El movimiento ciberpirata «Anonymous» afirmó ayer que ha robado miles de números de tarjetas de crédito y diversa información personal de clientes del instituto de estudios de seguridad estadounidense Stratfor.
Un ciberpirata dijo que el objetivo era robar dinero de cuentas individuales para realizar donaciones navideñas, y algunas víctimas confirmaron transacciones no autorizadas que estaban vinculadas con sus tarjetas de crédito.
Anonymous alardeó que se robó la lista confidencial de clientes de Stratfor, la cual incluye entidades que van desde Apple Inc. hasta la Fuerza Aérea de Estados Unidos pasando por el Departamento de Policía de Miami, y que le extrajo más de 4.000 números de tarjetas de crédito, contraseñas y domicilios personales.
Stratfor, con sede en Austin, Texas, ofrece análisis políticos, económicos y militares para ayudar a sus clientes a reducir riesgos, de acuerdo con una descripción en su página de YouTube. Cobra a los suscriptores por sus reportes y análisis, enviados a través de internet, correos electrónicos y vídeos. La principal página de internet de la compañía no estaba funcionando y presentaba una leyenda que decía: «el sitio está actualmente en mantenimiento».
La información exclusiva sobre las compañías y agencias gubernamentales suscritas a los boletines de Stratfor no parece estar en un riesgo significativo. Sin embargo, la principal amenaza es contra los empleados que se habían suscrito.
«Â¿Ya no son tan privados ni secretos?», se mofó el grupo en Twitter, prometiendo que el ataque a Stratfor fue apenas el inicio de un asalto inspirado en la Navidad contra una larga lista de objetivos.
Anonymous dijo que la lista de clientes que ya publicó es una pequeña parte de los 200 gigabytes que extrajo de Stratfor y prometió más filtraciones.
Agregó que fue capaz de conseguir los detalles de las tarjetas de crédito en parte porque Stratfor no se molestó en encriptarlos —una falla fácil de evitar que, si resulta cierta, sería un bochorno mayúsculo para cualquier compañía de seguridad.
Fred Burton, vicepresidente de inteligencia en Stratfor, dijo que la compañía había reportado la intrusión a las autoridades y estaba colaborando en la investigación. Stratfor tiene protecciones implementadas para prevenir dichos ataques, aseguró.
«Pero creo que los ciberpiratas viven en este tipo de mundo en el que alguna vez que se fijaron en ti o intentan atacarte es extraordinariamente difícil defenderte», explicó Burton.
Horas después de publicar lo que según ellos es la lista de clientes de Stratfor, Anonymous publicó en Twitter un vínculo a archivos encriptados en línea con nombres, número telefónicos, correos electrónicos, domicilios y detalles de cuentas de tarjetas de crédito.
«Â¿No son tantas como esperaban? No se preocupen, compañeros piratas y robin hoods. Esta es apenas la ‘A»’, decía el mensaje que alentaba a los lectores a bajar el archivo de la información robada.
El ataque es «sólo otro en una larga cadena de grietas que hemos detectado este año y en años pasados», dijo Josh Shaul, director de tecnología de Application Security Inc., una firma con sede en Nueva York de software de seguridad de bases de datos.
«Si un atacante se va con tanto, debe haber muchos jugosos bits de información en su poder», consideró Shaul.
Anonymous colocó además un enlace a imágenes en línea con la insinuación de que eran recibos de donaciones caritativas hechas por el grupo mediante la manipulación de la información de tarjetas de crédito que sustrajo. También presentó un vínculo en Twitter a un sitio que contenía el correo electrónico, el número telefónico y la información de crédito de un empleado del Departamento de Seguridad Nacional.
El empleado, Cody Sultenfuss, dijo que no recibió advertencias antes de que se publicasen los detalles.
«Â¡Gracias! Agencia de la Inteligencia de Defensa», se leía en un texto sobre una imagen que parecía mostrar un resumen de transacciones para indicar que la información de un empleado de ese organismo fue usada para donar 250 dólares a una entidad no lucrativa.
Un recibo —sobre la Cruz Roja Estadounidense— llevaba el nombre de Allen Barr.
Barr, de Austin en Texas, se retiró recientemente del Departamento de Banca de Texas y dijo que el viernes pasado descubrió que un total de 700 dólares habían sido tomados de su cuenta. Barr, que durante más de una década combatió a la ciberdelincuencia en bancos, dijo que en total se hicieron cinco transacciones.
Stratfor dijo en un correo electrónico a miembros, firmado por su director George Friedman y entregado a la AP por suscriptores, que había contratado un «prominente servicio de monitoreo y protección contra robo de identidad» en nombre de integrantes afectados por el ataque.
Stratfor reconoció que una «parte no autorizada» había relevado información personal y datos de tarjetas de crédito de algunos de sus miembros. En un correo electrónico anterior, le comunicó a clientes que había suspendido sus servidores y correo electrónico al enterarse del ataque.
Un integrante del grupo ciberpirata, que se denomina AnonymousAbu en Twitter, afirmó que más de 90.000 tarjetas de crédito de fuerzas de seguridad, de la comunidad de inteligencia y periodistas —»cuentas de ejecutivos/corporativos de personas como Fox» News — fueron sustraídas y usadas para «robar un millón de dólares» y hacer donaciones. Fue imposible de momento verificar detalles de la aseveración.
Anonymous advirtió que tiene «suficientes blancos para extender la diversión navideña durante toda la semana».
El grupo se ha atribuido previamente ataques cibernéticos a compañías como Visa, MasterCard y PayPal, además de otras del sector de la música, así como a la Iglesia de Cienciología.
Fred Burton
Vicepresidente de inteligencia en Stratfor