Ashley Madison y el precio de hacer las cosas mal

Ashley MadisonLa publicación de la base de datos completa de usuarios de Ashley Madison, una página dedicada a promoción de las aventuras extramaritales, es una prueba muy directa y evidente del precio que tiene hacer las cosas mal, no tanto por el posible juicio moral de lo que supone su actividad, que es algo que no me voy a dedicar a hacer, sino por lo importante de las buenas prácticas a la hora de plantear negocios de cualquier tipo en la red.

Finalmente, la amenaza a la empresa propietaria, Avid Life Media, de publicar la base de datos completa si no cerraba completamente las páginas Ashley Madison y Established Men se ha cumplido, y los sesenta gigabytes de datos de treinta y tres millones de cuentas, cuya autenticidad se ha podido verificar, son ya accesibles en modo búsqueda: basta acceder a esta página e introducir un correo electrónico para ver si estaba incluido en la base de datos de la compañía. 

Las consecuencias puede ser importantes, no solo para la compañía (en imagen de marca y en posibles juicios de responsabilidad civil), sino también para sus usuarios. Una intrusión y un robo de información manifiestamente pequeño con respecto a otros anteriores en otras compañías, pero que toma una importancia muy diferente debido a lo potencialmente sensible de los datos obtenidos, dada la actividad de la compañía. De nuevo, juicios morales al margen, es preciso entender que la compañía lo hacía mal en todos los sentidos: no solo gestionaba una base de datos para una actividad cuestionable sin hacer ningún tipo de comprobación, lo que implica que cualquier dirección de correo puede estar incluida en ella sin que necesariamente hubiese sido su propietario el que la incluyó, sino que además, la compañía cobraba por un servicio extra de «borrado total» que tampoco ha cumplido. El tipo de datos publicado incluye no solo nombres y correos electrónicos, sino también una importante cantidad de información personal: incluso si un usuario se abrió la cuenta con un nombre falso y una dirección de correo diferente, podría ser eventualmente identificado en función de respuestas personales de diversos tipos. Y no, no intentes contratar a un supuesto hacker para que borre tu nombre de la base de datos… solo estarías siendo estafado.

La publicación de la base de datos abre una más que relevante discusión sobre el tipo de responsabilidades que debemos demandar a quien lleva a cabo una determinada actividad en la red: nadie está a salvo de una intrusión y un robo de información, como nadie lo está de que entren físicamente en su casa o negocio dados los incentivos adecuados, pero se debería poder suponer un cierto nivel de protección al menos acorde con la importancia del contenido. En este caso, todo se hizo mal: los cifrados eran débiles, las malas prácticas eran evidentes, y la actividad era además publicitada con todo tipo de connotaciones que podían llevar fácilmente a convertirla en objetivo. Su propio fundador, el canadiense Noel Biderman, había bromeado en público acerca de las potenciales consecuencias negativas de una hipotética publicación de su base de datos, pero obviamente no tomó decisiones acorde con la importancia que el tema podía llegar a tener.

¿Cuál debería ser la responsabilidad de un sitio que promueve una actividad anunciándola como sujeta a todo tipo de garantías de seguridad, pero que actúa con total irresponsabilidad a la hora de poner en práctica esas garantías? Además de hacer frente a una inmediata – y totalmente lógica – caída de su actividad y muy probablemente a su desaparición, la compañía se encontrará sin duda con un aluvión de denuncias de todo tipo referentes a sus más que demostrables malas prácticas, y a las supuestas garantías, tanto en su publicidad como de manera expresa en sus servicios ofertados como tales, de una discreción que solo lo era de manera supuesta, y que no resistía ningún tipo de prueba. Tratar ahora de hacer un absurdo e inútil uso de los derechos de autor para evitar la publicación y difusión de su base de datos solo prueba cómo de idiotas pueden llegar a ser en esa compañía y cómo de inadaptada está la legislación de propiedad intelectual. Discutir ahora sobre si el robo de datos de Ashley Madison es un acto criminal o un caso de activismo derivado de la actividad de la compañía y del abierto sexismo que parecía promover es completamente inútil: lo relevante es hablar del precio que tiene hacer las cosas mal.

 

ACTUALIZACIÓN: acaba de publicarse un nuevo conjunto de ficheros del doble de tamaño, que incluye no solo datos de usuarios, sino también documentos internos de la compañía y mensajes de correo de su fundador, Noel Biderman.

 

This article is also available in English in my Medium page, “Ashley Madison and the price of getting things wrong«

 

 

23 comentarios

  • #001
    Raúl SB - 20 agosto 2015 - 14:21

    Me pregunto cuantos servicios, como este o diferentes, tendrán niveles de seguridad similares o incluso menores….
    El gran reto de cara a futuro, tanto para el IoT como para internet en general, es la seguridad de los datos proporcionados por sus usuarios. Como dijo Enrique Dans recientemente, es la confianza y no sólo el precio lo que filtrará las compañías que sobrevivirán a los próximos 2 o 3 años.

    • Pedro Torres - 21 agosto 2015 - 16:41

      El Banco Popular emitio una tarjeta de crédito a mi nombre, sin mi conocimiento, y la envio activada a una dirección antigua, que no había dado al abrir la cuenta online. Cayo en manos equivocadas y el fraude fue de 1500€. Tras denunciarlo y reclamarlos, cancelaron la tarjeta y emitieron otra, que una vez mas mandaron activada a una dirección que no era la que les di para correspondencia y cayo en manos de quien defraudo 1500€

      La seguridad es un mito. Ni se paga por ella ni se invierte en ella. Lo que se valora no es la seguridad sino el sentirse seguro, y eso es subjetivo.

      Visto que Ashley Madison esta haciendo publicidad en TV, no me sorprendería que tanta publicidad le sea favorable.

      Yo hace ya varios años que avisé aquí que iba a dejar de usar mi identidad real y desde entonces tengo correos y contraseñas aleatorios para todo, al igual que un pseudonimo y nunca doy mis datos reales, hasta el punto que en FB me felicitan el cumpleaños de Pedro Torres Je je je!

      • Manelfromgracia - 21 agosto 2015 - 22:11

        Buena e hilarante historia… Aunque en su momento me imagino que más bien limitada gracia.

  • #004
    Sergio - 20 agosto 2015 - 14:26

    Por ni hablar de los miles de perfiles falsos de mujeres para atraer al público masculino, que es en última instancia su cliente más numeroso.

  • #005
    Observador - 20 agosto 2015 - 14:27

    Estos tipos ya venían de haber estafado a unos cuantos de esos colegas digitales tuyos que se dedicaban a conseguir leads para ellos a través de todo tipo de historias. A muchos no les pagaron. Curiosamente cuando se han dejado unos cuantos euros en temas offline en las calles más céntricas de las ciudades más conocidas…

    También habría que comentar que este tipo de webs crea perfiles falsos, con mensajes falsos, para generar movimiento, que es lo que suelen hacer todo tipo de chiringuitos hoy en día llamados «emprendimientos». El ingenio de los informáticos no tiene límites.

    Las cosas del «nuevo modelo», ya saben.

    • Pedro Torres - 21 agosto 2015 - 16:44

      Es una pena que no te enseñaran a expresarte sin esa necesidad imperiosa que tienes de despreciar a los demás.

      Me da pena que tengas la autoestima por los suelos.

      • Observador - 21 agosto 2015 - 19:15

        Pedro Torres, que no, que no es desprecio más del que tú puedas sentir por ti mismo o por tu trabajo. Simplemente me limito a describir la realidad. Como diría Dans: esto es lo que hay.

        A mí me enseñaron probablemente mil veces mejor que a ti, así que no vengas siempre con lo mismo, que ya suena cansino.

        A dar pena a otro lado, al de los educados ciegos y ciegos educados.

  • #008
    Esteban - 20 agosto 2015 - 14:47

    Precisamente hoy llegó a mi casa un sobre cuyo remitente presentaba un apartado de correos como única referencia de localización, y en su interior una panfleto personalizado me instaba a recoger unos regalos reservados para mí en un hotel.

    No sé cómo de serios son los negocios online en los que uno se inscribe normalmente, incluso simplemente por probarlos, pero no me importa demasiado porque los datos que introduzco no son nada «sensibles».

    Pero respecto a este tipo de negocios de «dudosa moralidad» yo estaría siempre precavido. Este tipo de negocios, tanto online como offline, suelen estar inmersos en malas prácticas en todos los aspectos.

    Una búsqueda muy somera sobre una persona en Google me indicó que tenía una cuenta en Badoo. No sé si al él le interesaba que se supiera. Por otro lado, en estas empresas es realmente imposible darte de baja.

  • #009
    lee mubai - 20 agosto 2015 - 14:57

    pero hombre, a ver si lo he entendido Enrique. Entonces la culpa de que un hacker cometa un acto ilegal, no solo civil, sino PENAL, es de la empresa.??!!!! seguro?

    Creo que la responsabilidad de que entren en tu casa NO es del dueño con independencia de la puerta que tengas en casa. De hecho, en Canada, se dejan abiertas.

    Esa teoria de la armadura, de ‘la bala le mato xq no llevaba usted chaleco antibalas’ es jurídica y socialmente peligrosa.

    disfrutad del dia de verano!!

    • Aitor - 20 agosto 2015 - 16:18

      No se en EEUU pero en España el propietario de una BD debe cumplir una serie de normas en función del tipo de datos que almacenas. Viendo que allí se denuncia por casi todo entiendo que cualquiera que se vea afectado denuncie a la plataforma antes que al hacker.

  • #011
    Garepubaro - 20 agosto 2015 - 16:04

    Esto ha sido a unos informaticos y teleoperadores, que podrian haber sido formados en la escuela de Enrique Dans como tantos, que para eso esta, a los que pagaban muy mal, y muchas horas, se han tomado venganza de la empresa, en fin lo que hay de rutina en este tipo de negocio cada dia mas deprimente, donde solo vive la mentira y la recontramentira

  • #012
    Aitor - 20 agosto 2015 - 16:14

    Citar tambien que según parece el 90% de los perfiles de mujer que aparecían eran falsos y estaban creados simplemente como cebo…estafa de la a a la z

  • #013
    mapi baez - 20 agosto 2015 - 16:16

    Y digo yo… de los treinta y pico millones de usuarios ¿quiénes querrán denunciar?¿quiénes querrán admitir que se dieron de alta?¿cuántos esgrimirán que no se dieron de alta aprovechando esa ausencia de comprobación por parte de la compañía?…

    No voy a negar que lo primero que hice al leer la noticia fue pensar «a tomar por culo, ja, ja, ja…». Pero un análisis más serio despues de los dos minutos de jocosidad te lleva a cuestionarte no sólo la seguridad de Ashley Madison, sino la de todos los servicios que usamos. ¿Quién nos protege?¿Cómo?¿De verdad?¿Cómo me lo demuestran?…

    Esto no es una putada a Ashley Madison. Es un torpedo en la línea de flotación de los servicios online que usamos.

    Es grave. Mucho.

  • #014
    Jorge Garcia Suárez - 20 agosto 2015 - 17:14

    Seguridad de los datos en internet??? Ja ja ja Ningún sistema puede asegurar el 100% de seguridad de tus datos. Siempre hay alguna vulnerabilidad. Pero para que vamos a caer en vulnerabilidades, cuando actualmente la información de los usuarios en los sitios, se ve más bien, como bienes adquiridos con un valor en dólares. Así que la pregunta sería ¿Cuánto valen tus datos personales? Y realmente existe por parte de las compañías la llamada protección de los datos personales de los consumidores y usuarios, ¿Quién es la parte desfavorecida o débil en esta relación? Me parece que es muy iluso el hecho de creer que realmente estamos protegidos.

  • #015
    Pedro Gómez - 20 agosto 2015 - 17:39

    ¿Y por que pensáis que los usuarios (hombres) eran infieles? ¿Y si alguno lo uso como red para conocer personas? ¿Acaso no son libres?

    El problema no es ético ni moral. Es de protección de nuestra intimidad.

  • #016
    Pilar - 20 agosto 2015 - 18:07

    Sin contar la de perfiles falsos que se crean para atraer a un mayor público, en su gran mayoría masculino.

  • #017
    JL - 20 agosto 2015 - 19:07

    En todo este tema hay algo que me choca. ¿hay gente que se apunta a un sitio como este y dan su email del trabajo o una direccion reconocible?

    Entonces, lo siento, pero es que son «muy tontos».

    A lo.mejor hay mas datos personales, pero vamos, si es solo por los email (que serán poco «privados») no entiendo el revuelo.

  • #018
    Steven Londono - 20 agosto 2015 - 20:07

    No cabe duda de lo delgada que es la línea que separa lo íntimo, lo privado y lo público en Internet, lo vulnerables que son las compañías y las personas cuando no hacen lo correcto o lo que otros consideran como correcto.

  • #019
    Jorge Pascual - 21 agosto 2015 - 15:21

    Bajé la base de datos por curiosidad técnica de cómo se habría hecho… y es un dump de la misma en toda regla. .. vamos, con creación de tablas, índices, primary keys, foreing keys, etc… información que únicamente está disponible en el propio engine de la base de datos.

    No estoy totalmente seguro, pero apostaría mucho a que eso se ha hecho desde dentro y por parte de personas que tienen acceso directo a la bbdd. Si eso es así, da igual las puertas de seguridad que hayas puesto, pues quien entra, tendría las llaves de todas. Es cierto que se pueden distribuir llaves entre varios, etc. etc. pero aún así, como bien dices, nadie está a salvo de un ataque de ese estilo… y MySQL menos (la misma que es usada por Twitter, Facebook o Google entre otros).

    Lógicamente, no quiero quitar ninguna responsabilidad a la empresa, sobre todo, porque la bbdd en realidad ha servido como instrumento probatorio de lo que parecen evidentes «malas» prácticas (yo lo llamaría directamente estafas)… como que se cobrase por borrar algo que en realidad no se borra o que se creen perfiles falsos.

    Pero, en mi opinión, para ver el calado del problema de seguridad, primero deberíamos conocer un poco más sobre cómo ha sido. Desde fuera, tengo muchas y muy serias dudas. La complicidad (como poco) de alguien interno relevante me suena prácticamente imprescindible.

    Suena mucho más a una venganza que a un ataque externo.

  • #020
    Bruno Villar - 21 agosto 2015 - 17:34

    Una cosa queda clara, no existe una privacidad real en internet.

  • #021
    Javier B - 23 agosto 2015 - 18:20

    Curioso que en todo sitios se menciona que se han filtrado las tajetas de crédito con las que se ha pagado el servicio, pero no dicen nada de Paypal. Demostrará esto que es más seguro?

  • #022
    Manuel Santana - 24 agosto 2015 - 22:50

    El usuario al momento de inscribirse en este tipo de servicio debe asumirse la consecuencia, tomando en cuenta que hasta los gobiernos le hackear los portales oficiales.

  • #023
    Mario Suarez Paz - 27 agosto 2015 - 01:01

    Nunca aconsejaría de inscribirse en estas webs de carácter sexual con el email que utilizas para tareas diarias o trabajo, el riesgo de robo de tus datos es muy alto y el riesgo es que te encuentres en situaciones realmente incomodas.

Dejar un Comentario

Los comentarios están cerrados