La empresa de Seguridad Informática Trend Micro publicó en un informe que los usuarios de Ashley Madison estaban siendo chantajeados online. Buscando en los archivos filtrados de la página web, los investigadores identificaron varias docenas de perfiles del controvertido site que utilizaban direcciones de correo electrónico que pertenecían a honeypots de Trend Micro.
Los perfiles en sí eran bastante completos: todos los campos obligatorios como sexo, peso, altura, color de ojos, color de pelo, complexión, estado civil y las preferencias de citas estaban allí. El país y la ciudad especificada se ajustaban a la longitud y latitud de la información de la dirección IP. Casi la mitad de los perfiles (43%) tenían datos escritos en la lengua materna de sus supuestos países.
Los honeypots son sistemas informáticos diseñados para atraer a los atacantes. Trend Micro tiene este tipo de herramientas sobre los servicios de correo electrónico con el objetivo de atraer spam. Detectan los emails relacionados con farmacias dudosas, estafas de lotería, príncipes nigerianos y otros tipos de mensajes no deseados y
potencialmente dañinos o generadores de estafas. Cada honeypot está diseñado para recibir mensajes, no responder y generar alertas.
¿POR QUÉ APARECIÓ ASHLEY MADISON EN UN HONEYPOT?
La respuesta más simple y directa es: alguien ha creado los perfiles en Ashley Madison utilizando las cuentas de correo electrónico del honeypot.
El proceso de registro de Ashley Madison requiere una dirección de correo electrónico, pero en realidad no comprueba si es válida, o si el usuario registrado es el dueño real. Una sencilla activación de la URL enviada a la dirección de correo electrónico es suficiente para verificar la propiedad, mientras que un CAPTCHA durante el proceso de registro elimina a los robots para creación de cuentas. Ambas medidas de seguridad están ausentes en el site de Ashley Madison.
¿QUIÉN CREÓ LAS CUENTAS, BOTS AUTOMATIZADOS O HUMANOS?
Al analizar la base de datos filtrada, Ashley Madison registra la IP de los usuarios inscritos utilizando el campo signupip. El responsable de investigación de amenazas de Trend Micro, Ryan Flores, procedió a reunir todas las direcciones IP utilizadas para registrar las cuentas honeypot de correo electrónico de Trend Micro, y comprobó si existían otras cuentas inscritas usando esas IPs.
Logró reunir con éxito cerca de 130 cuentas que compartían la misma signupip con las cuentas de correo electrónico honeypot de Trend Micro. Las direcciones IP por sí solas no son suficientes. El siguiente paso fue comprobar si había signos de un gran volumen de registros, lo que significaba que se produjo la inscripción de varias cuentas desde una única IP en un corto período de tiempo.
Al hacer eso, Trend Micro se encontró con varios grupos de interés.
Para obtener la fecha límite en las tablas anteriores, se utilizó el campo updatedon, porque el campo createdon no contiene una fecha y hora para todos los perfiles.
Flores también observó que, curiosamente, el createdon y updatedon de estos perfiles son en su mayoría el mismo.
En los grupos anteriores, varios perfiles fueron creados a partir de una sola IP, con las marcas horarias separadas por pocos minutos. Por otra parte, parece que el creador es un humano, no un robot. La fecha de nacimiento (campo dob) se repite (los robots tienden a generar más fechas al azar en comparación con los humanos).
Otra pista fueron los nombres de usuario creados. Se usó “AVEE” como un prefijo común entre dos nombres de usuario. Hay otros perfiles en el conjunto de muestras que comparten características similares. Dos nombres de usuario, “xxsimone” y “Simonexxxx”, ambos fueron registrados desde la misma IP, y ambos tienen la misma fecha de nacimiento.
A partir de estos datos se puede concluir que los perfiles fueron creados por humanos.
¿CREÓ ASHLEY MADISON LAS CUENTAS?
Tal vez, pero no directamente. Las IPs signup utilizadas para crear los perfiles se distribuyen en varios países y en las líneas DSL de consumo. Sin embargo, la duda radica en la distribución de género. Si Ashley Madison hubiese creado los perfiles falsos utilizando los correos electrónicos honeypot, ¿no deberían ser la mayoría mujeres, para que puedan utilizarse como “ángeles”? Según pudo comprobarse, sólo alrededor del 10% de los perfiles con direcciones honeypot corresponde a mujeres.
Los perfiles también mostraron un patrón extraño en su año de nacimiento, ya que la mayoría de ellos tenían una fecha de 1978 o 1990. Se trata de una distribución extraña y sugiere que las cuentas fueron creadas para estar en un rango de edad previamente especificado.
Considerando la fuga de datos que sufrió Ashley Madison, parece que participó activamente en la externalización de la creación de perfiles falsos. La distribución por países de los perfiles falsos y el sesgo hacia un determinado perfil de edad sugiere que las cuentas honeypot de correo electrónico fueron utilizadas por creadores de perfiles trabajando para Ashley Madison.
SI NO FUE ASHLEY MADISON, ¿QUIÉN CREÓ ESTOS PERFILES?
¿Hay algún otro grupo que se beneficiaría de la creación de perfiles falsos en un site como Ashley Madison? La respuesta es bastante simple: foros y comentarios de spammers. Estos spammers son conocidos por crear perfiles de sitios web y contaminar las conversaciones del foro y entradas del blog con comentarios de spam. Los más avanzados son capaces de enviar mensajes directos de spam. Al ver que Ashley Madison no implementaba medidas de seguridad, tales como el correo electrónico de activación de cuenta y de captcha para protegerse de estos spammers, existe la posibilidad de que al menos algunos de los perfiles fueran creados por estos spambots.
¿QUÉ SIGNIFICAN LOS RESULTADOS? ¿DEBE PREOCUPARNOS?
Supongamos que, conscientemente, una persona nunca se inscribió en un sitio como Ashley Madison. Entonces, es lógico pensar que debería estar a salvo de todo esto. La realidad es que no. Muchos de estos perfiles falsos fueron creados usando cuentas de correo electrónico válidas, es decir, direcciones de correo electrónico que pertenece a una persona real, no a un honeypot. Esas direcciones eran conocidas por los spambots y creadores de perfiles porque estaban incluidas en una larga lista de repositorios de direcciones de correo electrónico de spammers (así es como el honeypot de correo electrónico de Trend Micro tiene un perfil de Ashley Madison).
Por lo tanto, si una dirección de correo electrónico está en algún lugar de la World Wide Web, ya sea que aparezca incluida en una página web o en su perfil de Facebook, su dirección de email está en riesgo de verse manipulada y ser incluida en una lista disponible tanto para envíos de correo electrónico tradicional como para spammers.
Con toda la controversia en torno al hackeo de Ashley Madison, la posterior humillación de sus “miembros” y los intentos de chantaje, mantener la dirección de correo electrónico oculta al público no sólo evitará la molestia de recibir correos electrónicos de los príncipes nigerianos, sino también de verse en situaciones desagradables como esta.
