En una tarde tranquila a principios de septiembre de 2017, Equifax reveló una brecha de seguridad extraordinaria que se estima que afectó a casi 200 millones de personas en todo el mundo. Dado que la compañía había descubierto la brecha por primera vez en julio, eso debería haber brindado tiempo suficiente para prepararse para una respuesta y solución para todas las personas afectadas. En cambio, Equifax procedió a proporcionar al mundo un ejemplo perfecto de cómo no manejar una importante brecha de seguridad.
Desde el enorme alcance de la filtración de datos, la jerga legal confusa y los sitios web de respuestas terriblemente inseguras, Equifax lo tenía todo. Agregue las acusaciones de abuso de información privilegiada, comunicación deficiente, una caída del 30 por ciento en el valor de las acciones, junto con nuevas filtraciones de datos, y la compañía parecía haberse preparado para una caída dramática. Bueno, tanta gracia como una agencia de informes de crédito a la que nunca accedió explícitamente a entregar sus datos confidenciales.
EquiBreach
La primera declaración de Equifax sobre la violación dijo que hasta 144 millones de estadounidenses podrían haber tenido su información de crédito comprometida. Esto incluye nombres, direcciones, números de seguro social (SSN), fechas de nacimiento y registros financieros. La compañía también informó que se incluyeron números de tarjetas de crédito para 209, 000 consumidores estadounidenses en la violación. Además, se han filtrado registros de disputas con información de identificación personal para 189, 000 personas.
Los informes iniciales en los medios se referían a individuos impactados como clientes de Equifax. Sin embargo, en realidad no es cliente de Equifax, Experian, TransUnion ni de ninguna otra agencia de informes crediticios. Estas agencias recopilan datos de diferentes servicios y proveedores de productos financieros. Luego, los datos se utilizan para generar su puntaje de crédito, permitiendo que un prestamista evalúe el riesgo que presenta. ¿Solicitando un préstamo, tarjeta de crédito o hipoteca? Así es como se toma la decisión.
Evaluación de impacto y Premier de TrustedID
Para compensarle por perder los datos de casi la mitad de la población adulta de los EE. UU., Equifax configuró un sitio web, equifaxsecurity2017.com. Aquí puede ingresar su nombre y su SSN parcial y averiguar si sus datos se encuentran entre los filtrados. Además, puede inscribirse en su servicio, TrustedID Premier. Este es un informe de crédito de tres oficinas y una herramienta de monitoreo de SSN, que complementa a los consumidores estadounidenses durante un año.
Sin embargo, en su revelación inicial, y durante una semana después, Equifax guardó silencio sobre los detalles. El tipo de ataque, el culpable y por qué pudo continuar durante tanto tiempo, sin detección, permaneció en secreto.
Esto llevó a muchos a sospechar que había culpabilidad por parte de Equifax. Seis días después, y luego de la inmensa protesta pública y las intervenciones de un grupo bipartidista de Senadores, Equifax finalmente admitió que el ataque utilizó un conocido exploit de Apache Strut (CVE-2017-5638), un parche lanzado en marzo de 2017, dos meses antes de la violación de Equifax. Esto demostró que, al igual que con WannaCry a principios de año, The Global Ransomware Attack y Cómo proteger sus datos The Global Ransomware Attack y cómo proteger sus datos, un ciberataque masivo ha golpeado las computadoras en todo el mundo. ¿Ha sido afectado por el ransomware auto-replicante altamente virulento? Si no, ¿cómo puede proteger sus datos sin pagar el rescate? Lea más, no actualizar su software puede tener consecuencias devastadoras.
No solo los consumidores de EE. UU.
Aunque no se reveló desde el principio, Equifax se vio obligado a admitir que la información para un "número limitado" de residentes del Reino Unido y Canadá también se incluyó en la violación. Es posible que hasta 44 millones de consumidores del Reino Unido ni siquiera hayan tenido conocimiento de que la agencia de crédito de EE. UU. Tenía sus datos. Sin embargo, fue provisto por compañías como BT, British Gas y Capital One. El brazo del Reino Unido de la agencia de crédito anunció a primera hora de la tarde del viernes 15 de septiembre que 400, 000 residentes del Reino Unido se vieron afectados. Este intento sospechoso de enterrar las noticias reveló un "fracaso del proceso" que duró media década. Sin embargo, no se ha ofrecido orientación a residentes del Reino Unido o Canadá.
Problemas del sitio web de Equifax
Por razones que aún no se han explicado, Equifax lanzó un sitio web diferente para su respuesta a la violación. Dado que el sitio se configuró en respuesta a una importante brecha de seguridad, se imaginaría que se tomarían todas las precauciones para garantizar que el sitio sea un faro de estabilidad. En cambio, el gran volumen de consumidores estadounidenses que deseaban verificar su información los abrumaba. Esto dejó a muchos incapacitados para acceder al sitio o cargar los resultados de su evaluación de impacto.
@briankrebs ¿Has visto que OpenDNS está bloqueando la página de registro de Equifax? ¿Llamarlo spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 de septiembre de 2017
Incluso entonces, los números que visitan el sitio pueden haber sido más grandes si no hubiera sido por la mala configuración del sitio web. En el libro de la mayoría de las personas, un sitio web fuera de dominio con palabras clave cuestionables parece ser una estafa de phishing. OpenDNS pareció estar de acuerdo y bloqueó el acceso al sitio web para muchos usuarios. Para aumentar el sentido de la ironía, para completar su evaluación debe ingresar los últimos seis dígitos de su SSN. ¡Estos son los mismos datos que Equifax ya ha demostrado que no pueden proteger!
Resultados no verificables
A las pocas horas del lanzamiento del sitio, hubo informes de que ni siquiera podía confiar en los resultados de su evaluación de impacto. Ingresar los mismos detalles varias veces daría respuestas diferentes en cuanto a si usted se vio afectado. Algunas personas incluso intentaron ingresar información falsa a sabiendas. Preocupantemente, descubrieron que Equifax le diría a la persona que no existía que sus datos se habían filtrado.
Entonces a Equifax. Mi jefe acaba de ingresar un nombre falso con el número de seguro social de su hijo de 9 años y el sitio dijo que estaba afectado.
- G. ?? (@oh_sovivacious) 8 de septiembre de 2017
Si estaba dispuesto a aceptar que sus datos se habían visto comprometidos por el incumplimiento, Equifax lo saludó con una declaración vaga sobre la violación y lo alentó a inscribirse en el programa. Dado que Equifax fue la fuente de la infracción, parece de mal gusto que lo animen a inscribirse en una prueba gratuita de su propio servicio de protección contra fraudes.
OMG, los PIN de inmovilización de seguridad de Equifax son peores de lo que pensaba. Si congela su crédito hoy, por ejemplo, a las 2:15 p.m. ET, obtendría el PIN 0908171415.
- Tony Webster (@webster) 9 de septiembre de 2017
Aquellos que se registraron para TrustedID Premier pudieron realizar un congelamiento de crédito y se les proporcionó un PIN de confirmación. Sin embargo, el PIN parece ser una marca de tiempo de cuando se realizó la congelación. Esto haría que el PIN sea inútil, podría ser fácilmente adivinado, permitiendo a cualquier persona desbloquear el congelamiento de su crédito. A pesar de las negativas iniciales, Equifax luego dijo que estaban haciendo la transición a un nuevo método que aleatorizaría la generación de PIN. Además, permitirían a los consumidores solicitar el envío de un nuevo PIN a su dirección postal registrada.
La debacle legalesa
Cuando Equifax lanzó por primera vez el sitio web equifaxsecurity2017, las Condiciones del servicio de TrustedID Premier parecían implicar que, al utilizar el servicio, renunciaba a su derecho a participar en cualquier demanda colectiva contra la compañía en el futuro. El tumulto de esta injusticia percibida hizo que Equifax emitiera una actualización al día siguiente. Ahora han declarado que la cláusula de arbitraje no era aplicable a la violación de seguridad.
Equifax está ofreciendo monitoreo y protección de robo de identidad, pero en letras pequeñas, una cláusula de arbitraje y exención de demanda colectiva 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 de septiembre de 2017
Esto hizo poco para asegurar que las personas que estaban comprensiblemente poco convencidas condujeron a otra declaración casi una semana después, afirmando que "han eliminado ese lenguaje de los Términos de uso de TrustedID Premier y no se aplicará a los productos gratuitos ofrecidos en respuesta al incidente de ciberseguridad". o para reclamos relacionados con el incidente de ciberseguridad en sí. El lenguaje de arbitraje no se aplicará a ningún consumidor que se haya registrado antes de que se eliminara el idioma ".
Tomado a la tarea
En un movimiento que Equifax dice que es una coincidencia total, solo dos días después de que descubrieron la violación, tres altos ejecutivos vendieron acciones por un total de $ 1.8 millones. Esta venta significativa fue solo días después de descubrir la violación, pero más de un mes antes de que la revelaran públicamente. Si las personas tuvieran conocimiento de la violación de seguridad, estarían en contravención de las leyes sobre uso de información privilegiada. A sabiendas o no, su venta oportuna fue afortunada. Al momento de escribir, las acciones de Equifax han caído un 30 por ciento desde la divulgación de la infracción.
El grupo bipartidista de 36 senadores envía una carta a SEC, DOJ y FTC instando a una investigación sobre las ventas de acciones de Equifax después de la violación de datos. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 de septiembre de 2017
Dada la naturaleza altamente sensible de la violación, muchos individuos afectados son comprensiblemente críticos con la aparente seguridad laxa de Equifax. Por ejemplo, USA Today informó que en los días posteriores a la revelación, se presentaron 23 demandas en 14 estados contra la agencia de informes crediticios. Según lo informado por Bloomberg, una demanda colectiva presentada en Oregon está buscando daños de hasta $ 7 mil millones. Incluso si el tribunal otorgara una suma tan grande, equivale a poco menos de $ 500 por persona. ¿Esto parece suficiente para compensar el riesgo de por vida de robo de identidad?
Joshua Browder, el creador del robot DoNotPay, amplió su funcionalidad para simplificar el proceso de solicitud al tribunal de reclamos menores por daños relacionados con el incumplimiento de Equifax. Esto es admirable y contribuye en gran medida a facilitar la digestión de la documentación legal, a menudo compleja. Sin embargo, algunos informes han afirmado que el robot DoNotPay, desarrollado originalmente para ayudarlo a combatir multas de estacionamiento, podría automatizar todo el proceso. Como señala TechCrunch, todo lo que realmente hace el bot es ayudar con la documentación inicial: todavía tienes que pelear el caso en la corte.
Un dolor de cabeza continuo en todo el mundo
Si quedaba alguna duda sobre las malas prácticas de seguridad de Equifax, entonces es probable que un ejemplo del brazo argentino de Equifax lo elimine por completo. Primero se informó por KrebsOnSecurity, un portal en línea utilizado por los empleados para resolver las disputas de crédito llamado Veraz (que significa veraz en español) resultó ser vulnerable. Puede esperar que la vulnerabilidad sea técnica, pero en cambio, fue una de las fallas de seguridad más básicas: contraseñas incorrectas. La increíblemente simplista, y en muchos casos predeterminada, combinación de nombre de usuario y contraseña de admin / admin permitió que cualquier persona que haya cruzado el sitio inicie sesión en el portal del empleado.
Sorprendentemente, esto le permitió ver, editar y eliminar nombres de usuario y contraseñas para más de 100 empleados argentinos de Equifax. En cada caso, se encontró que las contraseñas de texto plano eran las mismas que el nombre de usuario del empleado. Si eso no fuera lo suficientemente severo, había un área del sitio con 715 páginas de informes detallados sobre cada queja o disputa registrada con Equifax. Esta información incluyó el DNI (el equivalente argentino del SSN) para más de 14, 000 personas, una vez más, todo en texto sin formato. Equifax sacó rápidamente el sitio después de ser contactado por KrebsOnSecurity, y actualmente está investigando su último paso de seguridad.
¿Qué puedes hacer?
El primer paso es usar el sitio web de Equifax para verificar si sus datos se vieron afectados por la violación. Cómo verificar si sus datos fueron robados en la violación de Equifax Cómo verificar si sus datos fueron robados en Equifax. Noticias de incumplimiento acaba de surgir de una violación de datos de Equifax. eso afecta hasta el 80 por ciento de todos los usuarios de tarjetas de crédito de EE. UU. ¿Eres uno de ellos? He aquí cómo verificarlo. Lee mas . Sin embargo, como los resultados pueden ser inconsistentes, puede ser mejor suponer que usted fue afectado. Como la compañía ya ha aclarado el lenguaje que lo rodea, regístrese para obtener su servicio Premier de TrustedID. Esto le permitirá realizar un congelamiento de crédito Cómo prevenir el robo de identidad al congelar su crédito Cómo evitar el robo de identidad al congelar su crédito Sus datos personales se han visto comprometidos, pero su identidad aún no ha sido robada. ¿Hay algo que pueda hacer para mitigar sus riesgos? Bueno, podrías intentar congelar tu crédito: así es cómo. Lea más y detenga a cualquier persona que abra crédito a su nombre. Dada la naturaleza sensible de los datos perdidos en la fuga, existe la posibilidad de que los estafadores ofrezcan sus productos, por lo que debe mantenerse alerta contra la ingeniería social. Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Qué social técnicas de ingeniería que usaría un hacker y cómo te protegerías de ellas? Echemos un vistazo a algunos de los métodos de ataque más comunes. Leer más y estafas de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing Capturar un correo electrónico de phishing es difícil. Los estafadores se hacen pasar por PayPal o Amazon, tratando de robar su contraseña y la información de su tarjeta de crédito, su engaño es casi perfecto. Le mostramos cómo detectar el fraude. Lee mas .
A raíz de muchas violaciones de datos, a menudo le aconsejamos cambiar sus contraseñas, comenzar a usar un administrador de contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesitas un administrador de contraseñas Así es como funcionan y cómo te mantienen a salvo. Lea más, regístrese en HaveIBeenPwned Verifique ahora y vea si sus contraseñas se han filtrado anteriormente Compruebe ahora y vea si alguna vez se han filtrado sus contraseñas Esta ingeniosa herramienta le permite verificar cualquier contraseña para ver si alguna vez ha sido parte de una fuga de datos. Lea más, habilite la autenticación de dos factores ¿Qué es la autenticación de dos factores y por qué debería usarla? ¿Qué es la autenticación de dos factores? ¿Por qué debería usarla? La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar tu identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta, ... Leer más siempre que sea posible y mejorar su seguridad cibernética Mejorar su ciber higiene en 5 sencillos pasos Mejorar su ciber higiene en 5 sencillos pasos En el mundo digital, "ciberseguridad" "es tan importante como la higiene personal del mundo real. Se necesitan controles regulares del sistema, junto con hábitos en línea nuevos y más seguros. Pero, ¿cómo puedes hacer estos cambios? Lee mas . Si bien ninguno de estos te protegerá directamente contra la fuga de Equifax, endurecer tu seguridad no te hará ningún daño. Tal vez, dadas las circunstancias, valdría la pena hacer un esfuerzo adicional y realizar un control de seguridad completo. Protéjase con un control anual de seguridad y privacidad Protéjase con un control anual de seguridad y privacidad Estamos a casi dos meses del nuevo año, pero hay Todavía es hora de hacer una resolución positiva. Olvídese de beber menos cafeína, estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. Lee mas .
Equihaxxed
La brecha de Equifax probablemente sea el evento de seguridad destacado en un año desenfrenado con violaciones de datos y ataques de ransomware. Al igual que con otros eventos de seguridad de alto perfil como WannaCry y la secuencia interminable de filtraciones de datos, hay un lado positivo que se encuentra en la naturaleza asombrosa de la brecha de Equifax. Al atraer la atención del público hacia la seguridad de los datos, los informes de crédito y las negligencias corporativas, existe la oportunidad de debatir y mitigar estos asuntos. Se espera que la fuerte respuesta de muchos Senadores de los EE. UU. Garantice que esta brecha no desaparezca en un segundo plano. Equifax, por lo menos, ha admitido que se requieren algunos cambios de personal; como resultado, el Oficial Principal de Información y el Director de Seguridad se han "retirado".
A pesar de su alto perfil y gran alcance, todavía no hay información sobre quiénes fueron los atacantes. Por su parte, Equifax ha permanecido completamente silencioso al respecto, de acuerdo con el resto de su respuesta mal manejada. Apenas unos días después de que la violación se hiciera pública, surgió un grupo que afirmaba tener los datos y exigió un rescate de 600 Bitcoin. Después de que los investigadores descubrieron el servicio de alojamiento del sitio .onion, se cerró rápidamente.
Por separado, un grupo que se hace llamar Equihax también afirmó poseer los datos, pero no ofreció ninguna prueba verificable. Dado lo potencialmente lucrativos que son los datos, puede estar seguro de que no pasará mucho tiempo antes de que los hackers intenten cobrar.
¿Le afectó la brecha de seguridad de Equifax? ¿Crees que Equifax tiene la culpa, y podrían haber hecho más para protegerte? Háganos saber en los comentarios!
Crédito de la imagen: stevanovicigor / Depositphotos