La empresa crediticia estadounidense
Equifax ha sido objeto de un robo de datos que desde ya está siendo calificado
como la mayor brecha de la historia.
Durante el período comprendido entre
mayo y julio de este año, desconocidos accedieron subrepticiamente a bases de
datos de Equifax que contienen, entre otras cosas, nombres, números nacional de
identidad, fechas de nacimiento, domicilios y números de licencias de conducir
de aproximadamente 143 millones de ciudadanos estadounidenses. Según se indica,
también hay datos correspondientes a ciudadanos británicos y canadienses.
Asimismo, se habrían sustraído los números de tarjetas de crédito de 209.000
consumidores estadounidenses, aparte de documentos correspondientes a litigios
judiciales, que permiten identificar a otras 182.000 personas.
Equifax asegura no haber encontrado
pruebas de acceso no autorizado a sus bases de datos centrales, desde donde
gestiona la evaluación crediticia de consumidores. Aparentemente, la brecha fue
posible mediante una aplicación web por ahora no especificada por la empresa.
Frente a este vacío en la información, las especulaciones apuntan a inyecciones
de SQL o cross-site-scripting, también conocido como XSS. La causa de que se
atribuya a Equifax incapacidad para solucionar este tipo de vulnerabilidades,
relativamente fáciles de contener, es su deplorable trayectoria en materia de
seguridad informática. En 2013, Equifax se vio afectada por una brecha similar,
en que también quedaron expuestos los datos personales de consumidores.
La brecha fue detectada por Equifax el
29 de julio, fecha en que contrató a una empresa “líder en seguridad
informática”, por ahora no identificada, para investigar la situación.
Asimismo, Equifax notificó a las autoridades estadounidenses, que iniciaron una
investigación paralela con con el fin de establecer responsabilidades legales
y, en lo posible, aprehender a los intrusos.
“Indudablemente, es una situación
decepcionante para nuestra empresa. Me disculpo frente a los consumidores y
usuarios empresariales por las preocupaciones y frustraciones que esta
situación trae consigo”, comenta Richard F. Smith, CEO de Equifax, en un
comunicado donde asegura estar tomando las medidas necesarias para impedir
situaciones similares a futuro.
Equifax no informó
inmediatamente a los afectados
Equifax podría haber empeorado la
situación, al no informar inmediatamente, es decir en julio, a los afectados.
En tal caso, estos podrían haber tomado inmediatamente medidas de mitigación,
como por ejemplo cambiar sus contraseñas en Equifax y otros servicios. En este
contexto, cabe tener presente que muchos usuarios de servicios online utilizan
las mismas contraseñas en distintas plataformas. La única explicación posible
es que Equifax optó por el silencio con el fin de proteger la investigación.
Equifax también publicó el siguiente
vídeo en YouTube, donde Richard Smith se disculpa y ofrece servicios de
monitoreo crediticio gratuito durante un año para todos los ciudadanos
estadounidenses, y no sólo a los afectados por la brecha:
Nuevo sitio de
Equifax, bloqueado por OpenDNS
El video está disponible desde el
nuevo sitio web https://www.equifaxsecurity2017.com/ que, según el experto en
seguridad informática Kenn White ha sido bloqueado por OpenDNS, servicio ahora propiedad
de Cisco, por tener un certificado SSL no aprobado. Asimismo, OpenDNS lo ha
clasificado como sitio de phishing, en lo que indudablemente constituye un
falso positivo.
Paralelamente, el usuario de Twitter
“xOrz” comenta que el sitio principal de Equifax continúa presentando una
vulnerabilidad de XSS, o cross-scripting, reportada hace más de un año.
Posible transacción
bursátil ilegal
Desde un ángulo financiero, la
publicación Bloomberg escribe que tres ejecutivos de Equifax vendieron acciones
en la empresa, cotizadas en USD 1,8 millones, antes que la brecha de seguridad
fuese dada a conocer a la opinión pública. Una operación bursátil de este tipo
es cuestionable, ya que los ejecutivos habrían optado por deshacerse de sus
acciones como resultado de la información privilegiada con la que contaban; es
decir, la brecha de seguridad.
Fuente: Diarioti.com