La tragicomedia Ashley Madison

Seguridad digital en la era de la Nube

El ciberataque a la página de encuentros extramatrimoniales Ashley Madison fue sin duda una de las historias más notorias y controvertidas del año en la esfera digital. En agosto de 2015, un grupo de piratas informáticos conocido como The Impact Team publicó la información confidencial de 32 millones de usuarios, incluyendo nombres, contraseñas, direcciones, números de teléfono y tarjetas de crédito. Durante las semanas siguientes a la revelación, los 30 y pico gigas de información revelada fueron escudriñados por medios de comunicación y particulares, dando lugar a una serie de ramificaciones que incluyen dos suicidios, multitud de chantajes y quién sabe cuántos divorcios.

El ataque no solo expuso la negligencia y las pésimas prácticas de seguridad de un sitio web cuya razón de ser era, supuestamente, la discreción, sino también que el servicio prestado era poco menos que un fraude: Ashley Madison creó miles de perfiles falsos para camuflar el hecho de que solo una minúscula fracción de sus clientes eran mujeres.

Si bien las morbosas circunstancias de este particular caso captaron la atención de la prensa y el público, las violaciones de datos son un fenómeno constante y poco apreciado, cuyas consecuencias son más sutiles que la tragicomedia de Ashley Madison, pero no por ello menos graves.

2015 fue un año particularmente plagado de ciberataques de gran calado y repercusión. La Oficina de la Administración Personal (OPM) del gobierno estadounidense, que maneja los archivos de funcionarios públicos, fue infiltrada por hackers chinos, los cuales se apoderaron de los datos más de 21 de millones de empleados, entre ellos altos cargos de la CIA y el FBI. Poco después, un hacker adolescente logró hacerse con la contraseña del correo electrónico personal del propio director de la CIA, John Brennan, donde halló documentos que contenían información privilegiada.

Incluso empresas privadas que se especializan en la seguridad digital fueron incapaces de proteger sus redes internas. La compañía italiana Hacking Team, que ofrece servicios de vigilancia a cuerpos de policía y agencias de seguridad de todo el mundo, fue hackeada en julio de 2015. Los emails y documentos divulgados mostraron que esta compañía vendió software intrusivo a gobiernos autoritarios, entre ellos Sudán y los Emiratos Árabes, que lo utilizaron para atacar identificar y vigilar a grupos disidentes.

Sin embargo, la relevancia de esta enésima filtración va aún más allá de sus repercusiones políticas. Según el experto en seguridad informática Lior Div, los 400 GB filtrados contienen las herramientas necesarias para llevar a cabo ciberataques de alto nivel, con instrucciones detalladas para su empleo. Div señala que “el número de personas con la habilidad de realizar una operación de hacking sofisticado se ha disparado de la noche a la mañana.”

Los sistemas de control remoto desarrollados por el Hacking Team permiten monitorizar las comunicaciones de usuarios de internet, acceder a archivos y correos electrónicos encriptados, grabar conversaciones por Skype, piratear el GPS de un teléfono para determinar su localización, o activar remotamente micrófonos y cámaras web, entre otras capacidades. Ahora, esta información es de dominio público, al alcance de grupos cibercriminales cuya sofisticación no para de aumentar, manteniéndose por delante de la mayoría de los sistemas de protección utilizados por gobierno, empresas y particulares.

Los ataques de alto perfil son solo la punta de un iceberg que se calcula en 400 mil millones de dólares al año, el coste estimado del cibercrimen sobre la economía global, según la revista Wired. El acceso ilícito a la información es el motor de un negocio criminal en plena expansión, con un nivel de organización y profesionalidad que no tiene nada que ver con el popular estereotipo del hacker solitario.

Desde los comienzos de la era de internet, la custodia de la privacidad y la información confidencial ha sido un desafío constante, una carrera de armas entre aplicaciones ofensivas y sistemas de protección. Las revelaciones de Edward Snowden y Timothy Bradley detallaron el nivel de acceso casi ilimitado que los estados poseen sobre las comunicaciones digitales. Las consecuencias que esto tiene para la democracia y las libertades políticas son de por sí un motivo de preocupación, pero la facilidad con que los propios gobiernos y grandes corporaciones como Sony o JP Morgan han sido presa de ciberataques (por no hablar de los millones de particulares hackeados cada año) indica que el problema es aún más profundo, y las amenazas más imprevisibles.

De forma casi inconsciente, nos hemos acostumbrado a subir cada vez más información personal ese espacio inmaterial y enigmático denominado como la Nube, asumiendo que las medidas de protección son al menos suficientes aunque tal vez no perfectas. Esta percepción de seguridad no es sino una ilusión. Los servicios digitales y la comunicación instantánea se han introducido en cada rincón de nuestras vidas, ofreciendo conveniencia y comodidad, pero a cambio ofrecemos una ventana, transparente para el que tiene la inclinación y los conocimientos necesarios, sobre una cantidad insospechada de nuestros hábitos, preferencias y secretos.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.