Más de un millón de personas en México afectados por el hackeo del sitio Ashley Madison de 2015

Mostramos en gráficos cual fue el impacto de la filtración para los usuarios mexicanos. Instamos a que el INAI investigue el caso.

Imagen tomada de Flickr. Usuario "portal gda". Bajo licencia CC BY-NC-SA 2.0.

A un año de que la filtración masiva de datos del sitio web AshleyMadison.com expusiera la información personal de más de 36 millones de personas alrededor del mundo, averiguamos que más de un millón de personas han sido afectadas por esa vulneración. Por esta razón, SonTusDatos insta que el INAI investigue el caso y proteja los derechos de los usuarios de sitios de comercio electrónico que dirigen su mercadeo hacia usuarios en México y cuyos responsables violan las más básicas medidas de seguridad.

SOBRE EL CASO

Ashley Madison es un sitio web de contactos personales que está dirigido a personas que buscan encuentros discretos. Con el slogan “La vida es corta, ten una aventura”, buscaba unir en aventuras a hombres y mujeres principalmente casados.

El sitio es operado por la compañía canadiense Avid Life Media (“ALM”, ahora Ruby Corp.) , y cuenta con usuarios en más de 50 países del mundo, incluido México.

Por años, el sitio Ashley Madison fue señalado por realizar prácticas desleales y abusivas contra sus usuarios, aprovechándose de la información y los datos personales que manejaban. Ejemplo de ello es el hecho de que el sitio utilizaba cuentas falsas de perfiles femeninos que enviaban mensajes masivamente a los usuarios varones; al recibir varios mensajes y superar el límite máximo, el usuario tenía que pagar para poder acceder a esos mensajes, sólo para darse cuenta de que eran escritos de forma automatizada. Si algún usuario solicitaba el reembolso de su dinero, la empresa amenazaba con enviar información de sus transacciones en el sitio web a sus hogares, lo que suponía un riesgo de que la familia de ese usuario se enterara de sus aventuras, por lo que decidían desistir de su reclamo. ALM confirmó a CNN Money que estas prácticas se realizaban en la compañía aunque aclaró que recientemente dejaron de utilizarlas.

El 15 de Julio de 2015, un grupo identificado como “The Impact Team” dio a conocer que había hackeado los sistemas de ALM y amenazaron con hacer pública la información personal de los usuarios del sitio Ashley Madison. En un manifiesto que publicaron en línea, el grupo dio un ultimátum de 30 días para que ALM cerrara el sitio AshleyMadison.com y EstablishedMen.com, alegando que la compañía estafaba a sus usuarios, o de lo contrario procederían a publicar las bases de datos que estaban en su poder.

Avid Life Media no aceptó cumplir con las demandas por lo que, para agosto de 2015, la información privada de más de 36 millones de usuarios a nivel mundial fue filtrada en la red. La lista de datos filtrados es la siguiente:

  • Nombre
  • Apellidos
  • Domicilios
  • Ciudad
  • Estado
  • Código Postal
  • País
  • Geolocalización (latitud y longitud)
  • Correo electrónico
  • Dirección IP de creación de la cuenta
  • Fecha de creación de la cuenta
  • Teléfono
  • Teléfono de casa
  • Teléfono de trabajo
  • Sexo
  • Fecha de nacimiento
  • Biografía
  • Etnia o grupo racial
  • Estado de fumador
  • Estado de bebedo
  • Peso
  • Estatura
  • Preferencias de búsqueda
  • Preferencias de gustos
  • Preferencias de intereses
  • Preferencias de fantasías sexuales
  • Estado Civil
  • Preguntas de seguridad
  • Respuesta  a las preguntas de seguridad
  • Número de fotos públicas
  • Número de fotos privadas
  • Fecha de última actualización de perfil
  • Fecha de última vez que respondió un mensaje
  • Fecha de última vez que entró al chat
  • Historial de transacciones de pago con información de las tarjetas de crédito de los usuarios.

También se filtraron documentos internos y confidenciales de la compañía, como:

  • Información corporativa
  • Registros financieros
  • Organigrama organizacional
  • Contratos
  • Diagramas técnicos
  • Características de los servidores y tecnologías utilizadas por la compañía
  • Lista de todos los dominios web que posee la compañía
  • Lista de inversionistas
  • Cuentas bancarias y de PayPal de la compañía

Entre esos documentos se encuentra un listado con medidas que se deberían implementar para proteger los sistemas críticos de ALM y advertencias sobre la posibilidad de que fueran vulnerados por atacantes. Otro documento contiene las respuestas a una encuesta interna donde trabajadores de ALM opinan sobre las áreas que consideran más importantes de la compañía y donde dejan ver sus preocupaciones sobre la seguridad de los sistemas y lo riesgoso que sería que fueran hackeados.

La filtración de información confirmó las acusaciones de las malas prácticas con las que la compañía operaba y dejó al descubierto el desequilibrio entre el número de usuarios masculinos y femeninos.

La fuente de ingresos más importante de Ashley Madison era la función que permitía a sus usuarios borrar su perfil y todo rastro de sus actividades en el sitio por 19 dólares. Con la filtración se reveló que la empresa no eliminaba todos los datos de los usuarios que pagaban por ese servicio y se conservaban datos personales y preferencias de los usuarios, así como el historial de sus transacciones bancarias, incluyendo números de tarjetas de crédito, nombre de titular, domicilios reales.

INVESTIGACIÓN CONCLUYE QUE AVID LIFE MEDIA VIOLÓ LEYES DE PROTECCIÓN DE DATOS CANADIENSES Y AUSTRALIANAS

Dada la escala de la filtración, la sensibilidad de la información involucrada y el impacto a los usuarios afectados a nivel mundial, la Oficina del Comisionado Australiano de Información (OAIC) y la Oficina del Comisionado de Privacidad de Canadá (OPC) iniciaron conjuntamente una investigación para examinar las circunstancias en las que se dio el hackeo y determinar las medidas de seguridad con las que contaba ALM para prevenirlo o evitarlo y examinar las prácticas de seguridad digital y protección de datos personales utilizados por la empresa al momento del ataque.

El informe final se concentra en cuatro áreas principales: seguridad de la información, retención de datos de las y los usuarios del sitio, validez de los correos electrónicos, transparencia hacia las y los usuarios. En cada uno de estos rubros, y tomando como base las leyes de privacidad de ambos países (en específico, el Australian Privacy Act de 1988 y el Canadian Personal Information Protection and Electronic Documents Act).

El informe identificó varias insuficiencias y faltas en las que la empresa incurrió, entre ellos:

  • Las medidas de seguridad eran insuficientes, sobre todo tomando en cuenta el tipo de información sensible que recababan;
  • Retenían de forma indefinida los datos de las y los usuarios (aún cuando éstos hubieran pagado por borrar sus perfiles);
  • No contaban con mecanismos de validación y autenticación adecuados;
  • Sus políticas de privacidad, términos y condiciones no eran suficientemente claros.

Adicionalmente, las autoridades canadienses y australianas lograron que ALM suscribiera una serie de lineamientos que está obligada a cumplir para apegarse a los respectivos marcos legales de ambos países y, así, garantizar la seguridad y privacidad de sus usuarios.

Todas las transacciones bancarias, con domicilios y nombres reales, nunca fueron eliminadas de la base de datos de la compañía Avid Life Media y se encuentran entre los datos filtrados.

Por su parte, la Comision Federal de Comercio de Estados Unidos (FTC) también lanzó una investigación sobre lo ocurrido. La investigación se encuentra actualmente en curso, por lo que los datos de la misma permanecen reservados y no se sabe si únicamente se enfocará a examinar la vulneración que sufrió la compañía o si también se extenderá a revisar el comportamiento de la empresa respecto a las agresivas prácticas de cobro y al uso de perfiles falsos. En un caso similar, en Octubre de 2014, la FTC multó a la compañía JDI Dating con 616,165 dólares (USD) por prácticas abusivas similares.

El Pentágono (el Departamento de la Defensa estadounidense) también investiga el asunto para averiguar si los perfiles que fueron registrados utilizando correos con una dirección militar fueron utilizados por personal en activo para engañar a sus parejas, algo prohibido en el código militar en Estados Unidos.

¿CÓMO SE HA VISTO AFECTADA LA PRIVACIDAD DE LOS MEXICANOS CON ESTA VULNERACIÓN?

En SonTusDatos examinamos la información filtrada para mostrar el impacto que puede tener entre los usuarios de Ashley Madison en México. Los datos personales han sido disociados (anonimizados) y únicamente nos referimos a proporciones y estadísticas generales.

El estudio reveló que de los más de 56 millones de usuarios, 1 millón 33 mil son usuarios registrados en México. De ellos, el 89.54% son hombres y tan sólo 10.46% mujeres, lo que confirma que Ashley Madison mintió a sus usuarios al hacerles creer que los perfiles femeninos eran abundantes.

proporcion-de-usuarios-femeninos-y-masculinos-de-ashley-madison-en-mexico
Proporción de usuarios femeninos y masculinos de Ashley Madison en México.

Otra falla de seguridad de ALM es que no requerían a los usuarios de verificar sus cuentas de correo electrónico, por lo que no es posible tener certeza completa de que los correos utilizados pertenecen a personas que se registraron en el sitio.

Lo que sí solicitaba ALM eran los datos bancarios de los usuarios que compraban créditos para leer sus mensajes o que pagaban para eliminar sus datos del sitio. Todas esas transacciones, con domicilios y nombres reales, nunca fueron eliminadas del sitio y se encuentran entre los datos filtrados por los hackers.

Los datos de registro de usuarios mexicanos abarcan cinco años, desde enero de 2010 hasta febrero de 2015. Nuestro análisis de los datos revela que en algunas fechas en particular aparecen picos anormales de registros, en especial para los perfiles de usuarios supuestamente femeninos. Fechas como abril de 2013, donde se registraron de forma inusual casi 1,200 nuevos perfiles femeninos – un incremento de 15 veces más de lo normal – podrían ser las fechas en las que se creaban las cuentas robots de Ashley Madison.

Historial de registro de nuevos usuarios femeninos en Ashley Madison en México.
Historial de registro de nuevos usuarios femeninos en Ashley Madison en México.
Historial de registro de nuevos usuarios masculinos en Ashley Madison en México.
Historial de registro de nuevos usuarios masculinos en Ashley Madison en México.

Los datos filtrados contenían información precisa de geolocalización de los usuarios. Aunque se utilizara un correo electrónico desechable, un nickname anónimo o un nombre falso, las coordenadas exactas de los usuarios eran registradas en la base de datos de Ashley Madison. El mapeo de todas estas ubicaciones nos ayudó a generar un mapa de calor de la República mexicana donde se aprecian las ciudades donde los usuarios de Ashley Madison tenían más actividad.

Mapa de distribución a nivel nacional de los usuarios de Ashley Madison en México.
Mapa de distribución a nivel nacional de los usuarios de Ashley Madison en México.

El estado de la República desde donde se conectaban los usuarios también era registrado, en la siguiente gráfica se aprecian la proporción de usuarios por cada entidad federativa en México.

Distribución por entidad federativa de los usuarios de Ashley Madison en México.
Distribución por entidad federativa de los usuarios de Ashley Madison en México.

El mismo análisis geográfico se puede aplicar enfocándolo a las ciudades mexicanas. El estudio encontró las 20 ciudades con más usuarios registrados clasificados por sexo, siendo la Ciudad de México la que más registros presentó con más de 125,000 usuarios de Ashley Madison.

Las 20 ciudades con más usuarios de Ashley Madison en México.
Las 20 ciudades con más usuarios de Ashley Madison en México.

La ubicación de los usuarios es tan precisa que es posible identificar el domicilio exacto desde donde ingresaban al sitio web. En todos los casos la dirección IP y la ubicación por coordenadas se registraban en la base de datos. Esto sin duda representa un riesgo grave para la privacidad de los usuarios. El mapa específico de la Ciudad de México muestra de forma anonimizada las zonas de la ciudad desde las cuales los usuarios tuvieron más actividad en el sitio de Ashley Madison.

Mapa de distribución de los usuarios de Ashley Madison en la Ciudad de México.
Mapa de distribución de los usuarios de Ashley Madison en la Ciudad de México.

La geolocalización no es el único método en el cual se pueden inferir otros datos personales derivados de la filtración. Un análisis de los dominios de correo electrónico de los usuarios del sitio web revela que muchos usuarios se registraron haciendo uso de cuentas de correo institucionales, laborales, de universidades y de gobierno y que permite identificarlos o inferir su identidad.

Muchos usuarios mexicanos se registraron haciendo uso de cuentas de correo institucionales, laborales, de universidades y de gobierno.

El 70% de los correos utilizados por los usuarios de Ashley Madison a nivel mundial son bajo el dominio gmail.com (27.85%), hotmail.com (23.16%) y yahoo.com (19.58%). Al analizar los correos con dominios de sitios mexicanos, los utilizados con más frecuencia son los dominios yahoo.com.mx (44.55%), live.com.mx (25.77%), prodigy.net.mx (5.93%), hotmail.com.mx (4.04%) y terra.com.mx (2.70%).

Distribución de correos electrónicos utilizados en Ashley Madison con dominios mexicanos.
Distribución de correos electrónicos utilizados en Ashley Madison con dominios mexicanos.

El porcentaje restante (17%) de correos electrónicos con dominios mexicanos muestra detalles reveladores, donde aparecen universidades, dependencias de gobierno y compañías mexicanas.

Otros correos electrónicos utilizados en menor proporción con dominios mexicanos.
Otros correos electrónicos utilizados en menor proporción con dominios mexicanos.
Correos electrónicos con dominios de entidades gubernamentales registrados en Ashley Madison.
Correos electrónicos con dominios de entidades gubernamentales registrados en Ashley Madison.

Los datos filtrados no se limitaban a correos electrónicos y ubicaciones, también fueron expuestas las fechas de nacimiento de los usuarios y datos personales como su estatura y peso.

La información de los perfiles de los usuarios, en donde se especificaba qué tipo de relación tenían y qué tipo de relación buscaban, así como sus preferencias y fantasías sexuales, también fueron expuestos.

Los datos filtrados contienen información precisa de geolocalización de los usuarios, así como qué tipo de relación buscaban y preferencias y fantasías sexuales.

La información filtrada es tan crítica que podría poner en riesgo la seguridad de los usuarios mexicanos. Al menos dos suicidios podrían estar vinculados a la vulneración del sitio Ashley Madison.  En todo el mundo, varias personas afirmaron que sus vidas y matrimonios habían sido arruinados debido a la filtración de sus datos personales como usuarios del sitio.

Delincuentes cibernéticos han aprovechado los datos filtrados de Ashley Madison para chantajear a sus usuarios. En Estados Unidos y España se tienen denuncias por clientes de la web que aseguran estar siendo extorsionados por correo electrónico. Los delincuentes les piden dinero a cambio de no informar a sus familias y su entorno laboral y personal sobre sus aventuras amorosas, la Guardia Civil española ya investiga al respecto.

LO QUE TENDRÍA QUE HACER EL INAI

La empresa ALM, como responsable de tratamiento, tiene que tomar las medidas adecuadas para asegurar la seguridad de los datos personales que recibe de sus usuarios y aceptar su responsabilidad por no haber protegido la información.

De acuerdo a los registros públicos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), hasta la fecha, la dependencia federal no ha indagado sobre el caso; tampoco ha emitido algún estudio, recomendaciones u opiniones al respecto.

El INAI debería sancionar a la empresa Avid Life Media por su responsabilidad en la filtración y proteger los derechos de los más de un millón de titulares en México cuyos datos fueron vulnerados. También tendría que informar sobre el riesgo latente de extorsiones y otros delitos de los que podrían ser víctimas debido a ello.

Referencias

By Valentín Fuentes

Valentín Fuentes es Investigador Técnico del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12”. Más información sobre Valentín: https://sontusdatos.org/staff/valentin-fuentes/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-valentin-fuentes/.

Comentarios (0)

Deja un comentario...