Es una de las brechas de seguridad de datos más resonantes de los últimos tiempos y una de las de mayor alcance, cuyas implicaciones todavía se desconocen. De hecho, la historia aún continúa desarrollándose, por lo que el caso Ashley Madison podría convertirse en uno de los ciberataques más notables de 2015.
Ésta es una cronología de los principales acontecimientos que documentan la gravedad y seriedad de este evento, que es objeto de una importante investigación de la que participan múltiples interesados.
2012 (se desconoce el mes)
En un correo electrónico interno, el Director de Tecnología y fundador de Ashley Madison, Raja Bhatia, advirtió a sus colegas que Ashley Madison y su empresa matriz, Avid Life Media (ALM), corrían el riesgo de ser víctimas de un ataque (claramente por no contar con un Sistema de Gestión de Seguridad de la Información debidamente implementado).
Al parecer dijo que "la seguridad es una ocurrencia tardía obvia", y agregó que él mismo había fallado en darle a la seguridad la atención que evidentemente precisaba. Continuó:
Eventualmente habrá una crisis de seguridad en una de sus propiedades [de ALM] y los medios de comunicación van a ir tras ella como lo hacen siempre. Lo que diferencia a las empresas que son despellejadas vivas de las que se recuperan rápidamente es la forma en que manejan las comunicaciones públicas y, aún más importante, las comunicaciones a sus usuarios. El silencio es la peor respuesta posible.
Noviembre de 2012
Los correos electrónicos publicados por el grupo Impact Team tras su primera revelación online de detalles de algunos miembros de Ashley Madison en 2015 revelaron que Bhatia le había comunicado al Presidente Ejecutivo de Ashley Madison, Noel Biderman, su intención de "hackear" otro sitio web.
Según se dice, Bhatia había enviado un correo electrónico a Biderman explicando que había identificado una vulnerabilidad en Nerve, una revista online especializada en temas de sexo, relaciones y cultura.
Cuando le preguntó cuál era la "brecha de seguridad" y cómo la había encontrado, Bhatia respondió: "Estaba investigando el espacio de citas casuales, como era mi intención. Recordé que Nerve había lanzado un nuevo servicio de citas e investigué un poco su funcionamiento. La seguridad del sitio es pésima. Tengo acceso a todos los registros de sus usuarios, incluyendo correos electrónicos, contraseñas cifradas, si concretaron la compra o no, con quién hablaron, sus preferencias de búsquedas, el último inicio de sesión [y] el perfil de riesgo de fraude".
Curiosamente, antes de este intercambio, Nerve se había puesto en contacto con ALM para discutir una oportunidad de inversión o asociación.
Como respuesta a estas revelaciones, ALM dijo a Motherboard en un comunicado que la conversación entre Bhatia y Biderman se había sacado de contexto.
Declaró: "Noel se puso en contacto con Raja Bhatia y le pidió ayuda para realizar un análisis técnico de la oportunidad [de formar una asociación]. Esta actividad, aunque realizada torpemente, reveló algunas deficiencias tecnológicas que Noel trató de comprender y confirmar. En ningún momento se intentó hackear, robar o usar los datos propietarios de Nerve.com".
2013 – 2014
Por lo que se puede comprobar, no hubo informes de filtraciones de datos en Ashley Madison, ni se comunicó ninguna preocupación con respecto a las vulnerabilidades de seguridad del sitio web durante este período.
Sin embargo, bien podría haber discusiones o descubrimientos internos que no son de conocimiento público.
25 de mayo de 2015
Una vez más, la primera mitad de 2015 pareció transcurrir como de costumbre, sin ningún indicio de lo que estaba por venir. Sin embargo, en mayo, el Director de Seguridad de Ashley Madison, Mark Steele, se puso en contacto con Biderman para discutir asuntos de seguridad, que al parecer eran una cuestión sumamente prioritaria.
Explicó:
Nuestro código base tiene muchas vulnerabilidades XSS/CRSF que son relativamente fáciles de encontrar [para un investigador de seguridad] y algo difíciles de aprovechar in-the-wild [requiere phishing]. Puede haber otras vulnerabilidades como fugas de datos/inyección SQL, lo que sería mucho más perjudicial.
12 de julio
Los empleados de ALM se presentaron a trabajar, listos para comenzar lo que creían sería un día normal. Sin embargo, después de iniciar sesión en sus respectivos equipos, fueron recibidos con un mensaje desconcertante del grupo Impact Team.
Con la música de AC/DC de fondo (su hit Thunderstruck ), el mensaje decía:
Somos Impact Team. Tenemos el control de todos los sistemas en todos sus dominios de las oficinas y de producción, todas las bases de datos con información de clientes, repositorios de código fuente, registros financieros [y] correos electrónicos.
El cierre de AM [Ashley Madison] y EM [Established Men] les costará caro, pero si se rehúsan a hacerlo, les costará más, ya que daremos a conocer todos los registros de clientes, perfiles... y detalles de tarjetas de crédito de cada usuario... Avid Life Media será responsable de fraude y daño extremo a millones de usuarios.
19 de julio
Cinco días después del "primer contacto", Impact Team publicó exactamente el mismo mensaje en Pastebin, un sitio web que permite almacenar y compartir texto básico por un período de tiempo limitado.
Sin embargo, en esta versión se revelaban detalles de dos miembros de Ashley Madison: una demostración de que el grupo se tomaba en serio su amenaza de publicar los datos que había robado.
A continuación, los atacantes le informaron al periodista de seguridad Brian Krebs sobre la brecha, y él luego dio la noticia al resto del mundo. Reveló que hasta 37 millones de miembros del sitio podrían correr el riesgo de ser expuestos en el plazo de un mes si no se cumplían las exigencias de Impact Team.
Antes de hacer la declaración oficial al día siguiente, Biderman le informó a Krebs que la empresa estaba "trabajando vehementemente" para borrar los datos de propiedad intelectual de ALM.
20 de julio
ALM anunció que fue víctima de "un intento por parte de un tercero no autorizado de acceder a sus sistemas". Dijo que desde que hizo el descubrimiento, logró proteger su sitio web de cualquier otro posible ataque futuro.
Agregó: "Estamos trabajando con las fuerzas de seguridad, que se encuentran investigando este acto criminal. Todas y cada una de las partes implicadas en este acto de ciberterrorismo serán consideradas responsables".
En respuesta a la noticia de que el servicio pago ofrecido para borrar los datos personales de los usuarios en realidad no los elimina, Ashley Madison declaró que esto era falso. Les aseguró a sus usuarios que el "hard-delete", como lo llaman, borra absolutamente todo.
Basándose en las circunstancias únicas del caso, les informó a sus miembros que el servicio sería gratuito, ya que "la privacidad de nuestros clientes es motivo de gran preocupación". No obstante, una periodista documenta sus dificultades cuando intentó borrar sus datos del sitio.
22 de julio
A medida que se va desarrollando esta brecha de seguridad y la historia se convierte en uno de los delitos cibernéticos de mayor repercusión y más debatidos en los últimos años, Impact Team publicó los datos personales de dos hombres que se habían anotado en este servicio.
La información incluye sus nombres, direcciones e intereses sexuales. Ésta se considera la primera fuga de datos "oficial" y demuestra sin lugar a dudas la intención de los atacantes.
18 de agosto
Un mes después del ataque, es evidente que ALM no va a ceder a la presión de Impact Team. Como respuesta, el grupo, fiel a su palabra, publicó información en la Dark Web. Declaró:
¡Se acabó el tiempo! Avid Life Media no cerró los sitios Ashley Madison y Established Men. Ya hemos explicado el fraude, el engaño y la estupidez de ALM y sus miembros. Ahora todos podrán ver sus datos. ¿Estás entre estos nombres? Entonces ALM te falló y te mintió. Denúncialos y reclama daños y perjuicios. Luego sigue adelante con tu vida. Aprende tu lección y repara tus daños. Ahora es una situación vergonzosa, pero la superarás.
Ese mismo día, la compañía lanzó una declaración que reafirmaba su compromiso con la lucha contra los esfuerzos de Impact Team, sin dar de baja el sitio web Ashley Madison. Declaró que estaban en marcha múltiples investigaciones policiales y que estaban tratando el problema de la forma más exhaustiva posible.
"Este evento no es un acto de hacktivismo: es un acto criminal. Es una acción ilegal contra los miembros individuales de AshleyMadison.com, y contra toda persona de libre pensamiento que elige participar en actividades en línea totalmente legales", continuó diciendo.
“El criminal o los criminales involucrados en este acto se autodenominaron jueces morales, jurados y verdugos, imponiendo una noción personal de virtud en toda la sociedad. No nos quedaremos de brazos cruzados ni permitiremos que estos ladrones impartan su ideología personal a la fuerza a los ciudadanos de todo el mundo."
20 de agosto
Dos días más tarde, mientras las personas de todo el mundo todavía estaban asimilando las implicaciones de esta filtración de datos, Impact Team publicó su segundo tesoro de datos en la web. Esta vez, la cantidad de datos era mucho mayor que la primera publicación original (aproximadamente 20 gigabytes, en comparación con los 10 gigabytes de la primera) y contiene documentos internos pertenecientes a ALM, incluyendo correos electrónicos personales de Biderman.
Dirigiéndose directamente al Presidente Ejecutivo de ALM, Impact Team dijo: "Oye Noel, ahora puedes admitir que es real". Parece una respuesta al hecho de que Biderman antes había puesto en duda la veracidad de la primera publicación de datos.
21 de agosto
En una entrevista exclusiva con Motherboard (que apareció online poco después de la tercera publicación de datos filtrados) el Impact Team dijo que, si bien habían "trabajado mucho" para que el ataque fuera indetectable, una vez que lograron entrar al sistema, "no encontraron ninguna otra medida de seguridad para evadir".
El grupo afirmó que la seguridad era "mala" y que "no había nadie vigilando". Agregó: "Lo único que encontramos era una red segmentada. Se podía usar la contraseña ‘Pass1234’ para entrar desde Internet a la VPN y al directorio raíz de todos sus servidores."
Tan sofisticada fue la brecha de seguridad, que el grupo alegó haber acumulado más de 300 gigabytes de documentos y correos electrónicos internos, que recogieron en el transcurso de algunos años (como lo declararon en su mensaje original a los empleados de ALM).
También sugirieron que el ataque a Ashley Madison era solo el comienzo, y que irían tras: "Toda empresa que haga cientos de millones aprovechándose del dolor, los secretos y las mentiras de los demás. Quizá los políticos corruptos. Si lo hacemos, llevará tiempo, pero lo haremos a lo grande."
24 de agosto
Evidentemente, los miembros del sitio pueden resultar víctimas de extorsión por criminales cibernéticos que intentan aprovechar la filtración de datos de Ashley Madison para obtener ganancias financieras. Stephen Cobb, Investigador Senior en Seguridad de ESET, dice que los riesgos a los que se enfrentan los miembros son muy reales:
Esta publicación ilegal de datos es como una mina de oro para los estafadores de todo tipo, de cada rincón del mundo: vamos a ver de todo, como correos electrónicos de phishing para intentos de chantaje, dirigidos a toda una gama de personas, no solo a quienes estaban anotadas en el sitio.
En una conferencia de prensa de la Policía de Toronto, dirigida por el superintendente Bryce Evans, se relatan los acontecimientos del mes pasado y la situación actual a los medios de comunicación y al público general.
Evans dijo: "El efecto dominó de las acciones de Impact Team tiene y seguirá teniendo un impacto social y económico a largo plazo, y ya ha provocado otros casos de delitos derivados y una mayor cantidad de víctimas. Hasta hoy a la mañana, ya hubo dos informes no confirmados de suicidios relacionados con la fuga de datos de los perfiles de clientes de Ashley Madison".
El sitio web está ofreciendo una recompensa de 500.000 dólares canadienses (375.000 dólares estadounidenses) a cualquier persona con información que conduzca a la "identificación, detención y condena de la persona o personas responsables por el robo de datos propietarios".
26 de agosto
Se hace un avance potencial, en el que Krebs detalla su propia investigación sobre los responsables detrás de la filtración de datos de Ashley Madison. El experto en seguridad explica que investigó a un "usuario de Twitter prolífico" que se hace llamar Thadeus Zu, cuyos tuits lo vinculan con el ataque.
Y, en caso de que esto no sea cierto, Krebs continúa, "al menos algo es evidente: Si Zu no estuvo involucrado en el ataque, ciertamente sabrá quién fue".
28 de agosto
ALM anunció que el Sr. Biderman, fundador y Director Ejecutivo de Ashley Madison, ha renunciado y "ya no se encuentra en la empresa". En su comunicado oficial explicó que fue en el "mejor interés" de todos, y agregó que en el ínterin, el negocio será dirigido por el equipo directivo senior existente.
Este artículo se actualizó el 28 de agosto de 2015.