Cómo proteger sus cuentas en Internet [Premio periodístico ESET]

Hoglund, fundador de la compañía estadounidense HBGary Federal, que asesora a gobiernos y empresas en temas de seguridad en Internet, notó el 6 febrero de este año que algo estaba mal cuando no pudo entrar a su cuenta de correo corporativo de Google. Alguien había tomado el control de su correo y había cambiado la contraseña.

Para cualquier persona esa es una situación complicada, pero es especialmente bochornosa para alguien que se gana la vida protegiendo a las organizaciones de acciones como esta. Hoglund pidió ayuda al soporte técnico de Google para cerrar la cuenta, pero ya era demasiado tarde: los hackers, del grupo Anonymous, se habían adueñado de 60.000 mensajes de correo personales y de su empresa, los cuales hicieron públicos en Internet.

Ellos aprovecharon una vulnerabilidad del software del sitio web de HBGary Federal y consiguieron una lista encriptada de los nombres de usuario y passwords de los empleados, que lograron decodificar porque la contraseña maestra era débil. Pero el mayor daño se produjo porque Hoglund y otros ejecutivos de su empresa habían cometido una falta imperdonable, especialmente para cualquiera que se considere experto en seguridad: habían usado las mismas contraseñas para múltiples cuentas (correo laboral, correo personal, redes sociales, etc.).

Gracias a ello, los hackers saltaron fácilmente de cuenta en cuenta. Eso no sólo les permitió burlarse de Hoglund y de otros empleados de la firma en sus propias cuentas de Twitter, sino que les dio acceso a correos en los que se revelaba que HBGary Federal había ofrecido a entidades como la Cámara de Comercio de Estados Unidos y el Bank of América el servicio de inteligencia y espionaje por Internet en contra de grupos opositores, entre ellos gente que apoyaba a WikiLeaks. Esos servicios nunca se usaron, pero el solo hecho de haberlos considerado desató un escándalo que hizo que Hoglund perdiera los contratos de varios de sus principales clientes; además, él, sus empleados y sus familias recibieron una avalancha de agresiones y amenazas –incluso de muerte– por teléfono e Internet.

Pero los hackers no se contentaron con eso. También divulgaron correos personales de Hoglund y de Aaron Barr, uno de los empleados de la empresa, con quien se ensañaron porque él había aparecido en varios medios anunciando que había descubierto las identidades de varios de los miembros de Anonymous y que pronto las daría a conocer. Los hackers publicaron fotos personales de Barr y detalles privados sobre su familia.

Pero Barr y el presidente de HBGary Federal todavía podían caer más bajo: desesperados por la situación, pasaron por la vergüenza de pedir clemencia a Anonymous en algunos chats de Internet. La petición no fue aceptada por los hackers, quienes respondieron publicando correos confidenciales en los que se revelaban vulnerabilidades en los sistemas de varios clientes de HBGary Federal, entre ellos empresas como Sony, Johnson & Johnson y Disney.

Barr renunció a la empresa en mayo pasado y Hoglund, quien tenía una alta reputación como experto en seguridad (él mismo era considerado un hacker, de los buenos), ahora lucha por recuperar su prestigio y el de su compañía.