Aparecen los primeros casos de extorsión a usuarios de Ashley Madison

Ya lo avisábamos cuando se produjo el robo de datos de más de 30 millones de usuarios del servicio de citas extramatrimoniales Ashley Madison. Este no era un caso más de robo y posterior filtración de datos, puesto que la naturaleza de los servicios ofrecidos por la empresa podrían usarse en contra de los usuarios afectados.

amdump2

Usuarios en una situación comprometida
Con la primera filtración de datos ocurrida la semana pasada pudimos ver cómo, efectivamente, los atacantes habrían obtenido millones de cuentas de correo registradas en el servicio. Entre esas cuentas encontrábamos dominios de todo tipo como gubernamentales, militares o de grandes empresas.

Que esas cuentas existan no significa que los usuarios hicieran uso del servicio, sino que tan solo se registraron en él. Otra cosa diferente son los datos de tarjetas de crédito también publicados, puesto que eso denota cierto interés en pagar por los servicios ofrecidos por Ashley Madison.

Curiosamente, uno de los servicios que le proporcionaban mayores ingresos a esta empresa era el de eliminación de datos personales cuando un usuario quería darse de baja, algo que, como acabamos de comprobar durante estas últimas semanas, no se producía de forma efectiva.

Ahora los usuarios se enfrentan no solo al problema de ver expuesta parte de su vida privada, sino también a problemas conyugales si su pareja encuentra su email en la base de datos filtradam, o profesionales, al haber hecho uso de un recurso como el correo corporativo con fines personales.

Sin embargo, el mayor problema se encuentra en las extorsiones que algunos usuarios aseguran haber empezado a recibir. Así pues, encontramos el caso de un ciudadano estadounidense que afirma haber recibido un email en el que se le indicaba que si no paga 2 bitcoins (unos 400 €), se compartirá la información privada con su pareja.

Incluso hay un caso de suicidio de un empleado público en San Antonio (EE.UU.) que se está investigando y que podría estar relacionado con estas filtraciones. Aún no se ha confirmado tal vinculación, pero el hecho de que el correo profesional de esta persona estuviese entre los millones de cuentas robadas es algo que los investigadores han tomado en cuenta.

Los atacantes anuncian que tienen mucha más información
Pero los problemas para los usuarios de Ashley Madison pueden ser mayores si los atacantes de Impact Team deciden filtrar aun más información personal de los usuarios, incluyendo fotografías explicitas intercambiadas entre ellos.

En una reciente entrevista a la web Motherboard, afirmaban tener 300GB de correos electrónicos de empleados y documentos de la red interna, junto con decenas de miles de fotografías de los usuarios (un tercio de las cuales incluyen desnudos) y chats privados. También afirman que no quieren filtrar ni las fotografías comprometedoras ni los correos de los usuarios, pero sí los de algunos altos cargos de la empresa.

Además, los atacantes dicen haber permanecido en la red interna de Avid Life Media (empresa propietaria de Ashley Madison) durante bastante tiempo debido a la mala seguridad implementada. Durante este tiempo aseguran haber visto las malas prácticas de esta empresa y cómo sus beneficios aumentaban a base de aprovecharse de sus clientes, y por eso decidieron pasar a la acción.

Conclusión
Independientemente de los datos filtrados por los atacantes o la mala seguridad implementada para proteger a los usuarios de Ashley Madison, estos son, en última instancia, los principales afectados. No es lo mismo aparecer en una filtración como la de Adobe hace unos años (152 millones de emails filtrados) que en otra donde se ve cómo se hace un uso personal de un correo corporativo, y además para registrarse en una web cuyo principal objetivo es que los usuarios mantengan una aventura extramatrimonial.

El tiempo dirá si las consecuencias de esta filtración son tan graves como parece, pero casos como este deben servir de ejemplo a muchas otras empresas y usuarios para replantearse si la seguridad de sus datos está en buenas manos.

Josep Albors

Utilizan WhatsApp para propagar phishing que suplanta a Starbucks