Desde hace unas cuantas semanas en el entorno de la ciberseguridad hay un tema sobre el que todo el mundo habla, que ha producido multitud de reacciones diferentes y que incluso ha traspasado a otros ámbitos de la sociedad. El ciberataque a Ashley Madison.
Ashley Madison es una web de citas y red social para adultos, dirigida a gente con pareja y casada, a través de la cual se facilitan los encuentros para cometer infidelidades. Sus usuarios rondan los 40 millones en todo el mundo.
¿Qué ha ocurrido? El grupo de hackers llamado Impact Team accedió en julio a su base de datos, robando cientos de gigabytes sobre la organización, y conversaciones, direcciones, fotos y datos personales sobre los usuarios registrados en la web.
¿Cuál es el motivo? Según Impact Team, el ataque es una forma de ajusticiamiento de las malas prácticas empresariales llevadas a cabo por la empresa, entre ellas el engaño a sus usuarios, o la poca seguridad en sus comunicaciones, pero es muy probable que los motivos fueran principalmente económicos, ya que se exigió también cerrar la web a cambio de no publicar los datos robados.
¿Cuáles son las consecuencias? Tras la negativa a cerrar el portal, Impact Team liberó 10 gigas de información, que ya se encuentran a disposición de todos los internautas. Información con la que diferentes ciberdelincuentes ajenos al ataque intentan en estos momentos extorsionar a los afectados que han visto sus datos publicados.
¿A quién afecta? El primer afectado es Ashley Madison, por la pérdida de credibilidad, la publicación de sus graves fallos de seguridad a la hora de almacenar la información, y por engañar a sus usuarios. Pero por otro lado, se ven claramente afectados los usuarios cuyos datos personales aparecen en la web, sufriendo multitud de ataques o viendo como sus cuentas bancarias son publicadas sin opción de poder eliminarlas de la red.
¿Qué medidas se están tomando? Actualmente ya se está ofreciendo una recompensa para la persona que aporte información sobre la identidad de los atacantes, o cualquier dato que pueda ayudar a que la investigación avance. También se está intentando eliminar la información colgada en la red, y se está ofreciendo apoyo desde las instituciones de cada país a los usuarios que se encuentran en riesgo al ver sus datos personales publicados.
Ha sido sin lugar a dudas el ciberataque de hacking y acceso a unos servidores más grave de los últimos años, pero frente a otros sucesos similares ocurridos en el pasado, éste se ha transformado para todas las víctimas en un problema de ciberextorsión que afecta a estas personas en el ciberespacio.
En el mundo físico, la extorsión es la conducta por la que se obliga a una persona, mediante el uso de la violencia o intimidación, a realizar u omitir algún acto en perjuicio propio o ajeno, normalmente de carácter económico. Pero en internet, la ciberextorsión consiste en el mismo acto, de uso de violencia o intimidación, aplicada a través de los medios informáticos, de manera que se consiga que la víctima realice un acto en perjuicio propio o ajeno, tramitado a través de la web. El infractor y la víctima no tienen contacto directo más allá del realizado por las redes.
Entre las conductas más comunes de ciberextorsión se encuentra el bloqueo del ordenador personal bajo petición de rescate económico, el secuestro de acceso a teléfonos móviles , también el bloqueo de cuentas personales en diferentes redes sociales, y como en este caso, las amenazas de publicación de información obtenida de la víctima.
La ciberextorsión plantea una dificultad común al resto de ciberconductas que se pueden dar en internet: Es un ciberproblema que afecta a las personas en el ciberespacio, para el cual no existe un ordenamiento jurídico aplicable, ni existe un tribunal competente capacitado para juzgar los actos cometidos. Los ciberdelitos no tienen un lugar claro y territorial donde se producen, por este motivo con los ordenamientos jurídicos actuales no se puede actuar con eficacia.
Con todo, la ciberextorsión puede ser perseguible en aquellos ordenamientos en los que se pueda identificar un lugar de origen de la conducta y un autor. Así es el caso de España, donde es una conducta perseguible a través del delito contemplado en el Código Penal de extorsión del artículo 243, castigada con una pena de prisión de 1 a 5 años. Pero sin duda de cara al futuro, como ciberconducta, requerirá la superación de las barreras territoriales que condicionan a los ordenamientos jurídicos a aplicarse a un territorio concreto delimitado por fronteras físicas.
Álvaro Écija (@Alvaro_ecija)
Managing Partner at Ecix Group (@EcixGroup)
Leave a Comment