DiarioTi.com - el diario del profesional TI

Lunes 20 Nov 2017 | Año 14 | Edición 15
Menu
letter
    

    Sustraen a Equifax datos personales de 143 millones de personas

    La empresa crediticia estadounidense Equifax ha sido objeto de un robo de datos que desde ya está siendo calificado como la mayor brecha de la historia.

    Diario TI 08/09/17 10:11:11

    Durante el período comprendido entre mayo y julio de este año, desconocidos accedieron subrepticiamente a bases de datos de Equifax que contienen, entre otras cosas, nombres, números nacional de identidad, fechas de nacimiento, domicilios y números de licencias de conducir de aproximadamente 143 millones de ciudadanos estadounidenses. Según se indica, también hay datos correspondientes a ciudadanos británicos y canadienses. Asimismo, se habrían sustraído los números de tarjetas de crédito de 209.000 consumidores estadounidenses, aparte de documentos correspondientes a litigios judiciales, que permiten identificar a otras 182.000 personas.

    Equifax asegura no haber encontrado pruebas de acceso no autorizado a sus bases de datos centrales, desde donde gestiona la evaluación crediticia de consumidores. Aparentemente, la brecha fue posible mediante una aplicación web por ahora no especificada por la empresa. Frente a este vacío en la información, las especulaciones apuntan a inyecciones de SQL o cross-site-scripting, también conocido como XSS. La causa de que se atribuya a Equifax incapacidad para solucionar este tipo de vulnerabilidades, relativamente fáciles de contener, es su deplorable trayectoria en materia de seguridad informática. En 2013, Equifax se vio afectada por una brecha similar, en que también quedaron expuestos los datos personales de consumidores.

    La brecha fue detectada por Equifax el 29 de julio, fecha en que contrató a una empresa “líder en seguridad informática”, por ahora no identificada, para investigar la situación. Asimismo, Equifax notificó a las autoridades estadounidenses, que iniciaron una investigación paralela con con el fin de establecer responsabilidades legales y, en lo posible, aprehender a los intrusos.

    “Indudablemente, es una situación decepcionante para nuestra empresa. Me disculpo frente a los consumidores y usuarios empresariales por las preocupaciones y frustraciones que esta situación trae consigo”, comenta Richard F. Smith, CEO de Equifax, en un comunicado donde asegura estar tomando las medidas necesarias para impedir situaciones similares a futuro.

    Equifax no informó inmediatamente a los afectados
    Equifax podría haber empeorado la situación, al no informar inmediatamente, es decir en julio, a los afectados. En tal caso, estos podrían haber tomado inmediatamente medidas de mitigación, como por ejemplo cambiar sus contraseñas en Equifax y otros servicios. En este contexto, cabe tener presente que muchos usuarios de servicios online utilizan las mismas contraseñas en distintas plataformas. La única explicación posible es que Equifax optó por el silencio con el fin de proteger la investigación.

    Equifax también publicó el siguiente vídeo en YouTube, donde Richard Smith se disculpa y ofrece servicios de monitoreo crediticio gratuito durante un año para todos los ciudadanos estadounidenses, y no sólo a los afectados por la brecha:

    Nuevo sitio de Equifax, bloqueado por OpenDNS
    El video está disponible desde el nuevo sitio web https://www.equifaxsecurity2017.com/ que, según el experto en seguridad informática Kenn White ha sido bloqueado por OpenDNS, servicio ahora propiedad de Cisco, por tener un certificado SSL no aprobado. Asimismo, OpenDNS lo ha clasificado como sitio de phishing, en lo que indudablemente constituye un falso positivo.

    Paralelamente, el usuario de Twitter “xOrz” comenta que el sitio principal de Equifax continúa presentando una vulnerabilidad de XSS, o cross-scripting, reportada hace más de un año.

    Captura de tuit publicado hoy por Kenn White.

    Posible transacción bursátil ilegal
    Desde un ángulo financiero, la publicación Bloomberg escribe que tres ejecutivos de Equifax vendieron acciones en la empresa, cotizadas en USD 1,8 millones, antes que la brecha de seguridad fuese dada a conocer a la opinión pública. Una operación bursátil de este tipo es cuestionable, ya que los ejecutivos habrían optado por deshacerse de sus acciones como resultado de la información privilegiada con la que contaban; es decir, la brecha de seguridad.

    Fotografía: Richard Smith, CEO de Equifax (fotograma)
        • Seleccione su país -+

          Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.