Las consecuencias en cualquier caso pueden ser muy dispares: vergüenza pública para algunos de los afectados, rupturas potenciales… pero también derivado de ello chantajes en busca de pagos por evitar que la información (ya pública en cualquier caso) llegue a quien no debe (familia, trabajo, etc). Se ha comentado también cómo multitud de direcciones corresponden a dominios de Gobiernos e instituciones militares… ¿Podrían verse chantajes con fines de otro tipo en estos casos? Otra posibilidad que se abre es que a los millones de direcciones de email publicadas llegue ahora malware en forma de phishing exponiéndoles a nuevos ataques.
Según han publicado desde Ashley Madison, han sido víctimas de un ataque dirigido a pesar de que contaban con herramientas y tecnologías avanzadas. En comparación con otras brechas de seguridad, Ashley Madison parece haberse tomado las cosas más en serio que otros anteriormente haciendo hashes de las contraseñas con bcrypt, tokenizando las transacciones de tarjeta y almacenando sólo los últimos dígitos de las tarjetas, separando las tablas con direcciones de email de las de los passwords, etc.
Aunque no se sabe la técnica o técnicas utilizadas (¿phishing?, ¿SQL injection?), las medidas de protección que tenían no han sido suficientes. No debemos perder la perspectiva: cuantos más candados se pongan y más medidas de seguridad de diferente índole se implementen, más difíciles serán las cosas para quién intente realizar el ataque. Visto que la información más valiosa de Ashley Madison estaba en sus bases de datos, ¿hubiese sido posible el ataque si se hubiese utilizado encriptación transparente en la base de datos o encriptación en más puntos? El simple hecho de haber utilizado bcrypt hará prácticamente imposible acceder a los passwords de los usuarios que se han publicado si estos han utilizado una contraseña larga.
Cómo protegerse
Cualquier empresa que trabaje con información sensible que sea necesaria proteger, debe preguntarse, ¿dónde están mis datos más valiosos?, ¿el robo de qué información me podría poner en serio riesgo?, ¿está en mis bases de datos, en mis documentos, en mi gestor documental con datos de mis proyectos? Es ahí donde debemos poner todos nuestros esfuerzos intentando tener diferentes medidas que protejan nuestras “joyas de la corona”.
Técnicas como TDE (Transparent Database Encryption) pueden ser útiles para proteger bases de datos encriptando lo que almacenamos en ellas. Si se trata de documentación, herramientas IRM (Information Rights Management) pueden hacer que nuestra información confidencial esté cifrada y sólo acceda quién nosotros queramos. Utilicemos protección de documentos o carpetas en los gestores documentales o servidores de ficheros si reside ahí la información más valiosa o un CASB (Cloud Access Security Broker) si necesitamos incrementar la seguridad de nuestras aplicaciones cloud.
Es importante destacar la necesidad de proteger en diferentes puntos, aunque tengamos el perímetro protegido con un firewall, los puestos con antivirus o IDS para la detección de intrusiones ¿Está a salvo nuestra base de datos y los documentos que guardamos en nuestros PC y servidores? Cuando aplicamos un control de acceso a estos elementos estamos elevando el nivel de seguridad de nuestros sistemas y haciéndoles menos vulnerables. Estaremos por tanto enfocando bien nuestros esfuerzos técnicos y económicos ya que habremos elevado el nivel de protección de nuestros activos más valiosos.
El autor de este artículo es Luis Ángel del Valle, CEO de SealPath, una compañía especializada en la creación de soluciones para la protección y el control de la información confidencial IRM. SealPath permite a profesionales y empresas proteger sus documentos críticos donde se encuentren (PC, red corporativa, red de un socio, nube, etc.) incluso una vez que el documento ya haya sido enviado, compartido y esté fuera del control del Departamento de IT.
Imagen: Shutterstock