Un joven de 18 años ha sido acusado por la policía británica en relación con un ciberataque que comprometió al sitio Mumsnet, dedicado a la crianza de hijos. Como resultado, las cuentas de los usuarios se filtraron, se robaron sus contraseñas y el sitio quedó offline.
El acusado es David Gerrard Buchanan de Haslemere, Surrey, a quien la Unidad de Crimen Cibernético de la Policía Metropolitana asignó dos cargos en la sección 1 de la Ley de Abusos Informáticos de 1990 y un cargo en la sección 3, en conexión con los ataques del año pasado contra el inmensamente popular sitio web británico para padres.
Durante los ataques, alguien no autorizado accedió a los servidores de Mumsnet y explotó privilegios de administrador para redirigir el sitio a una cuenta de Twitter que ahora está dada de baja, llamada @DadSecurity. En ella se publicaban mensajes como:
- "Es el comienzo de algo maravilloso"
- "RIP Mumsnet"
- "Nada volverá a ser normal"
- "Nuestros ataques DDoS te están dejando offline"
A ningún sitio popular le gusta quedar offline por un ataque distribuido de denegación de servicio (DDoS), claramente. Pero las cosas se tornaron más desagradables y peligrosas cuando la amenaza digital se hizo física.
La cofundadora de Mumsnet, Justine Roberts, y una mujer registrada en el sitio que había confrontado valientemente a @DadSecurity hallaron que los atacantes engañaron a la policía armada para que allanara sus hogares.
Roberts describió la experiencia espantosa en un mensaje a los usuarios del servicio:
Un equipo de respuesta armado apareció en mi casa la semana pasada en medio de la noche, tras recibir reportes de que había un hombre armado rondando. A una persona que usa Mumsnet e interactuó con @DadSecurity en Twitter se le advirtió que se preparara (...) en un tuit que incluía una foto de un equipo de fuerzas especiales, tras lo cual la policía llegó a su casa tarde en la noche por haber recibido un reporte de disparos. No hace falta decir que ella y su joven familia quedaron bastante asustados.
En mi opinión, Mumsnet respondió bien al incidente, siendo transparente con sus usuarios respecto a qué estaba pasando, diciéndoles que restablezcan sus contraseñas y advirtiendo de los peligros de ataques de phishing. También convocaron a expertos externos para que les aconsejen la mejor forma de fortalecer sus sistemas de seguridad, y me invitaron a mí para responder preguntas de seguridad informática de sus usuarios.
Aquellos que deban elegir nuevas contraseñas seguras podrán valerse de estos consejos:
Buchanan deberá presentarse en la Corte de Magistrados de Guildford el 7 de junio.
La Policía Metropolitana dice que ha eliminado de sus indagaciones a dos chicos de 17 años a quienes había entrevistado, pero sigue investigando los ataques. Cualquiera que tenga información está invitado a contactar a la policía enforma directa o anónima a través de CrimeStoppers.