Todo lo que sabemos hasta ahora del hackeo de Ashley Madison

El domingo pasado, un grupo que se que se hace llamar "Impact Team" (el nombre perfecto para una película de Chuck Norris) hackeó una página de citas llamada Ashley Madison para aquellos que quieren engañar a sus parejas.

Por un rato, la página principal de Ashley Madison fue reemplazada por un mensaje que notificaba a los usuarios sobre el hackeo. El texto tenía un link que llevaba a una pequeña muestra de la información filtrada y una imagen que combinaba la imagen de una mujer diciendo "shh", que es la firma de Ashley Madison, con lo que parecía ser una captura de pantalla de la escena de la película Scanners donde explota una cabeza.

Esto pone en riesgo la privacidad de los usuarios de 46 países, según Avid Life Media, Inc., la matriz de Ashley Madison. El contador en Ashleymadison.com indica que hay "¡Más de 37,765,000 miembros anónimos!" Eso significa que la cifra de posibles víctimas ronda por ahí, aún quitándole unos cuantos millones de perfiles falsos.

Relacionado: La guía VICE para poner el cuerno

Los hackers también dejaron algo parecido a un manifiesto en la página principal con el que amenazan a Ashley Madison y a Established Men, otra página de Avid Life Media que está diseñada para emparejar hombres adinerados con mujeres jóvenes y atractivas. El texto decía: "Ordenamos que Avid Life Media elimine Ashley Madison y Established Men, en todos sus formatos, de forma permanente o si no vamos a publicar los registros de todos los clientes, incluidos los perfiles con las fantasías sexuales secretas de los clientes y las transacciones exitosas con tarjeta de crédito, los nombres, las direcciones, los documentos de los empleados y los emails. Las otras páginas pueden seguir funcionando".

El motivo de la amenaza —la posibilidad de publicar información delicada de los usuarios— es irónico porque una de las razones por las que los hackers se quejan de Ashley Madison es la función de "borrar todos los datos" que ofrecen por un precio muy elevado y que, al parecer, no es real. "La función de borrar todos los datos hizo que la página ganara 1.7 millones de dólares en 2014. Pero es falsa", se leía en el manifiesto, según el blog de seguridad de seguridad de Brian Krebs, donde se dio a conocer la noticia. "Los usuarios casi siempre pagan con tarjeta de crédito pero la información de sus transacciones no se elimina como dicen en la página, e incluye nombre y dirección, que es justo la información que los usuarios desean que se elimine".

Por su parte, Ashley Madison publicó un comunicado ayer donde decía que su opción de borrar todos los datos funcionaba a la perfección: "Contrario a lo que dicen los medios basados en las acusaciones que publicó un cibercriminal en internet, la opción de "pagar por borrar todos los datos" que ofrece AshleyMadison.com en verdad elimina toda la información relacionada con el perfil de los usuarios y su actividad de comunicación".

La información que publicó Impact Team incluía una pequeña muestra de la información de los usuarios, junto con descripciones técnicas de los servidores de la empresa e información sobre los empleados de la Ashley Madison. Los links que publicaron los hackers fueron eliminados media hora después del ataque y la página ya regresó a la normalidad, al menos en apariencia.

El comunicado de Ashley Madison aseguró que la empresa "ya había logrado recuperar la página y cerrar los puntos de acceso no autorizado". Aún así, la mayoría de la información de los usuarios sigue en el limbo. Técnicamente, la poca información que se haya publicado en otras partes ya debe haber sido eliminada gracias a la implementación creativa del Acta de derechos de autores digitales del milenio (DMCA, por sus siglas en inglés).

La DMCA se emplea un sinfín de veces al día para hacer que YouTube borre videos porque violan los derechos de autor. Según Ashley Madison, ya enviaron muchas peticiones para eliminar la información y eso debería ser suficiente para mantener en secreto los chismes más jugosos de los usuarios, al menos por el momento. Sin embargo, es probable que esta medida no dure mucho, ya que Parker Higgins de Electronic Frontier Foundation dijo a la plataforma Fusion que "No tienen derechos de autor de nada de lo que reclaman".

A pesar de que el esfuerzo que se hizo con la DMCA fue suficiente para evitar que la información se publique por ahora, dos usuarios —uno de Ontario, Canadá, y otro de Massachusetts, EU— tuvieron la desgracia de que su información se publicara, según el periódico The Guardian. La opción de borrar toda la información que tanto le preocupaba a los hackers ahora es "gratis", pero no sirve de nada si tu información ya está en el disco duro del hacker.

En otras palabras, el pozo ya se cerró pero el niño ya está más que ahogado.

Nadie sabe qué va a pasar ahora. Algunos creen que los hackers planean chantajear a los usuarios uno por uno. El chantaje no es parte del plan que publicaron los hackers pero los expertos dicen que es muy probable que ocurra una extorsión.

Los usuarios de Reino Unido tienen bases para presentar una demanda si así lo desean, ya que una ley de 1998 exige la mayor discreción en el manejo de la información de los usuarios británicos de internet. Sin embargo, las leyes de otros países son mucho más laxas.

Los adúlteros de la comunidad /r/Adultery en Reddit adoptaron una postura de "esperare a ver qué pasa" antes de entrar en pánico. Un usuario infiel de Reddit llamado "spare1382" señaló:

Si eres un adúltero que utilizaba Ashley Madison, tranquilízate, puedes entrar a HaveIBeenPwned.com, una página muy útil.

Esta página cuenta con una base de datos donde puedes buscar tus datos entre toda la información filtrada, incluyendo la de Adult Friend Finder después del incidente de mayo de este año. Los adúlteros van a estar checando HaveIBeenPwned con regularidad mientras esta noticia siga en primera plana. Si no se publica la información, lo van a checar de forma periódica. Quizá por el resto de sus vidas.

En otras noticias Avid Life Media quiere recaudar 200 millones de dólares para convertirse en una empresa de capital abierto. Según Marketwatch, 70 por ciento de las ganancias de ALM vienen de Ashley Madison, y ahora que este ataque cibernético reveló que la privacidad —lo único que salvaba de la quiebra a Ashley Madison— era falsa, los expertos aseguran que es poco probable que veamos pronto esa oferta pública de venta.

Sigue a Mike Pearl en Twitter.