Ourmine

¿Qué puede llevar a un grupo de personas especializadas en seguridad a atacar las cuentas de personajes célebres, tanto dentro del mundo de la tecnología como fuera de él? Pueden existir muchas motivaciones y de todo tipo, aunque el fin último casi siempre sea el dinero. En el caso que nos ocupa, muchos expertos apuntan a la búsqueda de notoriedad. Estamos hablando de OurMine, el grupo que recientemente se ha hecho popular gracias a hackear cuentas de gente tan conocida como Mark Zuckerberg, Dick Costolo (ex-CEO de Twitter) o Sundar Pichai (CEO de Google).

Quienes son OurMine

No está claro desde cuando llevan en activo, aunque fue desde mediados de 2015 que empezaron a recibir atención por parte de los medios especializados. Han reclamado ser los causantes de varias filtraciones y ataques DDOS, como uno a Wikileaks que causó rechazo entre diferentes colectivos, sobre todo entre las filas de Annonymous.

Desde principios de este año, parecen haber puesto el punto de mira en las celebridades: exitosos canales de YouTube, el músico Deadmau5 y ahora una oleada de personalidades del mundo de la tecnología.

En Wired tuvieron la oportunidad de conversar con uno de los miembros de este grupo, que ha permanecido en el anonimato. Según él, son un equipo formado por tres personas, pero no dio ningún dato más como nombres, alias o localización. Se definen como un grupo de seguridad que solo están «intentando que todo el mundo sepa que nadie está seguro» online y dejan claro que no se ven a sí mismos como hackers de sombrero negro.

Como muestra de esto último, el portavoz de OurMine señaló que no habían cambiado ninguna de las contraseñas que se vieron comprometidas en sus ataques lo cual sí parece en principio una muestra de buena voluntad y de que en realidad sus intenciones se corresponden con lo que dicen. Ante la pregunta de Wired de por qué no informaron a las víctimas de sus ataques sobre sus vulnerabilidades de manera privada, respondió que les ignoraron, así que tuvieron que probárselo. Y añadió que «no han hecho nada malo».

Estas presuntas buenas intenciones se enturbian cuando, en su sitio web, se pueden ver ofertas de servicios de seguridad con cosas como chequeos de seguridad de sitios web por 1.000 dólares o de toda la presencia online de una compañía por 5.000. A pesar de ello, el mencionado portavoz le dijo a Wired que «no necesitamos dinero, pero vendemos servicios de seguridad porque hay mucha gente que quiere chequear su seguridad».

Dudas acerca de sus habilidades

ourmine-servicios

Algunas de las investigaciones realizadas posteriormente a los hackeos han revelado contradicciones con los métodos que expresan desde OurMine haber empleado.

Por ejemplo, el miembro anónimo de OurMine declaró que consiguieron publicar en el Twitter de Sundar Pichai a través de su cuenta de Quora, ya que ambos servicios están conectados. Y que lograron entrar a este último gracias a una vulnerabilidad web que ya habían reportado. Sin embargo, un representante de Quora dijo que no hay ningún registro de ningún reporte de seguridad realizado por OurMine y que está seguro de que no se accedió a esa cuenta por ningún fallo en sus sistemas.

Pero si no es así, ¿como lograron acceder? En Quora tienen su propia hipótesis: contraseñas repetidas. Recientemente, han circulado por la Dark Web una gran cantidad de credenciales robadas. En ese listado, habría una una credencial de Sundar Pichai y este habría utilizado la contraseña que figuraba en ella también para su cuenta de Quora.

¿Cómo? ¿El mismísimo CEO de Google rompiendo una de las normas más básicas de seguridad? Pues no suena descabellado, sobre todo si tenemos en cuenta que parece ser que esa fue la misma razón por la que las cuentas de Mark Zuckerberg en Twitter y Pinterest fueron hackeadas por este mismo grupo.

Otra contradicción más: las cuentas de Twitter de Werner Vogels, vicepresidente de Amazon, y Randi Zuckerberg, hermana del fundador de Facebook. Según OurMine, las hackearon aprovechándose de una vulnerabilidad en Bit.ly, servicio con el que estaban vinculadas. Bit.ly negó a Wired que esto ocurriese y, al mismo tiempo, hicieron referencia al problema de las contraseñas filtradas y reusadas en diferentes servicios.

Para terminar, hay otra cosa que invita a dudar un poco acerca de los logros de OurMine. Según ellos, han conseguido ganar $ 18.400 con sus servicios de seguridad y, para demostrarlo, le mostraron a Wired una captura de pantalla de su cuenta de PayPal con pagos por valor de $ 5.000 realizados por las empresas Conversely y TruthFinder. La captura daba la impresión de haber sido modificada y desde Conversely les dijeron a Wired que «esa captura es fraudulenta. Nunca hemos oído hablar de OurMine hasta ahora y definitivamente jamás compraríamos un servicio semejante». Desde TruthFinder no han hecho declaraciones hasta el momento.

Si bien las declaraciones de las empresas contradicen las afirmaciones de OurMine, también es cierto que podría ser que las compañías no estuviesen diciendo la verdad para proteger su reputación. Ahora bien, esto no es que sea algo usual en lo referente a seguridad. Cuando hay una brecha y se filtran datos, las empresas tienden a reconocerlo y ponerse manos a la obra para controlar los daños y corregir los errores, pues esto es más efectivo que negarlo y que luego te pillen en falta.

Las lecciones

contrasena-password

Sean sus métodos sofisticados o no, siendo hábiles a la hora de descubrir y aprovechar vulnerabilidades o tan solo ingeniosos y astutos al sacarle partido a información filtrada con anterioridad, el caso de OurMine nos deja algunas lecciones.

La primera de ellas es que tienes más probabilidades de convertirte en objetivo de ataques si eres alguien famoso. Esto no es nuevo, pero creo que merece una reconsideración por parte de más de uno. La filtración de información de una celebridad, sin importar cual sea su campo, siempre recibirá más atención mediatica que cualquier otro ataque, así se cuelen cientos de miles de credenciales.

La segunda está relacionada con el método más probable que han empleado, el de las contraseñas viejas. Nunca, en ningún momento, se deben repetir contraseñas entre cuentas. Sí, claro, es fácil decirlo pero difícil hacerlo, especialmente cuando eres alguien aficionado o profesional en el mundillo tecnológico, que termina teniendo cuentas esparcidas por cuanto nuevo servicio aparece. Pero aún más razón para poner especial empeño en no repetir un dato tan sensible. Como se ha visto en el caso de Zuckerberg, por muy prescindible que sea para nosotros el servicio vulnerado, siempre puede conducir a alguna parte donde provocar un daño más grave.

Imagen: geralt