La publicación de la base de datos completa de usuarios de Ashley Madison, una página dedicada a promoción de las aventuras extramaritales, es una prueba muy directa y evidente del precio que tiene hacer las cosas mal, no tanto por el posible juicio moral de lo que supone su actividad, que es algo que no me voy a dedicar a hacer, sino por lo importante de las buenas prácticas a la hora de plantear negocios de cualquier tipo en la red, dice
Enrique Dans, Profesor en Sistemas de informacion del IE Business School.
Finalmente, la amenaza a la empresa propietaria, Avid Life Media, de publicar la base de datos completa si no cerraba completamente las páginas Ashley Madison y Established Men se ha cumplido, y los sesenta gigabytes de datos de treinta y tres millones de cuentas, cuya autenticidad se ha podido verificar, son ya accesibles en modo búsqueda: basta acceder a esta página e introducir un correo electrónico para ver si estaba incluido en la base de datos de la compañía.
Las consecuencias puede ser importantes, no solo para la compañía (en imagen de marca y en posibles juicios de responsabilidad civil), sino también para sus usuarios. Una intrusión y un robo de información manifiestamente pequeño con respecto a otros anteriores en otras compañías, pero que toma una importancia muy diferente debido a lo potencialmente sensible de los datos obtenidos, dada la actividad de la compañía. De nuevo, juicios morales al margen, es preciso entender que la compañía lo hacía mal en todos los sentidos: no solo gestionaba una base de datos para una actividad cuestionable sin hacer ningún tipo de comprobación, lo que implica que cualquier dirección de correo puede estar incluida en ella sin que necesariamente hubiese sido su propietario el que la incluyó, sino que además, la compañía cobraba por un servicio extra de “borrado total” que tampoco ha cumplido. El tipo de datos publicado incluye no solo nombres y correos electrónicos, sino también una importante cantidad de información personal: incluso si un usuario se abrió la cuenta con un nombre falso y una dirección de correo diferente, podría ser eventualmente identificado en función de respuestas personales de diversos tipos. Y no, no intentes contratar a un supuesto hacker para que borre tu nombre de la base de datos… solo estarías siendo estafado.
La publicación de la base de datos abre una más que relevante discusión sobre el tipo de responsabilidades que debemos demandar a quien lleva a cabo una determinada actividad en la red: nadie está a salvo de una intrusión y un robo de información, como nadie lo está de que entren físicamente en su casa o negocio dados los incentivos adecuados, pero se debería poder suponer un cierto nivel de protección al menos acorde con la importancia del contenido. En este caso, todo se hizo mal: los cifrados eran débiles, las malas prácticas eran evidentes, y la actividad era además publicitada con todo tipo de connotaciones que podían llevar fácilmente a convertirla en objetivo. Su propio fundador, el canadiense Noel Biderman, había bromeado en público acerca de las potenciales consecuencias negativas de una hipotética publicación de su base de datos, pero obviamente no tomó decisiones acorde con la importancia que el tema podía llegar a tener.
¿Cuál debería ser la responsabilidad de un sitio que promueve una actividad anunciándola como sujeta a todo tipo de garantías de seguridad, pero que actúa con total irresponsabilidad a la hora de poner en práctica esas garantías? Además de hacer frente a una inmediata – y totalmente lógica – caída de su actividad y muy probablemente a su desaparición, la compañía se encontrará sin duda con un aluvión de denuncias de todo tipo referentes a sus más que demostrables malas prácticas, y a las supuestas garantías, tanto en su publicidad como de manera expresa en sus servicios ofertados como tales, de una discreción que solo lo era de manera supuesta, y que no resistía ningún tipo de prueba. Tratar ahora de hacer un absurdo e inútil uso de los derechos de autor para evitar la publicación y difusión de su base de datos solo prueba cómo de idiotas pueden llegar a ser en esa compañía y cómo de inadaptada está la legislación de propiedad intelectual. Discutir ahora sobre si el robo de datos de Ashley Madison es un acto criminal o un caso de activismo derivado de la actividad de la compañía y del abierto sexismo que parecía promover es completamente inútil: lo relevante es hablar del precio que tiene hacer las cosas mal.
