Los hackers han cumplido su amenaza. El pasado julio, un grupo de cibercriminales autodenominado The Impact Team aseguró haber robado los datos de los más de 37 millones de clientes de la web de citas Ashley Madison. Amenazaron con publicar toda la información si la página no cerraba de inmediato. Ashley Madison siguió funcionando. Este miércoles los hackers publicaron 10 gigabytes con los nombres, apellidos y transacciones bancarias de más de 32 millones de adúlteros usuarios de la página.
Los datos están online accesibles como descarga de BitTorrent. En cuestión de horas miles de personas comenzaron a descargarlos y comentarlos en foros online como 8chan. Incluyen las direcciones de email (una pequeña parte publicada ya online aquí), nombres, teléfonos, perfiles de los usuarios y hasta sus transacciones financieras desde 2007. No aparecen los datos de las tarjetas de crédito al completo, pero sí los 4 últimos dígitos de cada tarjeta. Muchos de estos perfiles y direcciones de email son falsos y no llevan a la identidad real de los usuarios, pero las transacciones bancarias sí podrían desvelarla.
Junto con los 10 gigabytes de datos filtrados, los hackers lanzaron un mensaje en el que recuerdan el motivo del ataque y por qué han cumplido su amenaza. Aseguran que la compañía Avid Life Media (ALM), con sede en Canadá y propietaria de Ashley Madison y de otras webs relacionadas comoCougar Life y Established Men, había engañado a sus usuarios. ALM les ofrecía eliminar por completo todos sus datos del servio por 19 dólares pero, según los hackers, los datos no quedaban eliminados por completo.
Hackeados por engañar a sus clientes.
En su mensaje, The Impact Team señala que han «explicado el engaño y estupidez de ALM y sus miembros. Ahora todo el mundo va a poder ver sus datos. La página es un engaño con miles de perfiles falsos de mujeres. El 90-95% de sus usuarios reales son hombres. Hay muchas probabilidades de que tu chico se haya dado de alta en la mayor página para adúlteros del mundo. Al menos lo intentó. Si esa distinción importa… Mala suerte para esos hombres, son unos mentirosos asquerosos y no merecen semejante privacidad. Mala suerte para ALM, prometiste seguridad pero no cumpliste».
Uno de los primeros análisis de los datos realizados por la página especializada en seguridad CSO señala que hay decenas de miles de direcciones de email pertenecientes a organismos públicos (muchas terminadas en .gov o .mil, del gobierno y ejército estadounidense). Eso sí, Ashley Madison no pedía verificar el email al darse de alta por lo que muchas se pueden tratar de usuarios que han utilizado direcciones de otras personas, o simplemente perfiles falsos.
En un comunicado enviado a medios, Ashley Madison, cuyo lema es “La vida es corta. Ten una aventura”, no confirma aún la veracidad de los datos publicados, pero asegura estar monitorizando e investigando su contenido. «Continuaremos con nuestros esfuerzos de eliminar cualquier información que se haya publicado de forma ilegal, a la vez que seguimos operando nuestro negocio. Este hecho no es un acto de hacktivismo, es un acto criminal. […] El criminal, o criminales, involucrados en este acto se han erigido como el juez moral, y ejecutor, creyendo que puede imponer su opinión personal de virtud sobre toda la sociedad. No permitiremos que estos ladrones impongan su ideología personal sobre los ciudadanos de todo el mundo».
El Confidencial.