Sí señor. Se ofrece una suculenta recompensa de 328.000 € por la captura de los integrantes de Impact Team, quienes recientemente hackearon y divulgaron las sensibles bases de datos de la conocida web de contactos Ashley Madison. Al igual que en los mejores tiempos del western, aunque ahora en las cibernéticas praderas de Canadá, retornamos a los reclamos económicos para la captura de delincuentes. Hay ingredientes que no han cambiado, como los daños económicos o patrimoniales, pero en este caso especifico, con independencia de los perjuicios ocasionados a la compañía, y sobre todo a sus usuarios, aparentemente tenemos móviles de tipo moral o ideológico, y no, como suele ocurrir, el objetivo de obtener un lucro económico por medios ilícitos. Para darle una mayor notoriedad a este reciente delito informático, ya se le están vinculando dos suicidios, por la divulgación de datos de carácter extremadamente confidencial, como gustos sexuales, vinculaciones extramaritales y todo tipo de complicaciones sentimentales. La publicación de los gustos, fantasías sexuales e identidades de casi 38 millones de usuarios, esta convulsionándolo todo.
Ahora uno de los principales objetivos es recuperar la tranquilidad en las redes, de hecho, recompensas como la citada, tienen el principal objetivo de renovar la confianza de los usuarios. Para ello resulta fundamental que los clientes sean conscientes de que los ciberdelincuentes, aunque inicialmente protegidos por su anonimato, también están supeditados al mandato de la ley. Generalmente vemos como algo lejano y distante, este tipo de siniestros, pero en los últimos años, son crecientes los delitos de este tipo, que generalmente sufren las empresas. Ahora mismo tengo conocimiento directo o cercano, de varios empresarios que se han visto obligados a liquidar pequeñas cantidades de entre 200 y 400 euros, para liberar sus sistemas de gestión, que habían sido hackeados.  El aparente éxito de estos delincuentes estriba en exigir una cantidad “asumible”, frente a los costes que supone la recuperación de datos sustraídos o bloqueados. Por ello, es fundamental estar bien asesorado permanentemente, en un sector como el informático y comunicaciones, ya absolutamente indispensables para la supervivencia y desarrollo del tejido empresarial.
Son múltiples los casos en estos últimos años, como resulto evidente en la III Conferencia Internacional de la Cátedra Google sobre Privacidad, Sociedad e Innovación de la Universidad CEU San Pablo, inaugurada recientemente por el Ministro de Justicia Jorge Fernandez Diaz. Hay ejemplos de manual, como:
En enero de este año la aseguradora de salud Anthem sufrió un ataque a su sistema de TI que derivó en el robo de una enorme cantidad de datos. Nombres, fechas de nacimiento, direcciones postales y de email, pero lo más destacado fueron datos sobre la Seguridad Social, y sobre los ingresos de los asegurados. Por supuesto, en la línea de las mejores bases de datos, no solo fueron registros de los actuales clientes de la compañía, sino de la totalidad de los usuarios de la última década. Tengan en cuenta que estamos hablando del acceso a los expedientes médicos de más de 80 millones de personas, fundamentalmente ciudadanos de Estados Unidos.
El caso de las aseguradoras del sector de la salud, genera mayor preocupación, por la clara apuesta de las grandes compañías tecnológicas en esta área, y la creciente digitalización de todo tipo de datos, que deben tener el máximo nivel de confidencialidad.
En el año 2014 también fue muy conocido el ciberataque a Home Depot, potente compañía del sector retail, donde los delincuentes, vía malware lograron apoderarse de datos vinculados a más de 56 millones de tarjetas bancarias y millones de datos sobre direcciones electrónicas. Tal y como apuntaba, Fernandez Diaz, en el evento señalado anteriormente de la Cátedra Google: «se ha convertido en un referente en saber conjugar dos valores a los que no queremos ni debemos renunciar: por un lado, la innovación y el avance tecnológico, y, por otro, la adecuada protección del derecho a la privacidad, y con ella a la libertad y a la seguridad de nuestros ciudadanos».
Mucha mayor relevancia, pese al secretismo mostrado inicialmente, fue el perpetrado también en el 2014, contra el banco JP Morgan en 2014, que afectó a las cuentas de 80 millones de clientes y de 7 millones de entidades mercantiles.
En esta ocasión, las autoridades israelíes y estadounidenses informaron de gran cantidad de detenciones, y un número bastante menor de imputaciones. Finalmente se solicito la extradición de conocidos cibercacos como los israelitas Ziv Orenstein y Gery Shalom. Más compleja fue la solicitud con el ciudadano americano Joshua Samuel huido en la Federación Rusa. Resulta curioso que las entidades más potentes, a nivel mundial, tanto en protección, como en ciberataque, se sitúen aparentemente en Israel y que todavía le demos una mayor importancia a rusos o nort-coreanos.
Los cibercriminales habrían robado los datos de esas cuentas y las habrían empleado para adquirir títulos por medio de una empresa interpuesta, provocando una subida artificial de las cotizaciones en bolsa de las acciones compradas, logrando con la operación cuantiosos márgenes de millones de dólares.
Existen otros casos, como la empresa fabricante de hardware LaCie, donde el procedimiento delictivo utilizado se prolonga en el tiempo. Parece ser que desde Marzo del 2013, hasta Marzo de 2014 se sustrajeron datos de los clientes, especialmente los vinculados a medios de pago. La estrategia se prolongo en el tiempo, dosificando la transmisión de datos, para posponer la localización de la falla.
Para terminar estos mínimos ejemplos, de los que reitero la lista sería interminable, tenemos a la compañía Evernote. Fueron millones los usuarios afectados en el 2013, y que dio lugar al obligado reinicio de 50 millones de claves de acceso y datos identificativos. De hecho, si indirectamente algo le debemos a estos hacker, es que gracias al golpe urdido, se acelero la implantación de sistemas de verificación dobles. El método, el ya popular de ser necesario para ingresar al servicio introducir el nombre de usuario y contraseña, además de una segunda clave adicional que se envía al teléfono móvil vía mensaje SMS. No debemos olvidar que también tenemos la alternativa, de utilizar Google Authentificator, y otros gestores de contraseñas.
Pues no lo olvidemos, 328.000 Euros te esperan si logras capturar a los hackers que han atacado a Ashley Madison. De cualquier forma, puedes considerarte una persona afortunada, si no constas en su base de datos, y ahora tus gustos más personales, son conocidos por todos.
Luis Nantón
https://twitter.com/nantonluis