Bruce Scheneier daba en el clavo (EN) recientemente adelantando un problema al que muy probablemente en algún momento tendremos que enfrentarnos: Los ataques de doxing corporativos manipulados.
La idea es tan sencilla que parece hasta raro que no nos la hayan clavado con anterioridad.
Casos como el de Wikileaks o Snowden, sacando los trapos sucios de los gobiernos de medio mundo, o de Sony, exponiendo buena parte de sus conversaciones internas (y salpicando con ello buena parte de los tratados internacionales), el de Ashley Madison, ejemplificando por un lado la poca confianza que podemos delegar en un servicio de citas como este, y por otro, señalando a todos esos miles de adúlteros que hasta el momento realizaban sus fechorías de forma anónima, el de los Papeles de Panamá (ES), demostrando cómo se las apañan los que tienen dinero y pocos escrúpulos para evadir el fisco, o sin ir más lejos, la fuga de más de 500 millones de credenciales de Yahoo de la semana pasada (ES), considerada ya la mayor brecha de datos de la historia, solo demuestran que hay un interés de negocio (y quizás hasta ético) en realizar estos ataques.
El funcionamiento es siempre el mismo:
Y el fin difiere según quién esté detrás, pero habitualmente pasa por alguno de los siguientes puntos:
- Demostrar quién la tiene más grande.
- Atacar a la credibilidad y confianza que los clientes o ciudadanos tienen en esa organización.
- Utilizar esta información como medio para obtener un fin (chantaje, futuras campañas de espionaje, control de la ciudadanía,...).
El problema que se presenta entonces es que pasamos del descrédito de la organización a la confianza ciega de que quien está detrás del ataque se ampara en una suerte de ética criminal tan difusa como podríamos pensar.
Que todo ese volcado de información ha sido expuesto sin tergiversación de ningún tipo (al margen de la propia tergiversación que tiene el seleccionar qué información puede ser de interés y cuál no, quiero decir), y sobre todo, sin ninguna manipulación previa.
Hacia escenarios de doxing corporativo manipulado
Porque hubiera sido realmente sencillo modificar una de las líneas de clientes de Hacking Team para poner a ese país que nos interesa que esté relacionado con el asunto. O si me apura, a eliminar ese otro que no nos interesa.
Porque modificar los metadatos de una imagen, de un Word o un PDF lo hace cualquier script kiddie siguiendo un tutorial en la red, y el simple hecho de cambiar una fecha o el nombre de su creador puede acabar siendo relevante en las investigaciones que medios de comunicación, empresas y otros organismos vayan a realizar a posteriori.
El que nuestro email aparezca en una base de datos como la de Ashley Madison podría, como ha ocurrido anteriormente, acabar con nuestra vida (incluso literalmente (EN), ojo). Hay personas que han perdido su puesto de trabajo por una crisis reputacional semejante, ya ni hablemos de crisis conyugales y demás jaleos familiares y sociales.
Simplemente porque en efecto un dato personal estaba en una base de datos de este tipo. Simplemente porque la sociedad ha delegado su confianza ciega a una exposición de datos de este tipo.
Y aquí es donde las cosas se complican.
Porque como decía, cambiar un registro entre millones de registros de una fuga de información es técnicamente posible. Lo que se vuelve inconcebible es demostrar que ese dato en particular ha sido manipulado, ya ni digamos llegar a la conclusión de que esto ha sido así.¿Quién va a creer a una entidad cuyo nombre aparece en unos papeles que claramente atentan a su reputación cuando diga, aún con datos que lo corroboran, que realmente ellos no han tenido nada que ver con ese asunto?¿Cómo un periodista puede darse cuenta de un cambio tan mínimo como la inclusión y/o modificación de una fila entre miles de documentos?
Se delega por tanto en el buen quehacer de unos grupos que, recalco, aunque en algunos casos pueda defender sus fechorías, vienen de entornos cuanto menos con una ética un tanto laxa.
Y meto en el mismo grupo tanto ciberactivistas, cuyo interés quizás sea decir la verdad (o no, por un bien mayor) en base a unos intereses socio-políticos, cibercriminales, de quienes podemos esperar que busquen sacar tajada del asunto (con todo lo que ello supone) y agentes de inteligencia, que están al servicio unilateral de una organización.
No digo que esto ya esté ocurriendo. Afortunadamente, la realidad supera en muchos casos a la posible ficción que podamos incluir a posteriori. Pero al igual que Schneier, me pregunto cómo nos daremos cuenta de que algo así está ocurriendo cuando en efecto, sea por los intereses que sea, acabe por realizarse en ese próximo doxing corporativo.
Un doxing que hará daño a muchas organizaciones que hasta cierto punto lo merecen, pero que quizás también acabe salpicando a terceros que nada tienen que ver.
Solo porque alguien (que ni siquiera tiene por qué ser el propio grupo implicado en la exposición) ha decidido manipular sutilmente ese volcado.
Solo porque no hay más garantías que confiar en que esos datos no hayan sido corrompidos.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure