Durante el período comprendido entre mayo y julio de este año, desconocidos accedieron subrepticiamente a bases de datos de Equifax que contienen, entre otras cosas, nombres, números nacional de identidad, fechas de nacimiento, domicilios y números de licencias de conducir de aproximadamente 143 millones de ciudadanos estadounidenses. Según se indica, también hay datos correspondientes a ciudadanos británicos y canadienses. Asimismo, se habrían sustraído los números de tarjetas de crédito de 209.000 consumidores estadounidenses, aparte de documentos correspondientes a litigios judiciales, que permiten identificar a otras 182.000 personas.
Equifax asegura no haber encontrado pruebas de acceso no autorizado a sus bases de datos centrales, desde donde gestiona la evaluación crediticia de consumidores. Aparentemente, la brecha fue posible mediante una aplicación web por ahora no especificada por la empresa. Frente a este vacío en la información, las especulaciones apuntan a inyecciones de SQL o cross-site-scripting, también conocido como XSS. La causa de que se atribuya a Equifax incapacidad para solucionar este tipo de vulnerabilidades, relativamente fáciles de contener, es su deplorable trayectoria en materia de seguridad informática. En 2013, Equifax se vio afectada por una brecha similar, en que también quedaron expuestos los datos personales de consumidores.
La brecha fue detectada por Equifax el 29 de julio, fecha en que contrató a una empresa “líder en seguridad informática”, por ahora no identificada, para investigar la situación. Asimismo, Equifax notificó a las autoridades estadounidenses, que iniciaron una investigación paralela con con el fin de establecer responsabilidades legales y, en lo posible, aprehender a los intrusos.
“Indudablemente, es una situación decepcionante para nuestra empresa. Me disculpo frente a los consumidores y usuarios empresariales por las preocupaciones y frustraciones que esta situación trae consigo”, comenta Richard F. Smith, CEO de Equifax, en un comunicado donde asegura estar tomando las medidas necesarias para impedir situaciones similares a futuro.
Equifax no informó inmediatamente a los afectados
Equifax podría haber empeorado la situación, al no informar inmediatamente, es decir en julio, a los afectados. En tal caso, estos podrían haber tomado inmediatamente medidas de mitigación, como por ejemplo cambiar sus contraseñas en Equifax y otros servicios. En este contexto, cabe tener presente que muchos usuarios de servicios online utilizan las mismas contraseñas en distintas plataformas. La única explicación posible es que Equifax optó por el silencio con el fin de proteger la investigación.
Equifax también publicó el siguiente vídeo en YouTube, donde Richard Smith se disculpa y ofrece servicios de monitoreo crediticio gratuito durante un año para todos los ciudadanos estadounidenses, y no sólo a los afectados por la brecha:
Nuevo sitio de Equifax, bloqueado por OpenDNS
El video está disponible desde el nuevo sitio web https://www.equifaxsecurity2017.com/ que, según el experto en seguridad informática Kenn White ha sido bloqueado por OpenDNS, servicio ahora propiedad de Cisco, por tener un certificado SSL no aprobado. Asimismo, OpenDNS lo ha clasificado como sitio de phishing, en lo que indudablemente constituye un falso positivo.
Paralelamente, el usuario de Twitter “xOrz” comenta que el sitio principal de Equifax continúa presentando una vulnerabilidad de XSS, o cross-scripting, reportada hace más de un año.
Posible transacción bursátil ilegal
Desde un ángulo financiero, la publicación Bloomberg escribe que tres ejecutivos de Equifax vendieron acciones en la empresa, cotizadas en USD 1,8 millones, antes que la brecha de seguridad fuese dada a conocer a la opinión pública. Una operación bursátil de este tipo es cuestionable, ya que los ejecutivos habrían optado por deshacerse de sus acciones como resultado de la información privilegiada con la que contaban; es decir, la brecha de seguridad.