El año pasado, aparecieron noticias sobre pirateos a celebridades en todas partes después de que el ataque "Celebgate" (como lo bautizaron los medios de comunicación) comprometiera hasta 600 cuentas iCloud de figuras públicas, según señaló Celebuzz. El contenido incluía fotos personales subidas de tono de las celebridades vulneradas, que aparecieron posteriormente en el sitio del tabloide 4chan y pronto se difundieron en toda Internet.

Este año, el objetivo del ataque social de alto perfil fue Ashley Madison, sitio de citas especializado en relaciones extramaritales. Su lista de miembros fue robada y publicada en Internet, lo que atrajo de inmediato la atención de los medios para identificar celebridades entre los clientes del sitio; sin embargo, el ataque a Ashley Madison no afectó solo a los famosos. Empresas de todo Estados Unidos están preocupadas por la posibilidad de que los empleados inscritos en el sitio puedan ser objetivos de ataques de "spear phishing" o de otros tipos de ciberchantaje.

Infiltración en la vida privada

Por lo tanto, estos ataques a celebridades no se afectan solo a personas ricas y famosas. En la era de la Internet, cualquier persona puede adquirir notoriedad (y de la manera más indeseable) si sus fotos u otro contenido estrictamente privado es pirateado y publicado en línea. Estos incidentes presentan lecciones de ciberseguridad importantes para todos.

Todavía no se han publicado la mayoría de los detalles técnicos del ataque Celebgate. (El motivo es que dichos detalles ofrecerían una guía para ataques futuros). Un aspecto que vale la pena destacar es que las fotos y el resto de datos almacenados en iPhones se copian automáticamente a iCloud, el servicio de almacenamiento en la nube de Apple. Android y otros sistemas operativos móviles también guardan copias en un servicio de nube, pero por un buen motivo: para que los usuarios puedan acceder a ellos desde todos sus dispositivos. Sin embargo, este hecho constituye una vulnerabilidad potencial de la que todos los usuarios de dispositivos móviles deben ser conscientes.

El ataque tal vez no fue más que un simple juego para adivinar las contraseñas de celebridades (Apple, que disfruta de una reputación generalmente buena en términos de seguridad, reforzó la protección de la función "Olvidé mi contraseña"), o quizás involucró "ingeniería social" para engañar a los usuarios y que revelaran sus contraseñas.

Las celebridades no son las únicas víctimas posibles

Por el contrario, el ataque a Ashley Madison, parece técnicamente semejante a otros ataques a sitios web de tiendas, con la excepción de que sus consecuencias fueron distintas y el daño trascendió ampliamente a Ashley Madison. El objetivo de los ataques dirigidos a establecimientos minoristas normalmente es robar información de tarjetas de crédito, que para los cibercriminales es como oro. Por el contrario, el objetivo del ataque Ashley Madison era simplemente avergonzar a las personas y, para lograrlo, publicaron en Internet millones de correos electrónicos de los clientes de este sitio.

Aunque la lista de miembros incluía direcciones de correo electrónico de numerosas celebridades, Ashley Madison no verificó ni confirmó estas direcciones y pocas (si hubo alguna) parecían reales. Hasta ahora, Josh Duggar (del programa de telerrealidad 19 Kids and Counting) es la celebridad de más alto perfil que ha admitido estar implicada en el escándalo, pero con toda seguridad no es la única que padeció sus consecuencias. Sin embargo, según informó Infoworld, la falta de confirmación por parte de las celebridades afectadas no ha impedido que el ataque resulte altamente preocupante, no solo para las personas cuyas direcciones de correo electrónico reales están en la lista, sino también para empresas y organizaciones cuyos empleados se inscribieron en el sitio y ahora pueden resultar expuestos a ataques de "ingeniería social" y chantaje de alta tecnología.

Ingeniería social y vulnerabilidad humana

"Ingeniería social" es el término que los expertos en ciberseguridad utilizan para referirse a los ataques que se aprovechan del factor humano. Un ejemplo bastante común es el "spear phishing", es decir, cuando un cibercriminal envía un correo electrónico (presuntamente procedente de un amigo o compañero de trabajo) que contiene enlaces a un sitio web o archivo de naturaleza maliciosa. La víctima incauta hace clic en el enlace, lo que permite que el malware infecte su dispositivo y extraiga datos confidenciales.

Lo que preocupa a las organizaciones es que cualquier empleado cuyo correo electrónico estaba en la lista de Ashley Madison ahora puede quedar expuesto a correos electrónicos de spear phishing presuntamente procedentes de abogados o investigadores privados. En este caso, los atacantes no necesitan molestarse por establecer un contacto personal y amistoso para captar a sus víctimas. El temor a la exposición y la necesidad desesperada de protección de la víctima bastan para que hagan clic en un enlace, lo que permite a los atacantes infiltrarse y buscar contraseñas u otros datos que también pueden aprovechar.

En la era de la movilidad, se puede piratear cualquier dispositivo con conexión a Internet. ¡Es muy importante establecer contraseñas seguras!

Tweet: En la era de la movilidad, se puede piratear cualquier dispositivo con conexión a Internet. ¡Es muy importante establecer contraseñas seguras! ¡Retuitea esto!

Ten cuidado con los ataques de ingeniería social y piensa dos veces antes de hacer clic en enlaces inesperados o inusuales incluidos en correos electrónicos. Los ricos y famosos no son los únicos objetivos en la nueva era de ataques a celebridades.

Otros documentos y enlaces relacionados con las amenazas contra la seguridad de los dispositivos móviles