Hay organizaciones que se caracterizan por su carácter exclusivo. Son de acceso solo por invitación y discretas, el tipo de lugar en el que la lista de socios es el producto en sí.
«Dialog», la red exclusiva fundada por el inversor multimillonario y PayPal Peter Thiel, entre cuyos miembros se encuentran un comandante en activo de la OTAN, dos senadores estadounidenses y el secretario del Tesoro de EE. UU., es una de ellas.
La semana pasada, la información sobre cientos de esos miembros aparecía en texto sin cifrar en su sitio web de distribución de aplicaciones, a la vista de cualquiera que supiera hacer clic con el botón derecho del ratón. Posteriormente, Dialog afirmó que había sido víctima de un ataque informático.
Una página de registro que llevaba directamente a los archivos de los miembros
La página web se creó para distribuir una aplicación móvil destinada a dar apoyo a una próxima reunión de la red, que organiza encuentros de alto nivel. Cualquier visitante podía registrarse utilizando cualquier dirección de correo electrónico. No se solicitaba contraseña.
Tras enviar un correo electrónico, el visitante accedía a una página de espera prácticamente vacía que, según se informa, cargaba archivos internos sobre unas 200 personas de alto perfil directamente en su navegador. Estos archivos podían verse utilizando «herramientas integradas en todos los principales navegadores», lo que parece referirse a las herramientas de desarrollo integradas en el navegador.
Esos archivos no eran escuetos. Al cargar los formularios del cuestionario, se obtuvieron fechas de nacimiento, contactos de emergencia, números de móvil, las inclinaciones políticas que Dialog asigna a sus miembros, clasificaciones internas y notas de evaluación, así como las claves digitales que sirven como datos de acceso de los miembros. En casi todos los casos, los datos expuestos eran exhaustivos, desde información de contacto privada hasta tokens de acceso activos.
Los registros también incluían a un actual funcionario de inteligencia de la Casa Blanca, a un general retirado que había ocupado un cargo de alto nivel en los servicios de inteligencia estadounidenses y a los responsables de política de seguridad nacional de dos empresas líderes en inteligencia artificial. Dialog también puntúa de forma privada a los asistentes, teniendo en cuenta su riqueza y su relevancia a la hora de tomar decisiones sobre la admisión, la asignación de asientos y los precios. Esas puntuaciones figuraban entre la información disponible en el código HTML público.
Diálogo a la defensiva
El director general de Dialog calificó el acceso como un ataque informático
«cometido por un conocido delincuente que es buscado en Estados Unidos».
WIRED, que dio a conocer la noticia, no encontró pruebas de que fuera necesario realizar ningún tipo de intrusión. De hecho, parece que bastó con hacer clic en un enlace de una página web.
Los formularios se crearon con Fillout, un popular creador de formularios en línea. Los datos se almacenaron en Airtable, una plataforma de bases de datos en la nube muy utilizada. Fillout afirmó que no tenía constancia de que sus propios sistemas hubieran sufrido ninguna brecha de seguridad y señaló que los clientes son responsables de configurar sus formularios, las fuentes de datos conectadas y los flujos de trabajo.
Dialog no ha precisado cuándo se publicó por primera vez la página mal configurada, lo que significa que los datos de los miembros podrían haber estado accesibles públicamente durante un periodo indeterminado antes de que se descubriera el problema.
La configuración incorrecta de la seguridad ocupa ahora el segundo puesto en el Top 10 de OWASP para 2025, una lista del sector que recoge los principales riesgos de seguridad de las aplicaciones. Ha subido desde el quinto puesto que ocupaba en 2021. Esta categoría representa más de 719 000 vulnerabilidades de seguridad documentadas.
La solución también es sencilla: crea sistemas que cuenten únicamente con las funciones que necesites y configúralos de forma segura.
Qué significa esto para el resto de nosotros
La forma en que las organizaciones describen los incidentes tiene importancia más allá de una simple violación de seguridad. Si el mero hecho de acceder a información disponible públicamente se califica habitualmente como un «hackeo», los investigadores de seguridad podrían mostrarse más reacios a investigar y a revelar de forma responsable los sistemas expuestos, lo que haría que las configuraciones erróneas permanecieran sin detectar durante más tiempo.
Para los usuarios finales, esta lección es más antigua que Internet. Si una organización recopila tu fecha de nacimiento, tus contactos de emergencia y una puntuación privada que indica cuánto vales para ellos, pregunta dónde se almacenan esos datos. Cualquier respuesta que incluya «nuestra página web» merece una segunda pregunta, y cualquier respuesta que se limite a «nos tomamos muy en serio tu seguridad» merece un interrogatorio más exhaustivo.
