Además de las acciones preventivas y las medidas de seguridad diseñadas y aplicadas para evitar un ataque, en el momento de valorar la eventual responsabilidad de un ISP por el robo de los datos a de sus clientes, hay que tener en cuenta el protocolo aplicado después del ataque.
Parece ser que el ataque sufrido esta semana por un ISP español podía haber sido evitado si hubiese aplicado un protocolo correcto de actuación depués de recibir el primer ataque. Según lo manifestado por el propio ISP, en abril hubo un primer ataque en el que se accedió a las claves de FTP que los clientes utilizaban para mantener actualizadas sus páginas web, en el marco de un acuerdo de hosting con el ISP. En el segunto ataque se utilizaron las claves usurpadas para acceder a las cuentas FTP, modificar las páginas web y dirigir a los visitantes a otros servidores, donde se les instalaba software malicioso. De ser cierta esta información, el protocolo seguido fue incorrecto. Después del primer ataque, el ISP debía haber hecho lo siguiente:
1. Bloquear inmediatamente las cuentas FTP o el acceso mediante este protocolo.
2. Informar a los usuarios sobre el alcance del ataque.
3. Suministrar nuevas claves a través de medios seguros o permitir su modificación utilizando un factor de autentificación adicional ya que sus claves estaban comprometidas.
Es claramente reprochable que un mes después del primer ataque el mismo ISP sufra un segundo ataque en el que se utilicen los datos obtenidos en el primero. El ISP tuvo tiempo suficiente para cambiar las claves FTP e informar a sus clientes.
La verdad es que los errores que mencionas son bastante evidentes, en cuanto a la respuesta al ataque informático en sí, si realmente el ISP tuvo el tiempo necesario para responder y la capacidad para hacerlo. Pero además hay que añadir el hecho de la existencia misma del error de seguridad, que al parecer era de conocimiento dentro del ámbito de la seguridad informática.
De acuerdo con lo que se ha hecho público del caso, una de las personas contrató los servicios de dicho ISP con tal de conocer a fondo las posibilidades que realmente había a la hora de acceder al contenido de las bases de datos de esta empresa. La verdad es que cada vez se toman más molestias con tal de conseguir accesos no autorizados a servidores.
El problema surge al no conocer el alcance y tipo de ataque realmente (más allá de la adquisición de las cuentas mencionadas) y, por lo tanto, no podemos saber si realmente conocían las posibilidades de tener un ataque utilizando los resultados de dicho ataque. Además, el conocimiento efectivo surgió después del asesoramiento por parte de una empresa dedicada a estos ámbitos ante una situación que comenzó a ser ya más dudosa.
Cuando yo me dedicaba a este tipo de trabajos, pude observar como la mayor parte de los ISP (al menos hará un par de años) no contaban con gestores de sucesos automatizados que respondieran de forma automática ante los ataques más clásicos. Una buena gestión puede impedir el mayor número de ataques, aunque como lo anterior, depende del tipo de ataque.