Cualquiera sea su opinión respecto al sitio AshleyMadison.com, la brecha de datos que sufrió hace unas semanas ha aumentado el nivel de las amenazas a la ciberseguridad para todas las organizaciones. Eso es porque una gran cantidad de información robada fue publicada en Internet la semana pasada, y podemos asumir que se trataba de datos sensibles, dado el infame eslogan del servicio de citas extramatrimoniales: "La vida es corta. Ten una aventura".
En términos de seguridad IT, debería estar adoptando medidas en varios frentes. En este artículo sugiero cuatro acciones que toda organización debería considerar, pero primero explicaré por qué es necesario un plan de respuesta a incidentes.
Lo que las compañías deben saber
Ahora mismo, cerca de 30 millones de personas, en su mayoría hombres de Norteamérica, podrían estar lidiando con el hecho de que su información personal y sensible puede haber sido publicada en Internet la semana pasada, cuando Impact Team publicó los datos robados de Ashley Madison.
Los archivos se hicieron públicos a manos del criminal o los criminales que los robaron de la compañía canadiense Avid Life Media, que opera varios sitios de citas online, entre los que se encuentra AshleyMadison.com. Algunos de los usuarios listados en esos archivos incluso podrían trabajar en su empresa, pero ese es solo un aspecto de cómo la situación podría impactar en su seguridad.
Aquí están las principales amenazas que yo veo por el momento, aunque podrían aparecer otras:
- Phishing
El marcado interés en el caso convierte a los datos robados de Ashley Madison en un cebo ideal para campañas de phishing por correo electrónico o incluso SMS, diseñadas para engañar a las personas para que hagan clic en enlaces a sitios o adjuntos, revelando potencialmente su identidad o credenciales. Además, podrían infectar sistemas con códigos maliciosos.
Las víctimas van más allá de personas que realmente visitaron el sitio y se registraron; incluyen a cualquier persona interesada en saber quién lo hizo - pensemos en parejas, amigos, familiares, empleadores y autoridades que tengan sospechas.
- Extorsión
Ya se han hecho amenazas de revelar la conexión de una persona con Ashley Madison y ya afloran los pagos a cambio de silencio. Según mis cálculos, uno de cada cinco hombres estadounidenses de entre 20 y 74 años podrían tener alguna conexión con el sitio* (recordemos que Avid Life Media no borró información cuando las personas cancelaron sus cuentas).
Después de todo, los usuarios de Ashley Madison son “blancos fáciles para la extorsión” y ya han recibido mensajes de criminales pidiendo bitcoins a cambio de proteger su identidad y resguardar sus datos.
- Scams
Muchos emprendedores éticamente reprochables tratarán de aprovechar la situación, por ejemplo, ofreciendo remover la información de una persona de los archivos de Ashley Madison. Para ser claro, eso es imposible de hacer.
Departamentos de Recursos Humanos (RRHH) deberán prestar atención porque probablemente sean blanco de ofertas de "listas de infieles". También serían esperables otras formas de acceso a los datos robados a cambio de una tarifa, por supuesto fraudulentas.
- Retiros
Algunas personas podrían sentirse obligadas a renunciar a sus trabajos si su conexión con Ashley Madison es revelada. Dependiendo de su rol en la organización, esto podría tener un serio impacto en la productividad, la moral, el conocomiento y cultura corporativa y demás.
Aún más preocupante es la posibilidad de suicidios, con varios posibles casos asociados actualmente bajo investigación.
¿Qué fue revelado?
Antes de llegar a las medidas, es importante tener en claro la situación actual. La información robada de Ashley Madison ahora está disponible para cualquiera que se sienta cómodo en MySQL y Excel que quiera encontrarla y descargarla - aunque hacerlo es en sí misma una actividad riesgosa: se puede asumir que habrá muchas falsas ofertas y paquetes infectados que simularán contener los datos.
Lo cierto es que entre ellosse encuentran registros de cuentas creadas en el sitio y transacciones con tarjetas de crédito para pagar por varias funcionalidades. Al desarrollar el plan de respuesta, es importante que todos los involucrados entiendan lo siguiente:
- Con solo saber que el nombre o dirección de correo electrónico de una persona está entre los datos robados de Ashley Madison no dice nada sobre ella o su integridad moral
- Se crearon muchas cuentas falsas con nombres reales de personas ajenas
- Muchas cuentas falsas fueron creadas por la propia compañía para incentivar la participación y el registro, principalmente, de mujeres
- Muchas personas solo mostraron un interés pasajero u ocasional en el sitio, y aún así sus datos fueron retenidos
- Algunos sentían curiosidad y se registraron, pero se arrepintieron o lo consideraron un error y solicitaron que su información sea removida; sin embargo, parece ser que Avid ignoró las peticiones y retuvo los datos
- Aunque nombres falsos de cuentas y direcciones de correo electrónico no obvias fueron ampliamente usadas por los visitantes, muchos nombres reales aparecen en los detalles de tarjetas de crédito que ingresaron en el sitio. Además, parece que la compañía empezó a pedir direcciones de mail para transacciones con tarjetas de crédito después de 2010.
- Muchas personas entraron al sitio sin intención de tener una aventura
- Muchas personas entraron al sitio sin intención de hacer algo poco ético o inmoral (piense en solteros, divorciados, viudos, matrimonios abiertos y demás).
Sin importar sus creencias personales o la cultura corporativa de su organización, la forma más pragmática de abordar esta situación es probablemente a través de la empatía y entendiendo, no juzgando. Esto solo derivaría en falsas acusaciones y un clima de miedo que no conduce a una resolución eficiente y efectiva de los problemas.
Ítems de un plan de respuesta de incidentes
Estos ítems de un plan de respuesta de incidentes son paralelos a las amenazas descritas arriba. Cómo implementar los ítems, obviamente, dependerá del tamaño, estructura y cultura de su compañía. De todas maneras, lo invitamos a que no los ignore tan solo por encontrar desagradable toda la situación.
1. Phishing
Envíe un mensaje a todos los empleados para hacerles saber que se deben mantener alertas por cualquier correo electrónico o mensaje relacionado con Ashley Madison. Adviértales que no deben abrir dichos mensajes, y explíqueles que hacer clic en esos enlaces o archivos adjuntos es una mala idea.
Por supuesto, debería tener un software de detección y filtrado en varios puntos de sus sistemas, y tendría que asegurarse de que estén actualizados y funcionales. De todos modos, no dependa únicamente de ellos. Alertar a sus empleados también es importante, también por el hecho de que quizás sus sistemas hogareños pueden no estar debidamente protegidos, dejando abierta la posibilidad de que haya infecciones desde cuentas personales a sistemas de trabajo.
2. Extorsión
Déjele saber a los empleados que hay alguien dentro de la organización a quien acudir en caso de recibir un intento de extorsión, alguien en quien confiar y que no los juzgará. Además, comparta los contactos publicados por las agencias de la fuerzas de seguridad canadienses que se encuentran investigando la situación:
3. Scams
Una comunicación a toda la empresa sobre cómo evitar las estafas relacionadas a Ashley Madison, tanto en el hogar como en el trabajo, es una medida preventiva de bajo costo que podría ahorrarle mucho dinero y problemas a mucha gente. Incluso una declaración simple podría ayudar:
Tengan cuidado con una variedad de estafas relacionadas a la fuga de información de Ashley Madison que seguramente se desarrollarán online y posiblemente también a través de los teléfonos. Todas las ofertas de borrar la información personal de los archivos filtrados son una mentira.
Algunas compañías están ofreciendo servicios de “búsqueda de e-mail” como una manera de ganar direcciones de correo para el envío de spam. Las ofertas de “listas de infieles” y otros accesos a la información filtrada probablemente también sean fraudulentas, además de ser ilegales. Si tienen alguna pregunta sobre esto o asuntos relacionados, pueden tratarlas en confianza con [insertar nombre del responsable aquí].
4. Retiros
Un buen departamento de Recursos Humanos seguramente tenga procesos y recursos destinados a la prevención de suicidios. Esta es una buena ocasión para refrescarlos y dejarles saber a los empleados que hay ayuda disponible para ellos. Además, es bueno considerar una comunicación a directores y supervisores, alertándoles sobre la situación y pidiéndoles que estén alertas ante cualquier signo de un empleado que pudiera estar pasando por una situación angustiante.
Un recordatorio de manejar sensiblemente cualquier aspecto relacionado a Ashley Madison también es una buena idea. En caso de necesitarlo, aquí hay un listado de números telefónicos de prevención (gracias a Graham Cluley por enviarlo).
Estos cuatro ítems son los que yo considero más importantes en este momento, pero seguramente ustedes han pensado en más. Por favor, utilicen los comentarios para compartirlos. Tengan en mente que, a pesar de lo que piensen sobre el sitio Ashley Madison y su modelo de negocios, las acciones irresponsables de la persona o personas que distribuyeron ilegalmente la información robada han creado amenazas reales para el bien de las empresas y las personas, y por las cuales deberán responder.
Notas:
*Con la afirmación de Ashley Madison de que tiene 37 millones de usuarios, asuma que el 80% se encuentra en los Estados Unidos y que el 75% de ellos son hombres = 22.2 millones. El censo de los Estados Unidos de 2010 más el crecimiento anual durante 2015 indica que hay 105,8 millones de hombres estadounidenses que tienen entre 20 y 74 años = 21% o 1 de cada 5 (22.2/105.8). Estas presunciones podrían ser incorrectas, o el número de usuarios de Ashley Madison también podría estar equivocado. Pero incluso dentro de una proporción de 1 entre 10, una compañía estadounidense con 100 empleados masculinos podría encontrarse con varios “usuarios”.