Se publican los datos pirateados de los clientes del portal Ashley Madison

Los hackers que amenazaron con publicar los datos personales sustraídos a los millones de usuarios de la web AshleyMadison.com, cumplieron con su amenaza el martes por la noche — y el material publicado es totalmente fidedigno.

En julio el grupo de activistas informáticos que se bautizó a sí mismo como Impact Team sustrajo la información e hizo un llamamiento a Avid Life Media (ALM), la sucursal en Toronto de Ashley Madison, para que desactivara tanto su página web como otra de sus socias, EstablishedMen.com, un portal que empareja a hombres mayores con jovencitas. El grupo enseguida expuso los detalles de un usuario de Ontario y de otro de Massachussets para demostrar que iba en serio.

Los hackers expresaron que su allanamiento estaba motivado por las sospechosas políticas de privacidad de ALM y por sus cuestionables prácticas laborales. Acto seguido publicaron un manifiesto en el que tacharon la función de "borrar todos los datos" que ofrecía la web de "fraude rentable". Los hackers acusaron a la empresa de mantener los detalles de las compras, los nombres reales y las direcciones de los clientes, incluso después de que estos hubiesen pagado para que su información fuese borrada.

"Solo en 2014, la opción 'Borrar todo' generó unos ingresos de 1.7 millones de dólares de beneficios a ALM", decía el manifiesto. "Y eso es un timo absoluto".

Hackers intentan chantajear a la web para adúlteros casados Ashley Madison. Leer más aquí.

ALM no dio marcha atrás, así que ayer por la noche los hackers colgaron 9.7 gigabytes de información personal de la notoria web que promueve el adulterio. Entre la información publicada también se incluye la de clientes registrados en la web Established Men (hombres solventes).

"Avid Life Media no ha desmantelado Ashley Madison ni Established Men", leía el comunicado en que los hackers anunciaban la enorme descarga de datos. "Hemos explicado el fraude, el engaño y la estupidez de ALM y de sus miembros. Así que ahora todo el mundo puede consultar su información".

El alijo de información publicada contiene direcciones de correo electrónico y postal, parte de los números de las tarjetas de crédito y los detalles de las transacciones, passwords, descripciones físicas, y otra información personal de unos 37 millones de usuarios de la web. Los primeros análisis del material explorados por la revista Wired demuestran que más de 15.000 direcciones de email pertenecen a servidos del gobierno o del ejército.

Desde que los hackers amenazaran con su publicación, habían aparecido decenas de vertidos de información en la web que clamaban haber sido extraídos de la bases de datos de Ashley Madison. Sin embargo, este último es el primero que se considera auténtico.

"Estoy seguro de que hay millones de usuarios de Ashley Madison que desearían que no fuera así", escribió el bloguero Brian Krebs, experto en ciber seguridad, sobre el descubrimiento. "Pero todo apunta a que este vertido es el legal". Krebs habló con tres fuentes que confirmaron que sus detalles personales habían sido publicados.

Enseguida empezaron a plantearse preguntas sobre si las identidades reveladas son reales, puesto que Ashley Madison no verifica la identidad de los correos electrónicos de las nuevas cuentas y se cree que muchos de sus usuarios actúan bajo nombres falsos. Tal y como señaló el experto en seguridad Per Thorsheim poco después de que fuera anunciada la revelación, "cualquiera puede crear una cuenta usando el correo electrónico de otro y empezar a utilizar el servicio sin necesidad de que se verifique que la cuenta es de quien la reivindica".

"Basta con echar una ojeada a la información para descubrir que muchas de las cuentas son falsas", escribió el experto en seguridad y bloguero Robert Graham. "Están deliberada y obviamente creadas para gente que quiere echar un vistazo al portal sin necesidad de crear una 'cuenta real'.

ALM se mostró ambigua respecto a si el vertido del martes era auténtico.

"Estamos supervisando e investigando la situación activamente para determinar la validez de cualquier información colgada online y continuaremos destinando todos nuestros recursos a tal efecto", leía el comunicado emitido el martes.

Un portavoz de ALM contó a la agencia Reuters que gran parte de la información es legítima, aunque desmintió que la empresa tuviera almacenada información sobre las tarjetas de crédito de sus usuarios en sus servidores. La empresa ya había calificado la infracción como un acto de "ciberterrorsimo" y prometió llevar a los hackers ante los tribunales.

"Desactivar [Ashley Madison] y Established Men os costará dinero, pero no cumplir con lo que os proponemos os costará todavía más", leía el comunicado que anunciaba la usurpación emitido por Impact Team en julio. "Publicaremos todos los detalles archivados de vuestros clientes, los perfiles, en que se incluyen todas sus fantasías sexuales, fotos de desnudos y conversaciones mantenidas, y una relación de tarjetas de crédito y de sus desembolsos, además de nombres reales, direcciones, así como documentos y correos electrónicos de los empleados. Avid Life Media podrá ser procesada entonces por fraude y por los daños y perjuicios provocados a millones de sus usuarios".

La publicación de la información de los usuarios de Ashley Madison podría tener consecuencias desastrosas para aquellos que se creían que su información era privada. Un usuario homosexual de Arabia Saudí anunció en Reddit el mes pasada que podría ser lapidado si se descubre que ha empleado el portal para mantener relaciones homosexuales.

"Hace mucho, mucho tiempo, que no visitó el portal", explicó el individuo de Ontario cuya información fue revelada, en declaraciones al Tornto Sun, después de que sus datos fuesen hechos públicos. También aseguró que nunca utilizó realmente el servicio para ser infiel a su mujer, con la que lleva 20 años. "Es una estupidez [de portal]. Solo lo consultas para ver qué es lo que hay ahí afuera. Pero básicamente fue una pérdida de tiempo…. Registrarme".

El hombre dijo que tuvo que pagar 19 dólares para que su información fuera borrada de la página, y se quedó completamente conmocionado cuando su nombre fue publicado por Impact Team para demostrar que la información sustraída obraba, efectivamente, en su poder. De manera que Ashley Madison habría mantenido su información incluso después de que él hubiese abonado el importe exigido para aspirar al servicio "borrar todo".

El portal Ashley Madison lleva tiempo en el ojo del huracán por su descarada promoción del adulterio. Teniendo en cuenta su modelo de negocio — ser un servicio discrecional que facilite aventuras adúlteras a la gente casada — su base de datos es especialmente delicada.