Dialog, la sociedad secreta de Peter Thiel, quedó expuesta porque su web estaba mal hecha, no por un hackeo

Dialog, el club exclusivo al que sólo se accede mediante invitación y que fue cofundado por Peter Thiel, notificó la semana pasada a sus miembros y a quienes habían participado en eventos anteriores que una base de datos con información personal había sido filtrada, supuestamente por un hacker. Sin embargo, un análisis realizado por WIRED descubrió que cualquier persona que visitara la página de inicio de la aplicación del grupo podía acceder a los archivos, lo que los expertos en ciberseguridad describen como una grave configuración errónea que dejó los datos accesibles al público.

Detalles de la filtración

En el comunicado enviado por correo electrónico a los usuarios afectados, la directora general de Dialog, Juliette Levine, indicó que los investigadores forenses habían detectado la filtración de los nombres de 113 antiguos participantes en eventos de Dialog y, por otro lado, el acceso a la información de “algunas” personas inscritas en el retiro de verano. Levine afirmó que la organización había cerrado temporalmente varios de sus sistemas como medida de respuesta.

Según Levine, el incidente “fue un ataque informático perpetrado por un conocido delincuente en Estados Unidos”, y añadió que el grupo había actuado “por precaución” para proteger “la seguridad, la privacidad y la reputación de todos los miembros de Dialog, tanto actuales como anteriores”. No obstante, múltiples análisis de la arquitectura del sitio web apuntan a una simple mala configuración, no a una intrusión externa.

WIRED publicó la lista de los 113 nombres confirmados por Dialog, entre los que se encuentran un comandante activo de la OTAN, dos senadores estadounidenses y el secretario del Tesoro de EE. UU., así como una lista separada, más extensa, de personas inscritas en un retiro que se celebrará en agosto en las afueras de Dublín, Irlanda. Además, se revelaron registros que mostraban cómo el grupo puntúa a los asistentes en privado, considerando su riqueza y relevancia para decidir la asignación de asientos y precios.

El sitio web de Dialog, creado para distribuir una aplicación móvil para la reunión de agosto, permitía a cualquier visitante registrarse con cualquier dirección de correo electrónico sin necesidad de contraseña. Tras introducir el correo, el visitante accedía a una página de espera casi vacía que, al mismo tiempo, cargaba en el navegador los archivos internos de unas 200 personas. Para visualizar los archivos bastaba con inspeccionar la página con las herramientas de desarrollo de los navegadores habituales.

Los registros a los que se accedió incluyen figuras de alto rango en materia de seguridad nacional y tecnología, tanto en activo como retirados. Entre los inscritos en el próximo evento de Dialog se encontraban funcionarios de la OTAN, un funcionario de inteligencia de la Casa Blanca en activo, un general retirado que ocupó un cargo de alto nivel en los servicios de inteligencia de EE. UU., y responsables de política de seguridad nacional y alianzas de dos empresas líderes en IA. También aparecieron un exministro de Seguridad británico, un exministro de Defensa japonés y un exdiplomático pakistaní. En la mayoría de los casos, los datos expuestos son exhaustivos, desde información de contacto privada hasta tokens de inicio de sesión activos.

Los registros contenían además listas de participantes, programas y enlaces a cuestionarios alojados en Fillout, un servicio que Dialog utilizaba para recopilar información de los asistentes y almacenarla en bases de datos de Airtable. Al cargar uno de esos formularios se obtenía información adicional, como fechas de nacimiento, contactos de emergencia, números de teléfono móvil, inclinaciones políticas asignadas por Dialog, clasificaciones internas, notas de evaluación y claves digitales de inicio de sesión. Gran parte de esa información parece provenir directamente de los registros de Airtable de Dialog.

Puntos Clave
  • Dialog, el club exclusivo cofundado por Peter Thiel, sufrió una filtración de datos por una grave mala configuración de su sitio web, no por un hackeo externo
  • Cualquier persona que visitara la página de inicio podía acceder a la base de datos con información personal de miembros y participantes
  • Se expusieron los nombres de 113 antiguos asistentes a eventos, entre ellos un comandante de la OTAN, dos senadores y el secretario del Tesoro de EE. UU.
  • La organización cerró temporalmente varios sistemas y emitió comunicados atribuyendo el incidente a un “ataque informático”, aunque los análisis de seguridad apuntan a un error interno

Airtable no respondió a las solicitudes de comentarios.

En una declaración a WIRED, Fillout afirmó que “no tenía constancia de ninguna intrusión en los sistemas de Fillout ni de ninguna vulnerabilidad activa en la plataforma”. La empresa explicó que los clientes configuran sus propios formularios, fuentes de datos y flujos de trabajo, y que “el comportamiento de un formulario concreto depende de dicha configuración”. Fillout se negó a comentar sobre los formularios o registros de cualquier cliente en particular.

Dialog, que tampoco respondió a las solicitudes de comentarios, hizo que su asesor jurídico externo enviara una carta este fin de semana exigiendo a WIRED una copia de los datos que había recibido. La carta, firmada por el socio D. Reed Freeman del bufete ArentFox Schiff, califica la filtración como un “ciberataque” perpetrado por un “hacker conocido”, sostiene que los archivos fueron robados y afirma que Dialog también ha denunciado el incidente a las fuerzas del orden. WIRED no ha facilitado ningún dato a Dialog ni a sus abogados.

El caso salió a la luz después de que Maia Arson Crimew, periodista suiza e investigadora en ciberseguridad que fue imputada en EE. UU. en 2021 por delitos relacionados con hackeo (aunque nunca fue condenada), recibiera información de dos fuentes. Una de ellas revisó expedientes del Departamento de Justicia (DOJ) vinculados a Jeffrey Epstein y notó el nombre de Dialog en una invitación enviada a un tercero en 2012, la cual había sido reenviada al infame delincuente sexual, despertando su curiosidad por el grupo tan hermético. La segunda fuente le indicó la existencia de la aplicación “Retreat”. Crimew declaró que no explotó ninguna vulnerabilidad de software ni eludió ninguna medida de seguridad para acceder a los datos, y que vio los mismos registros que estaban disponibles para cualquier visitante del sitio.

Nicholas Weaver, miembro del equipo de seguridad de redes del Instituto Internacional de Ciencias de la Computación, describió la vulnerabilidad como un error de diseño web más que una intrusión sofisticada, calificándola de “negligencia y antipatrón, algo que no es inédito”.

Aaron Mackey, subdirector jurídico de la Electronic Frontier Foundation, argumentó que, con base en lo que se conoce públicamente sobre el acceso externo a los datos de Dialog, calificar la actividad como “criminal” resulta “descabellado”. Señaló que, en ocasiones, se invocan leyes generales sobre delitos informáticos para coartar investigaciones en seguridad, periodismo y otras actividades protegidas por la Primera Enmienda. Según Mackey, el incidente consistió en que el sitio web de Dialog entregó datos a personas que simplemente ingresaron una dirección de correo electrónico, sin que nadie hubiera eludido un control técnico.

La revelación provocó reacciones públicas entre los asistentes más destacados, quienes intentaron explicar su presencia en la lista. Ezra Klein, columnista del New York Times, escribió en X que había asistido a Dialog en dos ocasiones (2018 y 2022) pero que nunca había visto ni hablado con Peter Thiel, y señaló que las personas mencionadas en su declaración “no confían entre sí y no comparten agendas afines”. El actor Joseph Gordon‑Levitt comentó en Instagram que había asistido a dos conferencias, pero que nunca había conocido a Thiel, a quien describió como su opuesto político e ideológico. La actriz Sophia Bush, activista contra la tecnología deepfake, afirmó haber asistido para contrarrestar la exageración en torno a la IA y se sorprendió al descubrir que el grupo había sido cofundado por alguien con quien “ni por todo el oro del mundo estaría”.

Javier Mendoza Silva
Javier Mendoza Silva Periodista

Licenciado en Comunicación Social con mención en Periodismo por la Universidad Central de Venezuela. Tiene 12 años de experiencia en cobertura de política nacional y conflictos sociales, con enfoque en derechos humanos. Ha trabajado para medios impresos, digitales y radiofónicos en Latinoamérica.

Vota post
Mira tambien:
El pegamento para nervios ya es real, y sí funciona
Cada vez que este equipo marca un gol, una ciudad entera tiembla (literalmente)
¡La Mejor Hora para Publicar en TikTok y Maximizar tu Alcance!
¡Ventajas y Desventajas de TikTok: ¡Descubre la Verdad!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir