En nuestro informe “Tendencias 2016: (In) Security Everywhere”, que detalla las principales modalides del cibercrimen de cara al año que comienza, el investigador senior de ESET Stephen Cobb habló sobre la haxposición, definiéndola como una amenaza emergente con importantes implicaciones. Veamos de qué se trata y por qué la consideramos una tendencia importante.

¿Qué es la haxposición?

El término "haxposición" surge de la combinación de dos clásicos: hacking y exposición de datos. Hace referencia, entonces, al robo de datos mediante ataques informáticos y la consecuente divulgación pública o filtración de esos datos privados. Dos casos resonantes le dieron a Stephen Cobb la idea para desarrollar este término: las brechas que sufrieron Hacking Team y Ashley Madison.

La haxposición no termina con el robo de datos sino con su exposición, lo que puede dañar la imagen de la organización

La idea central de la haxposición es que la intrusión al sistema blanco no termina con el robo de datos en sí mismo y como potencial fuente de rédito económico para los atacantes, sino que culmina en la exposición de esos datos, que se dan a conocer al mundo. Y en la mayoría de los casos, esto daña la imagen de la organización que fue víctima.

Tomando estos dos ejemplos: cuando se filtraron 400 GB de información confidencial de Hacking Team, se supo quiénes eran sus clientes, es decir, qué empresas y gobiernos habían adquirido su herramienta de espionaje. Esto armó un esacándalo en torno al propio grupo y a estos clientes.

Por otro lado, en el caso de Ashley Madison, el ataque a este sitio de citas extramatrimoniales puso en evidencia a 37 millones de usuarios registrados, entre ellos funcionarios gubernamentales, empresarios y simples padres de familia cuyos "affairs" (digitales o físicos) se hicieron públicos. Además, los datos divulgados parecieron probar las acusaciones de que la empresa en realidad no eliminaba a los clientes de su base de datos, a pesar de cobrarles dinero para hacerlo.

¿Cuál es su motivación?

En ambos casos, explica Cobb, las personas responsables de los ataques estaban descontentas con los modelos de negocio de las empresas atacadas. Y desarrolla:

Como no parece haber un motivo político ni moral tras ninguno de los tres incidentes, me gustó la idea de considerarlos un nuevo nivel de hacktivismo. (...)

Por supuesto, es razonable argumentar que el verdadero hacktivismo no incluye un pedido de rescate, algo que hicieron los atacantes en el caso de Ashley Madison y de Sony. Cuando los ladrones de datos piden el pago de un rescate a cambio de no publicar información interna de la empresa, agravan el robo con la extorsión y exceden el límite de ética para la mayoría de los credos activistas.

Y cuando la amenaza implica la exposición de información personal identificable perteneciente a los empleados o a los clientes de la organización, se introduce un nuevo nivel de irresponsabilidad.

La estrategia de la haxposición representa una amenaza potencialmente más perjudicial para una organización que la "tradicional" venta de datos robados. Lo que agrava la cuestión es la presencia no solo de datos peronales clásicos como nombres, direcciones y teléfonos, sino también de "secretos peligrosos" que, de saberse, dañarían la imagen de una organización.

¿Es posible prevenir la haxposición? Algunos consejos prácticos

Siempre es mejor prevenir que lamentar, y en este caso es importante tomar medidas de seguridad básicas que aplican a cualquier empresa:

Finalmente, las organizaciones deberían mantener altos niveles de transparencia en su operación, siempre que sea posible, de manera que no se generen motivaciones innecesarias de robarles sus secretos y exponerlos.

Para más información sobre la haxposición y los factores de riesgo al "guardar secretos peligrosos", accede al informe completo “Tendencias 2016: (In) Security Everywhere” en nuestra sección de Reportes.