Sustraen a Equifax datos personales de 143 millones de personas

La empresa crediticia estadounidense Equifax ha sido objeto de un robo de datos que desde ya est谩 siendo calificado como la mayor brecha de la historia.

Durante el per铆odo comprendido entre mayo y julio de este a帽o, desconocidos accedieron subrepticiamente a bases de datos de Equifax que contienen, entre otras cosas, nombres, n煤meros nacional de identidad, fechas de nacimiento, domicilios y n煤meros de licencias de conducir de aproximadamente 143 millones de ciudadanos estadounidenses. Seg煤n se indica, tambi茅n hay datos correspondientes a ciudadanos brit谩nicos y canadienses. Asimismo, se habr铆an sustra铆do los n煤meros de tarjetas de cr茅dito de 209.000 consumidores estadounidenses, aparte de documentos correspondientes a litigios judiciales, que permiten identificar a otras 182.000 personas.

Equifax asegura no haber encontrado pruebas de acceso no autorizado a sus bases de datos centrales, desde donde gestiona la evaluaci贸n crediticia de consumidores. Aparentemente, la brecha fue posible mediante una aplicaci贸n web por ahora no especificada por la empresa. Frente a este vac铆o en la informaci贸n, las especulaciones apuntan a inyecciones de SQL o cross-site-scripting, tambi茅n conocido como XSS. La causa de que se atribuya a Equifax incapacidad para solucionar este tipo de vulnerabilidades, relativamente f谩ciles de contener, es su deplorable trayectoria en materia de seguridad inform谩tica. En 2013, Equifax se vio afectada por una brecha similar, en que tambi茅n quedaron expuestos los datos personales de consumidores.

La brecha fue detectada por Equifax el 29 de julio, fecha en que contrat贸 a una empresa “l铆der en seguridad inform谩tica”, por ahora no identificada, para investigar la situaci贸n. Asimismo, Equifax notific贸 a las autoridades estadounidenses, que iniciaron una investigaci贸n paralela con con el fin de establecer responsabilidades legales y, en lo posible, aprehender a los intrusos.

“Indudablemente, es una situaci贸n decepcionante para nuestra empresa. Me disculpo frente a los consumidores y usuarios empresariales por las preocupaciones y frustraciones que esta situaci贸n trae consigo”, comenta Richard F. Smith, CEO de Equifax, en un comunicado donde asegura estar tomando las medidas necesarias para impedir situaciones similares a futuro.

Equifax no inform贸 inmediatamente a los afectados
Equifax podr铆a haber empeorado la situaci贸n, al no informar inmediatamente, es decir en julio, a los afectados. En tal caso, estos podr铆an haber tomado inmediatamente medidas de mitigaci贸n, como por ejemplo cambiar sus contrase帽as en Equifax y otros servicios. En este contexto, cabe tener presente que muchos usuarios de servicios online utilizan las mismas contrase帽as en distintas plataformas. La 煤nica explicaci贸n posible es que Equifax opt贸 por el silencio con el fin de proteger la investigaci贸n.

Equifax tambi茅n public贸 el siguiente v铆deo en YouTube, donde Richard Smith se disculpa y ofrece servicios de monitoreo crediticio gratuito durante un a帽o para todos los ciudadanos estadounidenses, y no s贸lo a los afectados por la brecha:

Nuevo sitio de Equifax, bloqueado por OpenDNS
El video est谩 disponible desde el nuevo sitio web https://www.equifaxsecurity2017.com/ que, seg煤n el experto en seguridad inform谩tica Kenn White ha sido bloqueado por OpenDNS, servicio ahora propiedad de Cisco, por tener un certificado SSL no aprobado. Asimismo, OpenDNS lo ha clasificado como sitio de phishing, en lo que indudablemente constituye un falso positivo.

Paralelamente, el usuario de Twitter “xOrz” comenta que el sitio principal de Equifax contin煤a presentando una vulnerabilidad de XSS, o cross-scripting, reportada hace m谩s de un a帽o.

Captura de tuit publicado hoy por Kenn White.

Posible transacci贸n burs谩til ilegal
Desde un 谩ngulo financiero, la publicaci贸n Bloomberg escribe que tres ejecutivos de Equifax vendieron acciones en la empresa, cotizadas en USD 1,8 millones, antes que la brecha de seguridad fuese dada a conocer a la opini贸n p煤blica. Una operaci贸n burs谩til de este tipo es cuestionable, ya que los ejecutivos habr铆an optado por deshacerse de sus acciones como resultado de la informaci贸n privilegiada con la que contaban; es decir, la brecha de seguridad.

Fotograf铆a: Richard Smith, CEO de Equifax (fotograma)



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.