Como muchos de los lectores habituales de Macuarium habrán notado este sábado, Macuarium ha estado caído. Lo que quizá no sepan es que esa caída se debe al ataque más serio que hemos sufrido en más de cinco años. Y que ése ataque tiene consecuencias para los usuarios.


Para resumir: aprovechando una vulnerabilidad muy reciente en el software sobre el que funcionan los foros de Macuarium (software que es probablemente el más prestigioso del mercado), alguien se ha infiltrado asumiendo el rol de administrador; ha bloqueado al resto de los administradores; ha introducido un script en las páginas de los foros que invocaba un virus (para Windows) al cargar la página; ha lanzado spam a los usuarios desde el propio Macuarium… y se han descargado el listado de usuarios de Macuarium. Este listado contiene los emails de registro y los nicks y claves (eso sí, esto último se guarda encriptado), y cualquier información pública que hayan añadidolos propios usuarios, como sus cumpleaños y hobbies. Finalmente han borrado el log de administración para que no se sepa qué han hecho.

El sistema de foros es  sólo una parte de Macuarium, y los sistemas de seguridad del servidor son muy sólidos. El hackeo sólo ha afectado al software de los foros; no han salido de él. En cuanto se han detectado los síntomas de lo que estaba pasando, los administradores han recuperado el control, cerrado los foros para evitar contaminaciones, y desinfectado el sistema. Se ha eliminado el script malicioso, se ha borrado el perfil del hacker, se han recuperado los usuarios legítimos, y se ha verificado que no hay riesgos para la seguridad del servidor (puertas traseras, otras sorpresas) o de los usuarios. Y por supuesto, se ha cerrado la vulnerabilidad del software de los foros.

¿En qué me afecta?

Para los usuarios de Macuarium, las consecuencias son dos:

– Un hacker tiene un listado de 35.000 direcciones que, con toda probabilidad,  venderá a empresas y anunciantes sin escrúpulos. Eso significa que recibiremos más spam. Por suerte o por desgracia, éso no va a suponer ningún cambio relevante para la inmensa mayoría de nosotros.

– El hacker ha enviado spam desde Macuarium mientras suplantaba a un administrador. Aunque el proceso de envío ha sido abortado cuando hemos recuperado el control, varios miles de usuarios habrán recibido un email comercial bastante absurdo.

Para los lectores que hayan entrado en Macuarium usando Windows esta sábado, ha existido un riesgo de infección por virus.

¿En qué no me afecta?

Como sabéis, Macuarium no usa datos personales de sus usuarios: nadie puede relacionar un nick de usuario con una persona concreta, no recogemos direcciones ni teléfonos en el sistema de foros. Dicho de otro modo, la intimidad de todos nosotros sigue tan a salvo como estaba.

Además, las claves de los usuarios se guardan encriptadas; el que se haya bajado los datos no podrá verlas ni suplantarnos (salvo que tenga el tiempo y la artillería pesada suficientes para romper la encriptación). Eso sí, nunca estará de más cambiarlas.

Por supuesto, en esa base de datos no está ningún dato sensible o personal. Los de los titulares de la Tarjeta, por ejemplo, no se guardan en el servidor.

Finalmente, las páginas de los foros de Macuarium ya no contienen ningún script malicioso: son seguras, incluso para los que usan Windows.

¿Porqué ha pasado ésto?

Sólo podemos especular, pero la especulación está bastante bien formada. Aparentemente, la comunidad de Macuarium es el sistema de foros más notorio de los basado en el software de que tenía la vulnerabilidad (primera posición en Google cuando se busca esa versión del software). Eso ha hecho que un hacker, aparentemente buscando direcciones de email para vender, se haya fijado en nosotros.

La vulnerabilidad acaba de anunciarse; Macuarium se actualiza casi inmediatamente siempre, pero esta vez han corrido más que nosotros.

La solidez de las defensas de Macuarium nos permite afirmar que el ataque no ha pasado del sistema de foros, así como detenerlo y eliminar sus efectos sobre la marcha. Igualmente, estamos trabajando en localizar al atacante; por curiosidad, y para poder poner en manos de las autoridades toda la información pertinente.

No es el primer ataque que sufrimos. Los que tienen buena memoria recordarán distintos ataques DoS. Eso sí, es la primera vez que una parte de Macuarium es hackeada con éxito.

Por desgracia, el software es vulnerable, y las vulnerabilidades aparecen cada poco tiempo. Hemos tenido la suerte (y la eficacia: los que llevan la parte de software de Macuarium se parten los dientes para tenerlo a prueba de bomba) de que hasta ahora, los cacos no habían encontrado un sólo resquicio para entrar en la casa. Hoy lo han encontrado.

Y ahora, ¿qué?

Una vez que ha tenido lugar el robo, y que hemos recuperado la "casa", sólo nos queda, tras la limpieza hecha, poner una denuncia (ya nos hemos puesto en contacto con Guardia Civil), contaros las cosas y  seguir reforzando, en cada momento, el sistema de foros. Es sano cambiar las claves, aunque no debería ser necesario. Recibiremos spam (salvo sorpresas) de un desaprensivo más, y de aquellos a quienes venda los datos. No parece que el robo se haya debido a un interés especial por usuarios mackeros hispanoparlantes.

Por suerte, tenemos la buena costumbre de no guardar cosas de valor en casa; la política de Macuarium es no usar datos personales.

Os iremos informando de las novedades que surjan, así como de las acciones que se vayan emprendiendo contra los responsables del allanamiento, robo, e intento de infección.

Queremos transmitir a todos los afectados nuestras disculpas por las molestias causadas durante el día de hoy.

Y quiero dar personalmente las gracias al equipo de moderadores y administradores que ha estado al pie del cañón todo el día para contener y corregir el problema.

Comentar el artículo en los foros.